Rechtsprechung

Datenschutz


Auswertung von Krankendaten durch Übermittlung an Forschungszentrum

BVerfG, Beschluss vom 19.03.2020 - 1 BvQ 1/20 -

Der Antrag des Versicherten einer gesetzlichen Krankenkasse war auf eine einstweilige Anordnung durch das Bundesverfassungsgericht (BVerfG) gerichtet, den Vollzug der durch Art. 1 des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation vom 09.12.2019 in das SGB V eingefügten §§ 68a Abs. 5 und 303a bis 303f außer Kraft zu setzen, hilfsweise § 68a nur mit einem Einwilligungserfordernis und § 303b Abs. 1 nur mit einer Widerspruchsmöglichkeit des gesetzlich Versicherten anzuwenden. Er leide an einer Erbkrankheit und befürchte, trotz Pseudo- und Anonymisierung reidentifiziert werden zu können, sieht auch die Möglichkeit eines Datenmissbrauchs durch Dritte und Unberechtigte. Haupt- und Hilfsantrag wurden zurückgewiesen.

 

§ 68a Abs. 5 SGB V würde die Krankenkassen ermächtigen, versichertenbezogene Daten ihrer Versicherten pseudonymisiert oder, wenn möglich, auch anonymisiert auszuwerten, um den Versorgungsbedarf im Hinblick auf digitale Innovationen und deren Einfluss auf der Versorgung der gesetzlich Versicherten zu ermitteln und deren möglichen Einfluss auf etwaige positive Versorgungseffekte digitaler Anwendungen zu evaluieren.  Die §§ 303a ff SGB V würden ein Datentransparenzverfahren etablieren, in dem die Daten wie Alter, Geschlecht, Wohnort und bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen übermittelt und anschließend an ein noch zu etablierendes Forschungszentrum weitergegeben würden. Dabei solle gewährleistet sein, dass die Pseudonyme eindeutig einem bestimmten Versicherten zugeordnet werden können, um darauf basierend beispielsweise medizinische Langzeitstudien oder Längsschnittanalysen durchführen zu können.

 

Da das Ergebnis der Verfassungsbeschwerde nicht feststehen würde, der Antrag nicht von vornherein unbegründet erscheine, sei eine Folgenabwägung vorzunehmen. Dabei sei ein besonders strenger Maßstab anzulegen, da ein Aussetzen eines in Kraft getretenen Gesetzes stets ein erheblicher Eingriff in die Gestaltungsfreiheit des Gesetzgebers bedeute. Entscheidend sei daher, ob die Nachteile für den Antragsteller irreversibel oder nur schwer revidierbar wären. Danach scheide hier eine Aussetzung aus.

 

Die vorgesehene Datenverarbeitung und –übermittlung sei vor allem wegen der teils sensiblen und in hohem Maße persönlichkeitsrelevanten Charakters der genutzten Daten ein erheblicher Grundrechtseingriff, der durch die Menge der Daten , die erhoben, übermittelt, ausgewertet und anderweitig verarbeitet werden dürften, verstärkt werde. Dieser Nachteil trete aber nicht durch den Vollzug der Normen ein, sondern erst dann, wenn entgegen der gesetzlichen Regelung ein Personenbezug zu bestimmten Versicherten hergestellt würde. Das aber versuche das Gesetz durch Vorkehrungen und prozedurale Sicherungen zu verhindern. Auch die Missbrauchsanfälligkeit größerer Datensammlungen für den unberechtigten Zugriff Dritter bedeute einen, vom Gesetz nicht gebilligten Zwischenschritt, dessen Eintritt  nicht mit hinreichender Sicherheit als unmittelbar bevorstehend angenommen werden könne. Wegen zu Unrecht erhobener und gespeicherter Daten, die sich hierzu bei den berechtigten Stellen befänden, könne auch ein Löschungsantrag gestellt werden, so dass der eingetretene Nachteil nicht irreversibel wäre.

 

Würde dem Eilantrag stattgegeben, wäre eine Übermittlung der sich ohnehin bei den Krankenkassen befindlichen Daten und deren Auswertung nicht möglich. Zwar könnte, würde die Verfassungsbeschwerde abgewiesen werden, die Übermittlung und Auswertung nachgeholt werden. Aber das Ziel des Gesetzgebers, den Bedarf und die Effekte von digitalen Anwendungen mittels empirischer Datengrundlagen zuverlässig einschätzen zu können, würde erheblich zeitlich aufgeschoben und damit erheblich erschwert.

 

 

Damit würden die dem Antragsteller bei Nichtergehen einer einstweiligen Anordnung drohenden Nachteile nicht mit der erforderlichen Deutlichkeit die Nachteile überwiegen, die bei einem Erlass der Anordnung trotz späterer Erfolglosigkeit einer noch zu erhebenden Verfassungsbeschwerde einzutreten drohen würden. Angesichts dessen könne auch dem Hilfsantrag nicht stattgegeben werden. 


Vollstreckung des Auskunftsanspruchs nach § 15 Abs. 1 DSGVO

LG Mosbach, Beschluss vom 27.01.2020 - 5 T 4/20 -

Die Schuldnerin  wurde zur Auskunft nach § 15 Abs. 1 Buchst. a – h DSGVO verurteilt (27.05.2019). Der Gläubiger beantragte zur Durchsetzung der Verpflichtung  im Anschluss die Festsetzung eines Zwangsgeldes gegen die Schuldnerin, ersatzweise Zwangshaft (10.07.2019). Mit Schreiben vom 16.07.2019 erfüllte die Schuldnerin ihre Pflichten auf Auskunftserteilung nach Buchstaben a – f und h. Mit Beschluss vom 12.12.2019 gab das Amtsgericht dem Antrag des Gläubigers vollumfänglich statt. Die dagegen eingelegte Beschwerde führte zur teilweisen Abweisung des Antrags.

 

Die Beschwerde war danach erfolgreich, soweit das Amtsgericht dem Antrag trotz zwischenzeitlicher Erfüllung stattgegeben hatte. Dies sei rechtswidrig, weshalb insoweit der amtsgerichtliche Beschluss aufzuheben sei.

 

Allerdings bestünde der Auskunftsanspruch nach §  15 Abs. 1 g DSGVO weiterhin. Die Schuldnerin habe nicht „in genügender Tiefe mitgeteilt, woher sie diese Daten erhalten hat, obwohl sie hiernach nach dem Urteil, welches den Auskunftsanspruch nach § 15 Abs. 1 g DSGVO tituliert, verpflichtet war“. § 14 Abs. 1 g DSGVO weiche insoweit von §§ 19, 34 BDSG a.F. ab und verlange stets Auskunft über „alle verfügbaren Informationen über die Herkunft“ der Daten, soweit sie nicht beim Betroffenen selbst erhoben worden wären. Zu den damit notwendigen Angaben zur Quelle der Information würde auch die Benennung der Mittel gehören, mit denen die personenbezogenen Daten erhoben worden seien. Die einzige (zumal erst im Beschwerdeverfahren erfolgte) Angabe der Schuldnerin, die Daten aus einem Bezahlvorgang einer namentlich benannten GmbH erhoben worden seien, sei nicht ausreichend, und die Verweigerung mit Hinweis darauf, es handele sich nicht um Daten des Klägers (Gläubiger) fehlerhaft. Dass es sich nicht um Daten des Gläubigers handele, könne nicht daraus abgeleitet werden, dass diese möglicherweise von einem Dritten rechtsmissbräuchlich verwandt worden seien. Soweit die Schuldnerin im Weiteren zum Tätigwerden mit ihr verbundener Unternehmen vortrage, ergäbe sich daraus nicht, wann, in welcher Form und von wem sie die persönlichen Daten des Gläubigers erhalten habe.

 

Das Beschwerdegericht schloss sich auch nicht der Auffassung der Schuldnerin an, der Gläubiger könne seine Ansprüche nicht aus § 888 ZPO (Antrag auf Zwangsgeld, hilfsweise Zwangshaft) sondern nur aus § 16 DSGVO (Recht auf Berichtigung) geltend machen, wenn er mit der Auskunft nicht einverstanden sei. Anders als bei § 2314 BGB (Auskunftspflicht von Erben) könne bei unvollständiger oder fehlerhafter Auskunft nicht nur eine nächste Stufe (dort eidesstattliche Versicherung) geltend gemacht werden, da § 16 DSGVO sich nicht als „nächste Stufe“ bei einem Anspruch nach § 15 DSGVO darstelle sondern separat mit anderem Inhalt neben diesen trete. Es sei mithin dem Gläubiger hier möglich, den titulierten Auskunftsanspruch nach § 888 ZPO geltend zu machen, ohne eine Berichtigung nach 3 16 DSGVO zu verlangen.   

 

 

Die Entscheidung weist auf, dass derjenige, der datenschutzrechtlich zur Auskunft verpflichtet ist, diese Verpflichtung nicht auf die leichte Schulter nehmen sollte. Immerhin sind in dem Fall, dass der Berechtigte wegen unvollständiger oder falscher Angaben im Rahmen der nach § 15 DSGVO titulierten Auskunft nach § 888 ZPO vorgeht, die Verhängung eines Zwangsgeld von bis € 25.000,00, Zwangshaft oder ersatzweise Zwangshaft bis 6 Monaten, möglich. 


Handelsvertreter: Buchauszug und Datenschutz

OLG München, Urteil vom 31.07.2019 – 7 U 4012/17 -

Das OLG München musste sich in einem Berufungsverfahren u.a. mit der Frage befassen, ob die Erteilung eines Buchauszugs an den Handelsvertreter (bzw. Versicherungsvertreter) überhaupt (noch) zulässig ist. Die Betrachtung erfolgte unter Berücksichtigung der Datenschutz-Grundverordnung (DSGVO).

 

§ 87c Abs. 2 HGB normiert einen Rechtsanspruch des Handels- bzw. Versicherungsvertreters gegen den Geschäftsherrn auf Erteilung eines Buchauszugs. Damit könnte diese Norm mit dem Datenschutz im Widerspruch stehen. So verwies das OLG darauf, dass weder der Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 Buchst. b DSGVO nicht erfüllt sei, da die Übermittlung des Buchauszugs gemäß Art. 4 Nr. 2 DSGVO eine „Verarbeitung“ von Daten iSv. Art. 6 Abs. 1 S. 1 DSGVO darstelle. Die Übermittlung sei nicht zur Erfüllung eines Vertrages erforderlich, dessen Vertragspartner die betroffene Person sei. Betroffen sei nur der Kunde  des Versicherungs- oder Handelsdienstleisters, und  der Handels- bzw. Versicherungsvertreter sei nur für den Geschäftsherrn tätig, ohne selbst in den Vertrag eingebunden zu sein. Die Erteilung des Buchauszugs nach § 87c Abs. 2 HGB zur Erfüllung des Vertrages zwischen dem Geschäftsherrn und dem Kunden erforderlich.

 

Ebensowenig könne hier eine Berechtigung aus Art. 6 Abs. 1 S. 1 Buchst. c) DSBVO hergeleitet werden. Unabhängig davon, ob es sich bei der Verpflichtung des Geschäftsherrn um eine „rechtliche Verpflichtung“ dem Handels- bzw. Versicherungsvertreter gegenüber handele, sei weiter erforderlich, dass die Erteilung im öffentlichen Interesse läge. Fies sei aber nicht der Fall; die Erteilung des Buchauszugs erfolge lediglich zur Realisierung des Vergütungsanspruchs des Handels-/Versicherungsvertreters und diene daher nur individuell-privaten Interessen. Diese aber seien von Art. 6 Abs. 3 S. 4 DSGVO gerade nicht umfasst.

 

Allerdings greife der Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 Buchst. f DSGVO. Danach sei die Übermittlung der Daten an einen Dritten gestattet, wenn dies zur Wahrung der berechtigten Interessen des Dritten erforderlich sei, sofern nicht dagegen stehende Interessen oder Grundrechte der betroffenen Person (hier des Kunden) stünden. Die Übermittlung erfolge im Vergütungsinteresse des Handels-/Versicherungsvertreters und bei diesem handele es sich um ein berechtigtes Interesse eines Dritten, da es aus einer erlaubten unternehmerischen Tätigkeit des Vertreters folge und das Recht zur Gewinnerzielung umfasse. Dies sei auch ausdrücklich in Art. 16 EUGRCh anerkannt worden. Zudem sähe die europäische Rechtsordnung (auf der die DSGVO beruht) auch ausdrücklich in Art. 12 Abs. 2 der Richtlinie des Rates vom 18.12.1986 zu Koordination der Rechtsvorschriften der Mitgliedsstaaten (86/653/EWG) betreffend selbständiger Warenhandelsvertreter auch ausdrücklich einen Anspruch desselben auf einen Buchauszug zur Prüfung seines Provisionsanspruchs vor, weshalb es sich hier um ein europarechtlich geschütztes Interesse iSv. Art. 6 Abs. 1 S. 1 Buchst. f DSBVO handele. Auch wenn sich die Regelung in der Richtlinie nur auf Warenhandelsvertreter beziehe, sei die gleichlaufende Interessenslage eines sonstigen Handels- bzw. Versicherungsvertreters nicht weniger schützenswert.

 

Der Buchauszug diene der Verfolgung und Realisierung (Prüfung) des Provisionsanspruchs des Handels-/Versicherungsvertreters, dem ohne den Buchauszug eine Realisierung eines möglichen Anspruchs erschwert, wenn nicht sogar unmöglich gemacht würde. Es würde nicht verkannt, dass mit dem Buchauszug Daten betroffener Personen übermittelt würden, die höchst sensibel sein könnten, wie z.B. Gründe für die Stornierung eines Versicherungsvertrages (so u.a. Zahlungsunfähigkeit des Versicherungsnehmers wegen krankheitsbedingter Erwerbsunfähigkeit).

 

Bei der gebotenen Abwägung sei zunächst von den Erwägungsgründen in der DSGVO selbst auszugehen. In dem Erwägungsgrund 47 würde auf die Beziehung eingegangen sowie die Erwartbarkeit der Datenverarbeitung der betroffenen Person. Hier käme die Beziehung zwischen dem Geschäftsherrn und dem Kunden nur durch den Handels-/Versicherungsvertreter zustande, weshalb für den Kunden absehbar sei, dass der Geschäftsherr die Daten verarbeitet und an den Vertreter weitergäbe. Denn auch einem geschäftsunerfahrenen Kunden müsse klar sein, dass der Vertrag durch den Vertreter vermittelt würde und dieser dafür ein Entgelt erhält und der Abgleich einen Datenaustausch erforderlich mache. Diese hohe Erwartbarkeit spräche bereits für ein überwiegendes Interesse an der Offenlegung der Daten durch den Vertreter.

 

Zudem würde die DSGVO allgemein dem Zweck der Verfolgung von Rechtsansprüchen ein hohes Gewicht beimessen. So sei nach Art. 21 Abs. 1 S. 2 DSGVO ein Widerspruchsrecht der betroffenen Person gegen sie betreffende personenbezogene Daten ausschließen, wenn die Verarbeitung der Geltendmachung von Rechtsansprüchen des Verantwortlichen diene. (Anm.: Man stelle sich ein Versandgeschäft vor. Nach Versendung wird die Ware vom Kunden nicht gezahlt und er widerspricht der Nutzung seiner personenbezogenen Daten. Dies hindert Art. 21 Abs. 1 S. 2 DSFVO, damit der Händler noch die Daten zur Geltendmachung seines Anspruchs nutzen kann).  

 

Damit sei die Erteilung eines Buchauszugs nach § 87c Abs. 2 HGB nach Art. 6 Abs. 1 S. 1 Bucht. f DSGVO zulässig. 


Mahnung, Datenschutz und „Drohung“ mit  SCHUFA

BGH, Urteil vom 19.03.2015 – I ZR 157/13 -

Es  klagte vorliegend die Verbraucherzentrale Hamburg e.V. Beklagte war ein Telekommunikationsunternehmen. Hintergrund des Rechtstreits waren Mahnschreiben des beklagten Telekommunikationsunternehmens an jedenfalls zwei Kunden, in den die Beklagte die Kunden darauf hinwies, dass sie als Partner der SCHUFA verpflichtet wäre, „die unbestrittene Forderung der SCHUFA mitzuteilen, sofern nicht eine noch durchzuführende Interessenabwägung in Ihrem Fall etwas anderes ergibt.“ Dies wurde verbunden mit dem allgemeinen Hinweis, dass „ein solcher Eintrag bei Ihren finanziellen Angelegenheiten, z.B. der Aufnahme eines Kredits, erheblich behindern 8kann). Auch Dienstleistungen anderer Unternehmen können Sie dann unter Umständen nicht mehr oder nur noch eingeschränkt in Anspruch nehmen.“


Von der Klägerin wurde die Unterlassung dieser Ausführungen begehrt. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin war erfolgreich. Vom BGH wurde die vom Oberlandesgericht zugelassene Revision zurückgewiesen.

In seiner Entscheidung setzt sich der BGH mit § 28a Abs. 1 Satz 1 Nr. 4 lit. c) BDSG auseinander. Nach dieser Bestimmung muss der potentielle Schuldner rechtzeitig vor der Übermittlung von Daten an eine Auskunftei (wie der SCHUFA) darauf hingewiesen werden. Der BGH verdeutlicht, dass die Hinweispflicht nicht als Druckmittel dient und genutzt werden darf. Vielmehr soll dem Betroffenen nach der gesetzgeberischen Intention (BT-Drucks. 16/10529, S. 14)  die Möglichkeit eröffnet werden, durch die rechtzeitige Information entweder die Forderung zu begleichen oder aber ihr zu widersprechen. Die Regelung dient damit lediglich der Transparenz der Datenübermittlung. Der Anforderung wird eine Mitteilung nur dann gerecht, wenn dem Betroffenen nicht verschleiert wird, dass ein Bestreiten der Forderung ausreicht, um die Übermittlung der Daten an die SCHUFA zu verhindern.  


Datenschutz: Auskunftspflicht zur Adresse eines Mitpatienten

BGH, Urteil vom 09.07.2015 - III ZR 329/14 -

Wieweit geht Datenschutz ? Damit musste sich der BGH in seinem Urteil vom 09.07.2015 auseinandersetzen. Hintergrund war das Verlangen eines Patienten an die von ihm verklagte Klinikleitung , ihm die Anschrift eines Mitpatienten zu offenbaren. Zur Begründung behauptete er eine Körperverletzung durch diesen Mitpatienten. Die Klinikleitung verweigerte die Offenlegung der Anschrift und berief sich dafür auf §§ 203 StGB, 32, 35 LKHG M-V.


Der Klage wurde stattgegeben. Weder datenschutzrechtliche Vorschriften noch des Strafnorm des § 203 StGB würden dem Auskunftsbegehren entgegenstehen. Zwar sei der Träger der Klinik zum Schutz der Patientendaten verpflichtet. Doch würde dies nicht gelten, wenn die Weitergabe zur Abwehr einer gegenwärtigen Gefahr für Leben, körperliche Unversehrtheit, persönliche Freiheit des Patienten oder eines Dritten erforderlich ist und diese Rechtsgüter das Geheimhaltungsinteresse des Patienten überwiegen, § 35 Abs. 1 Nr. 3 LKHG M-V. Der BGH sieht darin auch die Möglichkeit des Klägers gewahrt, von dem Mitpatienten Schadensersatz zu begehren; die sprachliche Anpassung an § 34 StGB gebiete die Abwägung der widerstreitenden Interessen. Der Begriff der persönlichen Freiheit sei weit auszulegen. Bei dieser gebotenen Interessensabwägung überwiege das Schadensersatz gegenüber dem Mitpatienten begehrende Interesse des Klägers , auch wenn nicht feststünde, ob der Mitpatient die vom Kläger behauptete Körperverletzung begangen hat. Ohne Bekanntgabe der Anschrift könne der Kläger von Vornherein nicht einmal den angeblich Verantwortlichen haftbar machen. Die besonders sensiblen (und nach §§ 32ff LKHG M-V geschützten Daten (wie Krankheitsverlauf, Vorerkrankungen, Dauerschäden pp wären nicht betroffen; der Datenschutz diene nicht dazu, die Anonymität des Krankenhauses für schädigende Handlungen zu nutzen und damit faktisch den Geschädigten rechtlos zu stellen.


Nach dieser Entscheidung des BGH sind die Anschrift (und wohl auch Name) eines Patienten einem Mitpatienten herauszugeben, wenn dieser eine Schädigung durch den Mitpatienten behauptet.


Anwaltliche Schweigepflicht versus datenschutzrechtlicher Auskunftsanspruch

AG Köln, Urteil vom 04.02.2015 - 134 C 174/14 Kl -

Der zugrundeliegende Rechtsstreit mutet schon skurril an: Beide Parteien sind als Rechtsanwälte tätig. Sie vertraten in einem Prozess jeweils  eine der Parteien. Nach einer mündlichen Verhandlung in dieser Sache forderte der Kläger den Beklagten auf, ihm Auskunft nach § 34 BDSG zu erteilen (also über gespeicherte Daten von ihm, deren Herkunft und Empfänger). Dieses Schreiben sandte der Beklagte lediglich zu seiner Entlastung lediglich zurück. Daraufhin erhob der Kläger entsprechende Auskunftsklage.

 

 

Das Amtsgericht hat die Klage abgewiesen. Dazu bezog es sich auf §§ 34 Abs. 7 iVm. 33 Abs. 2 Satz 1 Nr. 2,3 oder 5-7 BDSG. Ein Auskunftsanspruch besteht danach nicht, wenn keine Pflicht zur Benachrichtigung besteht, was nach § 33 Abs. 2 Nr. 3 BDSG dann der Fall ist, wenn die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden Interesses eines Dritten, geheim gehalten werden müssen. Diese Geheimhaltungspflicht läge hier vor, da der Beklagte eine Schweigeverpflichtung nach § 43a BRAO habe. Diese Pflicht beziehe sich auf alles, was ihm in Ausübung seines Berufes bekannt geworden sei. Die (auch strafrechtlich sanktionierte) Schweigepflicht stünde so dem Auskunftsanspruch des § 34 BDSG entgegen.


Weitergabe von Daten durch Haftpflichtversicherung

OLG Oldenburg, Urteil vom 23.12.2014 - 13 U 66/14 -

Im Rahmen der Schadensabwicklung eines Verkehrsunfalls leitet der in Anspruch genommene Haftpflichtversicherer häufig Schadensgutachten und/oder Kostenvoranschläge des Geschädigten an außenstehende Dritte zur Prüfung weiter.  Das OLG Oldenburg hat einen Auskunftsanpruch zwar bejaht, aber den Unterlassungsantrag des Geschädigten zu den von ihm vom Haftpflichtversicherer gespeicherte Daten und zur Weitergabe derselben abgewiesen. Es lässt allerdings (leider) auf sich beruhen, ob die bereits erfolgte Weiterleitung rechtmäßig war, da es an der Besorgung weiterer Beeinträchtigungen ermangele. Auch wenn ein vorangegangenes Tun die Wiederholungsgefahr vermuten lasse, wäre diese Vermutung hier allerdings deshalb als widerlegt anzusehen, wenn die Beeinträchtigung durch eine einmalige Sondersituation veranlasst ist. Dies sei hier der Fall, da die Weitergabe lediglich aus Anlass der Abwicklung des konkreten Vorganges (Unfalls) erfolgt sei.