Aufsatz : Automatisierte Einzelentscheidung in der PKV – zur Europarechtskonformität des neuen § 37 Abs. 1 Nr. 2 BDSG : aus der RDV 1/2018, Seite 14 bis 21
Private Krankenversicherer verarbeiten personenbezogene Gesundheitsdaten per automatisierter Einzelentscheidung. Bislang hat diese Praxis niemand ernsthaft in Frage gestellt – jedenfalls nicht aus datenschutztechnischen Gründen. Die europäischen und nationalen Vorgaben des Datenschutzrechts verschieben sich allerdings zum 25. Mai 2018.
Der Beitrag setzte sich mit den im Bereich der automatisierten Einzelentscheidung relevanten europäischen Verordnungsvorgaben auseinander und zeigt auf, dass die durch die nationalen Gesetzgeber geschaffene Neuregelung in § 37 Abs. 1 Nr. 2 BDSG n.F. entgegen anderslautender Aussagen des Bayerischen Datenschutzbeauftragten europarechtlich unbedenklich ist.
I. Much ado about nothing?
Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) vom 30. Juni 2017 wurde § 37 Abs. 1 Nr. 2 BDSG n.F. eingeführt:
„Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und […]
2. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt; der Verantwortliche informiert die betroffene Person über diese Rechte spätestens im Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.“
Danach also ist ab dem 25. Mai dieses Jahres eine automatisierte Einzelentscheidung auch von Gesundheitsdaten weiterhin zulässig in dem Maße, wie es bereits aktuell praktiziert wird.[1] Dennoch wird diese Regelung von nicht unmaßgeblicher Stelle als europarechtswidrig kritisiert. So führt der Bayerische Datenschutzbeauftragte Thomas Petri mit Blick auf die Bundesregierung an, diese sei nicht gewillt, „das EU-Recht ganz ernst zu nehmen“. Explizit bezogen auf automatisierte Einzelentscheidungen durch private Krankenkassen – gemeint ist § 37 Abs. 1 Nr. 2 BDSG n.F. – hegt er sogar Zweifel, „ob das mit EU-Recht im Einklang steht“.[2] Aber stimmt das?
Sicherlich nicht, und das soll begründet werden: Zunächst ist die bisherige Rechtslage nach Maßgabe des § 6a Abs. 2 BDSG und der Datenschutzrichtlinie 95/46/EG (nachfolgend DSRL) in den Blick zu nehmen und anschließend mit der ab 25. Mai 2018 geltenden Rechtslage unter dem Regime des § 37 Abs. 1 Nr. 2 BDSG n.F. sowie Art. 9 Abs. 2 lit. g), 22 Abs. 4 Verordnung (EU) 2016/679 (im Folgenden DS-GVO) zu vergleichen. Dabei ist zu prüfen, ob sich hieraus für die oben aufgeworfene Rechtsfrage unter Beachtung unionsrechtlicher Vorgaben Änderungen ergeben. Darauf aufbauend kann detailliert auf die Europarechtskonformität des § 37 Abs. 1 Nr. 2 BDSG n.F. eingegangen werden. Im Zuge dessen werden die Voraussetzungen der Art. 9 Abs. 2 lit. g), 22 Abs. 4 DS-GVO betrachtet. In diesem Kontext wird vor allem der Frage nachzugehen sein, ob ein erhebliches öffentliches Interesse für automatisierte Entscheidungen im Bereich der privaten Krankenversicherungen besteht und angemessene sowie spezifische Maßnahmen zur Sicherung der Rechte des von der Datenverarbeitung Betroffenen getroffen wurden. Dabei muss auch die Verhältnismäßigkeit der Zwecksetzung untersucht werden, bevor zuletzt die Wahrung des – schwer fassbaren – Wesensgehalts des Datenschutzgrundrechts überprüft wird. Eine Summa fasst die gefundenen Ergebnisse zusammen.
II. Was bisher galt – und warum sich nur wenig geändert hat
Eine Europarechtswidrigkeit des aktuellen Rechts hat bislang noch niemand behauptet – aber ändert sich nun so viel?
1. Die Verarbeitung von Gesundheitsdaten, § 6a Abs. 2 BDSG und die Vorgaben der Datenschutzrichtlinie
Dass Gesundheitsdaten überhaupt verarbeitet werden dürfen durch die Krankenversicherer – unabhängig von der Frage automatisierter Einzelentscheidung – ist unbestritten und europarechtlich unbedenklich – wenn auch die Datenerhebung bei Dritten besonderen Grenzen unterliegt, s. § 213 VVG. Allerdings gilt für Gesundheitsdaten ein besonderer Schutz nach Art. 8 DSRL. Nach dessen Abs. 1 untersagen die Mitgliedstaaten grundsätzlich die Verarbeitung personenbezogener Daten aus besonderen Kategorien, wozu Gesundheitsdaten gehören, wenn eine Einwilligung nicht vorliegt. Davon wiederum ordnet Art. 8 Abs. 2 DSRL Ausnahmen an, denen die Mitgliedstaaten nach Art. 8 Abs. 4 DSRL bei ihrer Umsetzung der Richtlinie vorbehaltlich angemessener Garantien aus Gründen eines „wichtigen öffentlichen Interesses“ weitere hinzufügen können.
Dazu aber kommt die besondere Frage der automatisierten Einzelentscheidung. § 6 Abs. 1 S. 1 BDSG normiert bis zum 25. Mai ein generelles Verbot, Entscheidungen über Persönlichkeitsmerkmale, die zu rechtlichen oder nachteiligen Folgen für den Betroffenen führen können, ausschließlich einer automatisierten Datenverarbeitung zu überlassen. In § 6 Abs. 1 S. 2 BDSG konkretisiert das Gesetz die Wendung der ausschließlich auf automatisierte Verarbeitung gestützten Entscheidung dahingehend, dass eine solche insbesondere dann vorliegt, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat – so wie im Falle automatisierter Einzelentscheidungen durch private Krankenkassen bzgl. besonders sensibler personenbezogener Gesundheitsdaten.
Die Bestimmung verfolgt den Zweck, Risiken zu begegnen, die entstehen können, wenn anonyme Datenverarbeitungssysteme unabhängig vom Ansehen der Person automatisiert und für die Betroffenen meist nur schwer nachvollziehbar Entscheidungen fällen, die Persönlichkeitsmerkmale betreffen.[3] Oder, um es mit anderen Worten zu sagen: Es soll verhindert werden, dass der Betroffene zum bloßen Objekt der automatisierten Erstellung von Persönlichkeitsprofilen wird.[4] Damit setzt § 6a BDSG zugleich Art. 15 Abs. 1 DSRL nahezu wortlautgetreu um,[5] der ebenfalls anordnet, dass ausschließlich auf automatisierter Datenverarbeitung beruhende Entscheidungen hinsichtlich der Bewertung einzelner Aspekte der betroffenen Person grundsätzlich unzulässig sind.
Dieses grundsätzliche Verbot automatisierter Einzelentscheidungsprozesse unterliegt jedoch – ebenfalls unionsrechtlich determinierten – Einschränkungen. Art. 15 Abs. 2 DSRL verpflichtet die Mitgliedstaaten nämlich dazu, Ausnahmen für Fälle vorzusehen, in denen entweder die automatisierte Einzelentscheidung im Rahmen eines Vertragsschlusses respektive der Vertragserfüllung erfolgt und dem Begehren des Betroffenen damit abgeholfen wird (lit. a)) oder die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen sichergestellt und dies durch Gesetz zugelassen ist (lit. b)). Diese Ausnahmetatbestände finden ihre nationale Umsetzung in § 6a Abs. 2 BDSG – unabhängig davon, ob es sich um Gesundheitsdaten handelt oder nicht.
Dabei ist insbesondere § 6a Abs. 2 Nr. 2 BDSG für die hier diskutierte Frage von Relevanz. Auslegungsbedürftig sind dabei vor allem die „berechtigten Interessen“, deren Beachtung gewährleistet werden muss, damit die automatisierte Einzelentscheidung datenschutzrechtlich zulässig ist, sowie die zur Erreichung dieses Ziels geeigneten Maßnahmen. Die berechtigten Interessen des von der Datenverarbeitung Betroffenen liegen vor dem Hintergrund des oben genannten Regelungszwecks der Norm darin, dass an irgendeiner Stelle des Verarbeitungsprozesses eine natürliche Person in die Entscheidungsfindung mit eingebunden werden muss, sodass individuelle Besonderheiten, die möglicherweise in der Person des Betroffenen liegen, Berücksichtigung finden können.[6] Zentral ist allerdings die Fragestellung, welche geeigneten Maßnahmen hierzu ergriffen werden müssen.
Vor der Novellierung des BDSG im Jahre 2009 enthielt § 6a Abs. 2 Nr. 2 S. 2, 3 BDSG a.F. noch eine Konkretisierung der geeigneten Maßnahmen. Eine Maßnahme galt dann als geeignet im Sinne der Norm, wenn der Betroffene die Möglichkeit hatte, seinen Standpunkt geltend zu machen, sodass die verantwortliche Stelle dazu verpflichtet war, die automatisiert getroffene Entscheidung zu überprüfen. Zwar ist diese Ergänzung mit der erwähnten Novellierung im Jahre 2009 weggefallen – Grund war aber nach allgemeiner Meinung allein ein gesetzgeberisches Redaktionsversehen.[7] Auswirkungen auf die Auslegung der Norm sind mithin nicht erkennbar.[8] Die Wendung kann also weiterhin zur Bestimmung der geeigneten Maßnahmen herangezogen werden. Gestützt wird dies in systematischer Hinsicht durch einen Vergleich mit Art. 15 Abs. 2 lit. a) DSRL, der die Möglichkeit des Betroffenen, seinen Standpunkt geltend zu machen, als spiegelstrichartiges Beispiel für eine geeignete Maßnahme anführt. Damit soll letztlich eine am Ende der Datenverarbeitung stehende personale Verantwortung für den Entscheidungsprozess sichergestellt werden.[9] Deshalb ist es denklogisch, dass eine derartige Überprüfung der automatisiert getroffenen Einzelentscheidung nicht in der bloßen Wiederholung derselben liegen kann, sondern bei der Überprüfung vielmehr ein Mitarbeiter in den Prozess mit einbezogen werden muss.[10] In der Literatur wird jedoch z.T. ergänzend darauf hingewiesen, dass es für den Betroffenen überdies möglich sein müsse, die Bewertungsmaßstäbe, die im Rahmen des automatisierten Systems an die Entscheidungsfindung angelegt werden, erfahren zu können.[11]
Nach diesen Maßstäben ist ein automatisierter Datenverarbeitungsprozess, innerhalb dessen private Krankenkassen automatisierte Einzelentscheidungen verwenden können, de lege lata unter den genannten Voraussetzungen des § 6a Abs. 2 Nr. 2 BDSG möglich – das hat bislang niemand bestritten. Wiederum ist auf die bisherige Praxis der Versicherungsunternehmen[12] zu verweisen:
„Art. 13 Automatisierte Einzelentscheidungen
(1) Entscheidungen, die für die Betroffenen eine negative rechtliche oder wirtschaftliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, werden grundsätzlich nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Dies wird organisatorisch sicher gestellt. Die Informationstechnik wird grundsätzlich nur als Hilfsmittel für eine Entscheidung herangezogen, ohne dabei deren einzige Grundlage zu bilden. Dies gilt nicht, wenn einem Begehren der Betroffenen in vollem Umfang stattgegeben wird.
(2) Sofern automatisierte Entscheidungen zu Lasten der Betroffenen getroffen werden, wird dies den Betroffenen von der verantwortlichen Stelle unter Hinweis auf das Auskunftsrecht mitgeteilt. Auf Verlangen werden den Betroffenen auch der logische Aufbau der automatisierten Verarbeitung sowie die wesentlichen Gründe dieser Entscheidung mitgeteilt und erläutert, um ihnen die Geltendmachung ihres Standpunktes zu ermöglichen. Die Information über den logischen Aufbau umfasst die verwendeten Datenarten sowie ihre Bedeutung für die automatisierte Entscheidung. Die Entscheidung wird auf dieser Grundlage in einem nicht ausschließlich automatisierten Verfahren erneut geprüft.
(3) Der Einsatz automatisierter Entscheidungshilfen wird dokumentiert.“
2. § 37 Abs. 1 Nr. 2 BDSG n.F. und die Vorgaben der DS-GVO
Noch nicht beantwortet ist damit die Frage, ob sich durch das ab 25. Mai 2018 anwendbare BDSG n.F. und die DS-GVO die bestehenden Demarkationslinien unter Beachtung europarechtlicher Implikationen verschoben haben, so wie es der Bayerische Datenschutzbeauftragte angedeutet hat. Art. 9 Abs. 1 DS-GVO verbietet dem Grunde nach die Verarbeitung personenbezogener Daten, die in besondere Kategorien fallen und damit auch die enumerativ aufgezählten Gesundheitsdaten im Sinne der Legaldefinition des Art. 4 Nr. 15 DS-GVO. Davon macht die zwischen den Ausnahmetatbeständen des Art. 9 Abs. 2 DS-GVO versteckte Generalklausel des Art. 9 Abs. 2 lit. g) DS-GVO wiederum eine Ausnahme für Fälle, in denen ein „erhebliches öffentliches Interesse“ vorliegt. Dabei handelt es sich um eine Öffnungsklausel, die mit Art. 8 Abs. 4 DSRL korrespondiert.[13] Zentral ist in diesem Zusammenhang, dass allein „erhebliche öffentliche Interessen“ ausreichen können. In systematischer Hinsicht wird anhand von Art. 9 Abs. 2 lit. e) DSGVO, der jegliche öffentliche Aufgaben umfasst, deutlich, dass die Erheblichkeit erst gegeben sein kann, wenn das Allgemeinwohl in besonderem Maße tangiert wird.[14]
Dies steht im Zusammenhang mit Art. 22 DS-GVO. Nach Art. 22 Abs. 1 DS-GVO hat der Betroffene zwar das Recht, nicht einer Entscheidung ausgesetzt zu werden, die ausschließlich auf einer automatisierten Datenverarbeitung beruht. Grund dessen ist die bereits hervorgehobene Sensibilität der Gesundheitsdaten und deren Aussagekraft im Hinblick auf die Persönlichkeit des Betroffenen. Dieses Verbot automatisierter Einzelentscheidungen gilt aber gemäß Art. 22 Abs. 4 DS-GVO dann nicht, wenn der genannte Art. 9 Abs. 2 lit. g) DS-GVO eingreift. Art. 22 Abs. 4 DS-GVO kommt hinsichtlich Art. 9 Abs. 2 lit. g) DS-GVO insoweit eine verschärfende Funktion dahingehend zu, dass zusätzlich angemessene Maßnahmen getroffen werden müssen, die sicherstellen, dass die berechtigten Interessen des Betroffenen gewahrt werden.[15] Möglich sind allerdings auch rein klarstellende Bestimmungen, soweit diese erforderlich sind, um Friktionen mit dem nationalen Recht vermeiden zu können.[16] Was unter angemessenen Maßnahmen zu verstehen ist, wird für Art. 9 Abs. 2 lit. h) DS-GVO in Art. 9 Abs. 3 DS-GVO konkretisiert. Danach ist eine Maßnahme angemessen, wenn entweder die Daten durch Fachpersonal verarbeitet werden, das dem Berufsgeheimnis unterliegt, oder eine Person die Daten verarbeitet, die jedenfalls einer Geheimhaltungspflicht unterworfen ist. Dies wird man auch auf Art. 9 Abs. 2 lit. g) DS-GVO übertragen können – es wäre sinnwidrig, im einen Buchstaben einen anderen Maßstab zu verlangen als im anderen. Beider Male geht es um dasselbe Schutzgut. Gleichwohl wird man konstatieren können, dass sich die Anforderungen an die Angemessenheit der Maßnahmen im Einzelfall nach dem Grad der Sensibilität der in Rede stehenden Daten richten müsse.[17]
Diesen unionsrechtlichen Vorgaben kommt § 37 Abs. 1 Nr. 2 BDSG n.F. nach. Ausweislich der Gesetzesbegründung[18] sollen gerade im Bereich der privaten Krankenversicherungswirtschaft automatisierte Einzelentscheidungen weiterhin zulässig sein, soweit angemessene Maßnahmen zur Wahrung der berechtigten Interessen des Betroffenen ergriffen werden – das Schutzniveau der Art. 9 Abs. 2 lit. g), 22 Abs. 4 DS-GVO wird dadurch nicht ausgehebelt.
3. Folgerungen: Keine Änderung der europäischen Vorgaben der Sache nach
Was folgt daraus? Maßgeblich unterscheiden sich Art. 8 Abs. 4 DSRL und Art. 9 Abs. 2 lit. g) DS-GVO mithin dadurch, dass das vormals „wichtige“ nun ein „erhebliches“ öffentliches Interesse sein muss.[19] Weiterhin werden aus angemessenen Garantien im Sinne des Art. 15 Abs. 2 lit. b) DSRL, die die Mitgliedstaaten hinsichtlich der Betroffenenrechte zu treffen haben, angemessene Maßnahmen gemäß Art. 22 Abs. 4 DS-GVO. Diese – rein graduellen – Modifikationen des Wortlautes deuten aber prima facie nicht auf eine Verengung der materiellen Rechtslage hin – im Gegenteil: Viel mehr indizieren sie eine leichte Absenkung der europarechtlichen Vorgaben. Dies zeigt bereits das semantische Verständnis der genannten Begriffe. Das Wort „wichtig“ beschreibt nach allgemeinem Sprachgebrauch eine Gegebenheit, die für jemanden von wesentlicher Bedeutung ist, sodass davon viel abhängt.[20] Die Bezeichnung der öffentlichen Interessen als „erheblich“ dagegen meint allein, dass diese ins Gewicht fallen und damit beträchtlich sind.[21] Während zuvor also das öffentliche Interesse von besonderer Bedeutung sein und viel davon abhängen musste, fällt es nach künftiger Rechtslage unter mehreren Faktoren nur noch ins Gewicht. Ähnlich verhält es sich mit den angemessenen „Garantien“, die die Mitgliedstaaten vorsehen können, und die bald nur noch angemessene „Maßnahmen“ sind. Wer etwas garantiert, übernimmt eine Gewähr für sein Tun, wer eine Maßnahme trifft, handelt dagegen nur, um etwas zu bewirken, ohne jedoch für den Erfolg einstehen zu wollen oder zu müssen.[22]
Die unionsrechtlichen Maßstäbe haben sich damit auf den ersten Blick minimal gelockert. Dies zeigt sich nicht zuletzt auch daran, dass der Ausnahmenkatalog des Art. 9 Abs. 2 DS-GVO im Vergleich zu Art. 8 Abs. 2 DSRL deutlich erweitert wurde.[23] Entgegen der Auffassung des Bayerischen Datenschutzbeauftragten scheint die Bundesregierung mit § 37 Abs. 1 Nr. 2 BDSG n.F. die Vorgaben des EU-Rechts also sehr wohl ernst zu nehmen. Dennoch soll im Folgenden eine etwas eingehendere Betrachtung der datenschutzrechtlichen Hürden sowie der Europarechtskonformität des § 37 Abs. 1 Nr. 2 BDSG n.F. erfolgen.
III. Unveränderte Europarechtskonformität
Schon die obige Gegenüberstellung spricht für eine unveränderte Europarechtskonformität der bisherigen Verfahren und auch des künftigen Rechts: Wer dessen Europarechtswidrigkeit behauptet, der müsste auch die Europarechtswidrigkeit des status quo behaupten. Das aber überzeugt nicht. Zur Betrachtung der Europarechtskonformität des § 37 Abs. 1 Nr. 2 BDSG n.F. sind nun die Vorgaben der Art. 22 Abs. 4, 9 Abs. 2 lit. g) DS-GVO näher in den Blick zu nehmen:
1. Erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g) DS-GVO
Nach Art. 9 Abs. 2 lit. g) DS-GVO muss – wie dargestellt – die Datenverarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich sein. Aus Erwägungsgrund 46 – beispielhaft genannt sind dort die „Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen“ – und auch Art. 6 Abs. 1 lit. e) DS-GVO, der jegliche öffentliche Aufgabe genügen lässt, ergibt sich, dass das von der Generalklausel geforderte erhebliche öffentliche Interesse ein qualifiziertes sein muss, das gewichtig genug ist, eine mitgliedstaatliche Ausnahmenorm zu legitimieren, wobei dem nationalen Gesetzgeber diesbezüglich ein weiter Gestaltungsspielraum zugestanden wird.[24] Demnach kann das erhebliche öffentliche Interesse fraglos in der Abwehr von Gefahren für absolut geschützte Rechtsgüter wie etwa Leib und Leben liegen. Dies ergibt sich bereits aus Art. 9 Abs. 2 lit. c) DS-GVO. In Ansehung der ebenfalls von Art. 9 Abs. 2 lit. g) DS-GVO geforderten spezifischen Maßnahmen genügt es jedoch auch, wenn die Unversehrtheit der Rechtsordnung sichergestellt wird.[25]
a) Warum die vollautomatisierte Verarbeitung der Effizienz dient
Dabei hört es aber nicht auf. Verarbeiten private Krankenversicherungen Gesundheitsdaten per automatisierter Einzelentscheidung, dient dies der Effizienz. Und eine effiziente private Krankenversicherung liegt erheblich im öffentlichen Interesse – nicht nur im Interesse des Versicherten. Denn: Würde jede Entscheidung im Bereich der Krankenversicherung durch einen Mitarbeiter gefällt, entstünden deutlich höhere Personalkosten. An diesen höheren Kosten würden auch die Versicherten durch höhere Beiträge zur privaten Krankenversicherung partizipieren. Das automatisierte Verfahren dagegen ist kostengünstiger, da weniger personalintensiv. Die so zu Stande kommenden niedrigeren Beiträge zur privaten Krankenversicherung kommen also der Gesamtheit der Privatversicherten zugute. Ähnlich verhält es sich auch mit der Bearbeitungsdauer. Diese ist durch die Automatisierung ebenfalls erheblich kürzer, jedenfalls soweit es um Anträge der Versicherten geht. Dies erkennt auch Erwägungsgrund 52 an, wenn er davon spricht, dass die „Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll“ als Ausnahme vom Verbot der Verarbeitung sensibler Daten in Betracht kommt.
Aber nicht nur diese Praktikabilitätserwägungen begründen das erhebliche öffentliche Interesse. Auch ist zu berücksichtigen, dass das Verarbeitungsprogramm letztlich nichts anders macht als ein Mitarbeiter, der die Entscheidung fällt. Schließlich müssen sich doch sowohl Programm als auch Mensch bei der Entscheidung an Vorgaben der privaten Krankenversicherung halten. Um es plastisch zu machen: So existieren etwa hinsichtlich der Frage, ob ein künstliches Hüftgelenk gewährt wird, von den Krankenversicherern vorgegebene Prüfkriterien. Ob Prüfung und darauf basierende Entscheidung nun durch einen Mitarbeiter oder ein automatisiertes Programm erfolgt, kann also keinen Unterschied machen. Der Prüfungsumfang ist derselbe.
b) Das öffentliche Interesse in der Rechtsprechung des EuGH
Und dieses Mehr an Effizienz ist ein öffentliches Interesse. Das öffentliche Interesse wird, da letztlich eine Vielzahl von Fallkonstellationen denkbar ist, in denen die Verarbeitung von Gesundheitsdaten im öffentlichen Interesse liegen kann, eher weit verstanden,[26] sodass auch die Effizienz der Krankenversicherung darunter fallen kann. Dies zeigt sich ebenfalls anhand einer Durchsicht der einschlägigen EuGHRechtsprechung. Danach kann nahezu alles ein öffentliches Interesse sein: Vom öffentlichen Interesse an der Kulturpolitik,[27] über das öffentliche Interesse an der Bekanntgabe von Umweltinformationen[28] bis hin zu dem – und für uns näherliegend – Schutz der Volksgesundheit,[29] um nur drei Beispiele willkürlich herauszugreifen. Maßgeblich ist allein, dass es sich um eine mit den bereits bekannten Fallgruppen des öffentlichen Interesses vergleichbare Konstellation handelt. So wird man es auch im Rahmen des Art. 9 Abs. 2 lit. g) DS-GVO halten können. Jedenfalls dann, wenn das erhebliche öffentliche Interessen den sonstigen Verarbeitungsausnahmen des Art. 9 Abs. 2 DS-GVO gleicht, wird man es anerkennen müssen.[30] Es ist offensichtlich, dass neben diesen eher weit verstandenen und breit definierten öffentlichen Interessen auch die Effizienz der Krankenversicherung ein erhebliches öffentliches Interesse bergründen kann.
2. Angemessene Sicherungen (Art. 22 Abs. 4, Art. 9 Abs. 2 lit. g DS-GVO)
Dies allein reicht freilich nicht. Zusätzlich ergibt sich aus der Zusammenschau von Art. 9 Abs. 2 lit. g) und Art. 22 Abs. 4 DS-GVO, dass angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und der berechtigten Interessen der betroffenen Person vorgesehen werden müssen. Spezifisch sind die Maßnahmen allemal, da sie auf Gesundheitsdaten bezogen sind. Jedoch müssen sie auch angemessen sein. Damit verlangt die Öffnungsklausel dem nationalen Recht viel ab. § 37 Abs. 1 Nr. 2 BDSG n.F. ist dem jedoch nachgekommen. So verpflichtet der deutsche Gesetzgeber den jeweiligen privaten Krankenversicherer, selbst angemessene Maßnahmen zu treffen. Durch das Adverb „mindestens“ wird deutlich gemacht, dass zu diesen das „Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen“, das „Recht auf Darlegung des eigenen Standpunktes“ und das „Recht auf Anfechtung der Entscheidung“ zählen. Über diese Rechte muss die verantwortliche Krankenversicherung den Betroffenen denklogisch informieren, spätestens ab dem Zeitpunkt der Mitteilung der ablehnenden Entscheidung. Die aufgezählten Rechte kommen den Vorstellungen des europäischen Verordnungsgebers gleich, wie er sie in Erwägungsgrund 71 festgehalten hat, und stellen die Wahrung der berechtigten Interessen des Betroffenen sicher. Denn dieser kann für den Fall, dass dessen Antrag nicht stattgegeben wird, eine Überprüfung der automatisiert getroffenen Entscheidung erreichen, sodass – ganz im Sinne der Ratio der Art. 9 Abs. 2 lit. g), 22 Abs. 4 DS-GVO – Besonderheiten der Person Berücksichtigung finden können. Der Schutz verlagert sich damit im Verfahren also nur weiter nach hinten – das Schutzniveau jedoch sinkt nicht ab.
Im Gegenteil: Es steigt leicht an. Denn diese ausdifferenzierten Vorgaben des § 37 Abs. 1 Nr. 2 BDSG n.F. gehen tendenziell weiter als das noch aktuell zum Zuge kommende dreischrittige Vorgehen gemäß § 6a Abs. 2 Nr. 2 BDSG. Danach steht am Anfang die Information des Betroffenen über die automatisierte Einzelentscheidung, anschließend erfolgen Mitteilung und Erläuterung der Gründe für die Entscheidung, soweit der Betroffene dies wünscht, und zuletzt muss die Möglichkeit für den Betroffenen bestehen, den eigenen Standpunkt deutlich zu machen, um eine Überprüfung und ggf. auch eine Revision der Entscheidung zu erreichen.[31] Bislang konnte der Betroffene also lediglich durch Darlegung des eigenen Standpunktes versuchen, eine Überprüfung der automatisiert getroffenen Entscheidung durch einen Mitarbeiter zu erreichen – nach künftiger Rechtslage unter dem Regime der DS-GVO und dem BDSG n.F. kann er eine solche durch Geltendmachung seines Recht auf Eingreifen einer Person seitens des Verantwortlichen leichter herbeiführen. Da die Vorgaben des § 37 Abs. 1 Nr. 2 BDSG n.F. mithin weiter gehen als die Erfordernisse des § 6a Abs. 2 Nr. 2 BDSG, und das trotz leicht gelockerter europarechtlicher Vorgaben, spricht viel dafür, dass der Gesetzgeber angemessene Maßnahmen zur Wahrung der berechtigten Interessen des Betroffenen getroffen hat. Die Voraussetzungen der Öffnungsklausel wurden also in dieser Hinsicht erfüllt.
3. Eben deshalb: Verhältnismäßige Zweckverfolgung (Art. 9 Abs. 2 lit. g DS-GVO)
Der Rest ist dann schnell erzählt. Was ohnehin selbstverständlich ist, ordnet der europäische Verordnungsgeber explizit an: Die nationale Norm muss verhältnismäßig sein, oder wie es der Wortlaut sagt „in angemessenem Verhältnis zu dem verfolgten Ziel“ stehen. Nach der Rechtsprechung des EuGH in Bezug auf Maßnahmen der Mitgliedstaaten verlangt der Grundsatz der Verhältnismäßigkeit, dass die „ergriffenen Maßnahmen nicht die Grenzen dessen überschreiten, was zur Erreichung der (…) verfolgten Ziele geeignet und erforderlich ist. Dabei ist, wenn mehrere geeignete Maßnahmen zur Auswahl stehen, die am wenigsten belastende zu wählen; ferner müssen die verursachten Nachteile in angemessenem Verhältnis zu den angestrebten Zielen stehen“.[32] Danach orientiert sich die Verhältnismäßigkeit an den Maßstäben der Geeignetheit, Erforderlichkeit und Angemessenheit, wobei der EuGH dazu tendiert, die Angemessenheit im Rahmen der Erforderlichkeit zu thematisieren.[33] Die Verarbeitung personenbezogener Gesundheitsdaten per automatisierter Einzelentscheidung, wie in § 37 Abs. 1 Nr. 2 BDSG n.F. vorgesehen, ist zunächst geeignet, das angestrebte Ziel, die private Krankenversicherung effizienter zu machen, zu fördern. Wie bereits zuvor dargelegt, sinken Kosten und Bearbeitungsdauer für Anträge der Versicherten – und das bei gleichbleibendem Prüfumfang anhand der von den Krankenversicherungsträgern ohnehin vorgegebenen Kriterien. Dies ist unter allen denkbaren zur Verfügung stehenden Mitteln auch das am wenigsten belastende. Denn die Rechte der von der Datenverarbeitung Betroffenen werden durch die automatisierte Einzelentscheidung nicht beschnitten. Vielmehr verlagert sich der Schutz im Verfahren ein Stück weit nach hinten, wird dafür aber auch angehoben, indem unter Geltung des § 37 Abs. 1 Nr. 2 BDSG n.F. im Anschluss an eine ablehnende oder bloß nicht vollumfänglich dem Antrag des Versicherten stattgebenden Entscheidung der Krankenkasse auf den Leistungsantrag des Versicherten hin eine Überprüfung des Verfahrens durch einen Mitarbeiter stattzufinden hat. Diese erst auf eine nachträgliche Überprüfung durch eine natürliche Person zielende Verfahrensweise steht auch in einem ausgewogenen Verhältnis zur Erreichung einer effizienten (privaten) Krankenversicherung, da durch die Mindestrechte des § 37 Abs. 1 Nr. 2 BDSG n.F. eine am Ende des Verarbeitungsprozesses stehende personale Verantwortung sichergestellt ist, sodass individuelle Besonderheiten, die unter Umständen in der Natur des Versicherten liegen, in jedem Fall Berücksichtigung finden können. Die Verhältnismäßigkeit der Zweckverfolgung nach Art. 9 Abs. 2 lit. g) DS-GVO ist also zu bejahen.
4. Eben deshalb: Wahrung des Wesensgehalts des Rechts auf Datenschutz (Art. 9 Abs. 2 lit. g DS-GVO)
Wurden all diese Voraussetzungen beachtet, fordert die Norm weiterhin, dass der Wesensgehalt des Rechts auf Datenschutz gewahrt bleiben muss. Damit hat der europäische Verordnungsgeber ein Hapax legomenon des Datenschutzrechts geschaffen. Denn der Begriff des Wesensgehalts taucht in der DS-GVO nur an einer einzigen Stellen erneut auf (nämlich in Art. 23 Abs. 1 DS-GVO), dort aber bezogen auf alle Grundrechte und Grundfreiheiten.[34] Damit handelt es sich um eine singulär vorkommende und dem Datenschutzrecht fremde Begrifflichkeit, die schwer bestimmbar ist. Denn: Was genau der Wesensgehalt des Datenschutzrechts ist, bleibt offen. Selbst der EuGH hat bislang keine Konkretisierung des Wesensgehalts des Datenschutzrechts vorgenommen.[35] Auch nach deutschem Recht – dort sei etwa an Art. 19 Abs. 2 GG erinnert – handelt es sich um eine schwierige Begrifflichkeit.[36] Insgesamt kann sie als überflüssig weil nicht abschließend eingrenzbar qualifiziert werden. Außerdem fragt sich, in welcher denkbaren Fallkonstellation der Wesensgehalt überhaupt verletzt sein soll, wenn doch die Verhältnismäßigkeit gewahrt sowie angemessene und spezifische Maßnahmen zur Sicherung der Grundrechte und Interessen der betroffenen Person getroffen wurden.[37] Man wird bei Betrachten des Wortlautes von Art. 9 Abs. 2 lit. g DS-GVO sagen können, dass die Wesensgehaltsgarantie zwar vom Verhältnismäßigkeitsgrundsatz zu trennen ist, aber letztlich nicht mehr bedeutet, als dass der Gesetzgeber berechtigt ist, das Datenschutzrecht mit anderen Rechtsgütern abzuwägen, nur dass er eben dessen Kernbereich nicht preisgeben darf, was aber wohl nur dann der Fall wäre, wenn er eine Datenverarbeitung ohne auch nur eine einzige Beschränkung als zulässig erklärte.[38]
Unabhängig von dieser Kritik an der gebrauchten Begrifflichkeit sowie der Ausgestaltung der Norm[39] muss aber nach diesen Grenzlinien jedenfalls in der hier gegebenen Konstellation der Wesensgehalt des Datenschutzrechts als gewahrt angesehen werden. Die Mindestrechte des Betroffenen aus § 37 Abs. 1 Nr. 2 BDSG n.F. garantieren nicht nur die Grundprinzipien des Datenschutzrechts und verhindern es in effektiver Art und Weise, dass die Gesundheitsdaten des von der Verarbeitung Betroffenen ausschließlich schwer nachvollziehbaren automatisierten Einzelentscheidungen überlassen werden, sondern ermöglichen auf Tätigwerden des Betroffenen hin eine Überprüfung durch Mitarbeiter des privaten Krankenversicherers. Dass der Betroffene auf seine eigene Initiative hin eine Revision der ablehnenden oder nicht vollumfänglich dem Begehren des Versicherten stattgebenden Entscheidung erreichen kann, entspricht auch der Konzeption der DS-GVO selbst, wie ein Blick auf das in Art. 21 Abs. 1 DS-GVO verankerte Widerspruchsrecht zeigt. Auch dort hat die betroffene Person das Recht, gegen die an sich erlaubte Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen, aus Gründen, die sich aus ihrer besonderen Situation ergeben.[40] Deshalb kann ein Verarbeitungsverfahren, das europäischen Verordnungsvorgaben jedenfalls von der dahinterstehenden Konzeption her gleicht (auch wenn Widerspruchs- und Überprüfungsrecht für den Fall, dass dem Antrag nicht stattgegeben wird, dogmatisch etwas anderes sind), wohl kaum europarechtswidrig sein – das wäre mehr als widersprüchlich.
IV. Summa
Es hat sich gezeigt, dass § 37 Abs. 1 Nr. 2 BDSG n.F. im Einklang mit Art. 9 Abs. 2 lit. g), 22 Abs. 4 DS-GVO steht und damit europarechtskonform ist – genauso wie seine noch gültige Vorgängerregelung in § 6a Abs. 2 Nr. 2 BDSG mit Art. 8 Abs. 4, 15 Abs. 2 DSRL vereinbar ist. Denn: Die marginalen Wortlautänderungen der europäischen Vorgaben fallen unter der DS-GVO im Vergleich zur aktuell noch gültigen Rechtslage leicht ab. Die vormals „wichtigen“ werden zu „erheblichen“ öffentlichen Interessen, die angemessenen „Garantien“ werden zu angemessenen „Maßnahmen“.
Daraus folgt: Wer die künftige Regelung für europarechtswidrig hält, hält auch den status quo für europarechtswidrig. Das aber vermag nicht zu überzeugen. Denn parallel zu den abfallenden europarechtlichen Vorgaben werden die Rechte des von der automatisierten Einzelentscheidung Betroffenen in § 37 Abs. 1 Nr. 2 BDSG n.F mutiger formuliert als in § 6a Abs. 2 Nr. 2 BDSG und steigen damit leicht an. Dem hinter dem grundsätzlichen Verbot automatisierter Einzelentscheidungen und deren Zulässigkeit im Ausnahmefall stehende Gedanken, auf Grund der besonderen Sensibilität von Gesundheitsdaten im Hinblick auf die Persönlichkeit des Betroffenen eine personale Verantwortung für die Einzelentscheidung sicherstellen zu wollen, wird durch die explizit von § 37 Abs. 1 Nr. 2 BDSG n.F. genannten Mindestrechte des Betroffenen Rechnung getragen. Deshalb lässt sich die Europarechtskonformität der auf der europäischen Öffnungsklausel beruhenden nationalen Norm wohl kaum ernsthaft bestreiten. Alles in allem lässt sich also festhalten, dass die eingangs geäußerte Vermutung zutrifft: Bloß viel Lärm um nichts!
Prof. Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn und Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.
* Der Praxis danke ich für die Anregung des Beitrages – Herrn Sebastian Rombey für die vielfältige und eingehende Diskussionsbereitschaft.
[1] S. z.B. Art. 13 des Code of Conduct der deutschen Versicherungswirtschaft, abrufbar unter https://www.europa.de/fileadmin/pdf-extern/allgemein/europa_codeofconduct.pdf, Abruf v. 04.01.2018.
[2] Vgl. etwa Passauer Neue Presse v. 31.01.2017, abrufbar unter http://www.pnp.de/nachrichten/bayern/2383787_Bayerischer_Datenschuetzer_rueffelt_Bundesregierung.html, Abruf v. 04.01.2018.
[3] Simitis/Scholz, BDSG, 8. Aufl. 2014, § 6a Rn. 3
[4] Simitis/Scholz, BDSG, 8. Aufl. 2014, § 6a Rn. 3; beispielhaft zu nennen ist hier das sog. Scoring, vgl. dazu Roßnagel, NZA 2009, 2719.
[5] Streitig ist in diesem Kontext allerdings, ob Art. 15 DSRL lediglich die Zulässigkeit automatisierter Entscheidungen einschränkt (so etwa Ehmann/Helfrich, EG-Datenschutzrichtlinie, 1. Aufl. 1999, Art. 15 Rn. 3 ff.) oder gar ein dahingehendes generelles Verbot enthält (in diese Richtung Brühmann/Zerdick, CR 1996, 443).
[6] Simitis/Scholz, BDSG, 8. Aufl. 2014, § 6a Rn. 32
[7] Auernhammer/Herbst, DS-GVO und BDSG, 5. Aufl. 2017, § 6a Rn. 17; so auch BeckOK-DatenschutzR/von Lewinski, BDSG, 21. Edition 2017, § 6a Rn. 43.
[8] Eingehend Taeger/Gabel/Mackenthun, BDSG, 2. Aufl. 2013, § 6a Rn. 22.
[9] Dammann/Simitis, EG-Datenschutzrichtlinie, 1. Aufl. 1997, Art. 15 Rn. 10.
[10] Instruktiv Duhr/Naujok/Peter/Seiffert, DuD 2002, 26.
[11] ErfK/Fanzen, BDSG, 18. Aufl. 2018, § 6a Rn. 2.
[12] Eingefangen in Art. 13 des Code of Conduct der deutschen Versicherungswirtschaft, abrufbar unter https://www.europa.de/fileadmin/pdf-extern/allgemein/europa_codeofconduct.pdf, Abruf v. 04.01.2018
[13] Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 35.
[14] So explizit Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 36.
[15] Auernhammer/Herbst, DS-GVO und BDSG, 5. Aufl. 2017, Art. 22 Rn. 19 f.; s. auch Sydow/Helfrich, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 22 Rn. 76.
[16] Paal/Pauly/Martini, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 22 Rn. 43.
[17] So auch Auernhammer/Herbst, DS-GVO und BDSG, 5. Aufl. 2017, Art. 22 Rn. 21.
[18] Siehe BT-Drucks. 18/11325, S. 106.
[19] Paal/Pauly/Frenzel, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 9 Rn. 38.
[20] Vgl. Duden, Stichwort „wichtig“, abrufbar unter https://www.duden.de/rechtschreibung/wichtig, Abruf v. 04.01.2018.
[21] Vgl. Duden, Stichwort „erheblich“, abrufbar unter https://www.duden.de/rechtschreibung/erheblich, Abruf v. 04.01.2018.
[22] Anders und damit von gleichbleibenden europäischen Vorgaben ausgehend Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 39 mit der Begründung, dass „Garantien“ und „Maßnahmen“ in der DS-GVO zugleich verwendet würde, wie überdies ein Vergleich der verschiedenen Sprachfassungen von Art. 9 Abs. 2 lit. b) und Art. 9 Abs. 2 lit. g) DS-GVO zeige, sodass sich beide Begrifflichkeiten inhaltlich entsprächen.
[23] Eine ausführliche Genese findet sich bei Paal/Pauly/Frenzel, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 9 Rn. 3 ff.
[24] Auernhammer/Greve, DS-GVO und BDSG, 5. Aufl. 2017, Art. 9 Rn. 19; vgl. auch Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 36
[25] So Paal/Pauly/Frenzel, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 9 Rn. 39.
[26] Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 35.
[27] EuGH v. 25.07.1991 – C-353/89, EuZW 1992, 56 Rn. 30 (Mediawet).
[28] So erst jüngst EuGH v. 13.07.2017 – C-60/15 P, NVwZ 2017, 1276 Rn. 60 (Saint-Gobain Glass Deutschland GmbH).
[29] EuGH v. 17.07.1997 – C-183/95, EuZW 1997, 730 Rn. 61 (Affish BV).
[30] Dafür Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 35.
[31] Paal/Pauly/Frenzel, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 22, Rn. 42; vgl. dazu auch Gola/Schomerus, BDSG, 12. Aufl. 2015, § 6a Rn. 14 ff.
[32] Vgl. EuGH v. 21.07.2011 – C-2/10, NVwZ 2011, 1057 Rn. 73 (Franchini); EuGH v. 09.03.2010, C-379/08, EuZW 2010, 388 Rn. 86 (ERG); s. auch Jarass, Charta der Grundrechte der EU, 3. Aufl. 2016, Art. 52 Rn. 36.
[33] Dazu näher Jarass, Charta der Grundrechte der EU, 3. Aufl. 2016, Art. 52 Rn. 36; s. auch Grabitz/Hilf/Nettesheim/Leible/T. Streinz, Das Recht der EU, 62. EL Juli 2017, Art. 34 Rn. 123 ff. die darauf hinweisen, dass der EuGH keine dem deutschen Recht ähnelnde dreistufige Verhältnismäßigkeitsprüfung durchführt; anders dagegen GA Trstenjak, SchlA C-10/10 Rn. 67 ff. – Kom./Österreich.
[34] Deswegen könnte man auch von einem Dis legomenon sprechen.
[35] Selbst in der viel beachteten EuGH-Entscheidung v. 06.10.2015, C-362/14, EuZW 2015, 881 Rn. 94 in der Rechtssache Schrems hat der EuGH einen Verstoß gegen den Wesensgehalt des Art. 7 GrCH angenommen, ohne jedoch zu definieren, worin dieser genau liegt; vertiefend Sydow/Peuker, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 23 Rn. 39 m.w.N.
[36] Schon früh hat Scheuerle in seinem Aufsatz „Das Wesen des Wesens“ darauf hingewiesen, dass das Wesensargument nichts weiter ist als ein Kryptoargument, das nur gebraucht wird, um anderes zu verschleiern, und dass es wegen seiner fehlenden Klarheit nicht geeignet ist, rechtlich belastbare Begründungen zu liefern: Scheuerle, AcP 163 (1964), 429 ff
[37] Dieselbe Frage stellen sich auch Sydow/Kampert, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 9 Rn. 40, die deshalb auch eine eigenständige Bedeutung der Wesensgehaltsgarantie zu Recht verneinen.
[38] Sydow/Peuker, Europäische Datenschutzgrundverordnung, 1. Aufl. 2017, Art. 23 Rn. 41; lesenswert auch Bock/Engeler, DVBl. 2016, 593, 596.
[39] Vgl. tiefergehend auch Stern/Sachs/Johlen, Europäische Grundrechte-Charta, 1. Aufl. 2016, Art. 8 Rn. 38 ff.
[40] Dazu Auernhammer/Kramer, DS-GVO und BDSG, 5. Aufl. 2017, Art. 21 Rn. 1 f