DA+

Empfehlungswerbung durch Krankenkassen – ein datenschutzrechtliches Problem?

Empfehlungswerbung – auch Tell-a-friend-Werbung, Freundschaftswerbung oder Laienwerbung genannt – ist für viele Unternehmen, insbesondere für Krankenkassen, ein valides Mittel, um Neukunden zu akquirieren. Dabei stellt ein Außendienstmitarbeiter im Bestandskundengespräch die Frage, ob der Bestandskunde nicht jemanden kenne, der möglicherweise Interesse an einem Versicherungsprodukt der jeweiligen Krankenkasse hätte. Erfolgt daraufhin eine Empfehlung, was nicht selten durch einen finanziellen Anreiz seitens der Krankenkasse gefördert wird, kontaktiert der Außendienstmitarbeiter den Empfohlenen als potentiellen Neukunden. Diese in der wettbewerbsrechtlichen Rechtsprechung und Literatur breit diskutierte Vorgehensweise ist – soweit ersichtlich – bislang keiner datenschutzrechtlichen Betrachtung zugeführt worden, obwohl sich bei genauerem Hinsehen mannigfaltige Fragen stellen, über die es sich nachzudenken lohnt. Die Autoren wollen hierbei einen „ersten Aufschlag machen“ und die grundsätzlichen datenschutzrechtlichen Fragen einer Beantwortung zuführen.

Lesezeit 50 Min.

I. Empfehlungswerbung: eine vorwiegend wettbewerbsrechtlich geprägte Thematik

Betrachtet man die von den Krankenkassen häufig durchgeführten Werbemaßnahmen, die auf der Empfehlung potentieller Neukunden durch Bestandskunden aufbauen, drängt sich die Frage auf, ob es sich hierbei im Kern wirklich um ein datenschutzrechtliches Problem handelt. Denn Empfehlungswerbung ist bislang in erster Linie ein wettbewerbsrechtlicher Zankapfel. Insbesondere die Rechtsprechung hat das Modell der Empfehlungswerbung in der Vergangenheit beinahe ausschließlich unter diesem Gesichtspunkt betrachtet, sich zu etwaigen datenschutzrechtlichen Fragestellungen jedoch ausgeschwiegen. Zwar hat der BGH die mögliche Anwendbarkeit des Datenschutzrechts auf Empfehlungswerbung noch zur alten Fassung des BDSG mit knappen Worten bejaht, die datenschutzrechtliche Zulässigkeit dieses Modells – und das ist entscheidend – jedoch explizit offengelassen. Daneben wird das Problem nicht nur in der datenschutzrechtlichen Praxis, sondern auch in der einschlägigen Literatur kaum diskutiert. Dementsprechend fehlt auch jegliche Erwähnung des Empfehlungsmarketings auf den Internetseiten der Aufsichtsbehörden – explizite Stellungnahmen zum neuen Recht fehlen.

Und noch ein weiteres fällt auf: Die tatsächliche Verbreitung von Empfehlungswerbung ist enorm. Bei einer Google-Suche zu den Stichworten Empfehlungs- und Freundschaftswerbung werden weit über eine Viertelmillion Suchergebnisse gemeldet. Bereits auf den ersten Seiten finden sich zahlreiche namhafte Unternehmen aus unterschiedlichen Branchen, die verschiedene Formen der Empfehlungswerbung nutzen: Sky, Telekom, PayPal, Postbank etc. – die Liste ließe sich beliebig verlängern. Nahezu jede Bank und jede Versicherung in Deutschland verfügt über ein Prämiensystem bei Neukundenwerbung. Aus dieser weiten, rechtstatsächlichen Verbreitung lässt sich zwar sicherlich noch nicht auf die generelle datenschutzrechtliche Zulässigkeit von Empfehlungswerbung schließen, sie ist jedoch ein erstes Indiz dafür, dass bislang kaum jemand datenschutzrechtliche Bedenken bei diesem Vertriebsmodell hatte. Mit anderen Worten: Sollte Empfehlungswerbung per se unzulässig sein, gerieten viele Unternehmen (nicht nur in Deutschland) in einen Datenschutzskandal.

II. Empfehlungswerbung unter der datenschutzrechtlichen Lupe

Vor dem Hintergrund der eingangs aufgezeigten Erwägungen soll eine datenschutzrechtliche Betrachtung der Empfehlungswerbung erfolgen. So kann möglicherweise die Annahme, es handele sich nicht um ein datenschutzrechtliches Problem, belegt werden. Hierbei ist allerdings, da es gerade um Krankenkassen geht, darauf hinzuweisen, dass sich zwei verschiedene Regelungssysteme gegenüberstehen, die es zu beachten gilt: zum einen das SGB, zum anderen die DS-GVO. Beide sollen nachfolgend getrennt voneinander betrachtet werden.

1. Sozialdatenschutzrechtliche Rechtfertigung

a) Verarbeitung von Sozialdaten?
Voraussetzung für die Anwendbarkeit des Sozialdatenschutzrechts ist freilich zunächst die Verarbeitung von Sozialdaten (§ 284 Abs. 1 SGB V: „Die Krankenkassen dürfen Sozialdaten für Zwecke der Krankenversicherung nur erheben und speichern, soweit […]“). Die allgemeine Begriffsdefinition der Sozialdaten findet sich in § 67 Abs. 2 S. 1 SGB X. Danach sind Sozialdaten „personenbezogene Daten (Art. 4 Nummer 1 der Verordnung (EU) 2016/679), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben in diesem Gesetzbuch verarbeitet werden.“ Die parallel zur Anwendbarkeit der DS-GVO zum 25. Mai 2018 neu gefasste Norm verweist insoweit explizit auf die Legaldefinition personenbezogener Daten in Art. 4 Nr. 1 DS-GVO. Unabhängig von der Frage, ob es sich bei Krankenkassen um Stellen im Sinne des § 35 SGB I (Vorschrift über das Sozialgeheimnis) bzw. Leistungsträger im Sinne des § 12 Abs. 1 SGB I handelt, kommt es zunächst darauf an, dass die Krankenkassen die im Rahmen der Empfehlungswerbung erlangten Daten überhaupt „im Hinblick auf ihre Aufgaben in diesem Gesetzbuch“ verarbeiten. Darunter ist eine sozialrechtliche Aufgabenerfüllung zu verstehen, also jede Aufgabe, die sich aus dem Sozialgesetzbuch selbst ergibt – andere Aufgaben scheiden aus, selbst dann, wenn sie von Krankenkassen wahrgenommen werden.

So verhält es sich bei der Mitgliederwerbung: Diese ist nicht unter die gesetzlichen Aufgaben der Krankenkassen nach dem Sozialgesetzbuch zu subsumieren, sondern Voraussetzung derselben. So hat es das Bundessozialgericht noch zur alten Rechtslage unmissverständlich klargestellt: „Die Mitgliederwerbung gehört nicht zu den Aufgaben, für die die Krankenkassen Sozialdaten erheben dürfen.“ Daraus folgt – auch für das neue Recht –, dass es sich bei personenbezogenen Daten, die Krankenkassen zur Mitgliederwerbung verarbeiten, nicht um Sozialdaten im Sinne des § 67 Abs. 2 SGB X handelt. Das ist auch in der Literatur anerkannt und widerspruchslos hingenommen worden. So fasst Bieresborn an mehreren Stellen treffend zusammen: „Nicht hierzu [gemeint sind die Aufgaben der Krankenkassen] gehört z.B. die Mitgliederwerbung von Krankenkassen.“ Demnach liegen im Falle der Empfehlungswerbung nach einhelliger Meinung in Rechtsprechung und Schrifttum keine Sozialdaten vor, sodass diejenigen Vorschriften des SGB, die hieran anknüpfen, keine Anwendung finden.

Für andere Fälle, in denen Sozialdaten vorliegen und eine Verarbeitung für Zwecke der Krankenversicherung erfolgt, greift § 284 Abs. 1 S.1 SGB V dagegen selbstredend ein – ebenso die anderen Vorschriften des SGB, die Sozialdaten voraussetzen. Eine davon zu trennende Frage ist, wie der Verweis des § 267 Abs. 4 S. 5 SGB V zu deuten ist, der davon spricht, dass „im Übrigen“ die Vorschriften des SGB I und SGB X heranzuziehen seien. Dies kann vor dem soeben beschriebenen Hintergrund nur so verstanden werden, dass auf solche Vorschriften verwiesen wird, die das Vorliegen von Sozialdaten gerade nicht voraussetzen. Der Verweis ist dogmatisch als Rechtsgrundverweisung zu qualifizieren; er erfasst solche Normen, die ihrem Wortlaut oder ihrer Systematik nach an Sozialdaten anknüpfen, nicht. Anderenfalls wäre der (dann inhaltsgleiche) Verweis des § 284 Abs. 1 S. 5 SGB V auch weitestgehend überflüssig.

b) Verarbeitung von personenbezogenen Daten als Voraussetzung einer Rechtfertigung nach § 284 Abs. 4 S. 1 SGB V
Gleichwohl kann aus dem Umstand, dass bei der Empfehlungswerbung keine Sozialdaten verarbeitet werden, nicht geschlossen werden, dass die Verarbeitung personenbezogener Daten durch Krankenkassen zum Zwecke der Mitgliederwerbung gänzlich unabhängig vom SGB zu beurteilen wäre. Vielmehr hat der Gesetzgeber gerade als Reaktion auf die zitierte und vielbeachtete Entscheidung des Bundessozialgerichts aus dem Jahr 2002 einerseits sowie auf den verstärkten Wettbewerb unter den Krankenkassen andererseits § 284 Abs. 4 S. 1 SGB V geschaffen, der neben § 284 Abs. 1 S. 1 SGB V tritt. Dieses Handeln des Gesetzgebers war von dem Willen getragen, Mitgliederwerbung der Krankenkassen durch einen gegenüber dem als Auffanggesetz konzipierten BDSG vorrangigen Erlaubnistatbestand zu regeln. § 284 Abs. 1 S. 1 SGB V und § 284 Abs. 4 S. 1 SGB V knüpfen an unterschiedliche Verarbeitungszwecke und Datenbegriffe an und stehen daher als Erlaubnistatbestände nebeneinander, ohne sich konkurrenzrechtlich gegenseitig auszuschließen. Dies zeigt sich auch anhand der Gesetzesbegründung, die deutlich macht, dass der Gesetzgeber § 284 Abs. 4 S. 1 SGB V gerade für diejenigen Fälle in das SGB V aufgenommen hat, in denen § 284 Abs. 1 S. 1 SGB V nach der Rechtsprechung des Bundessozialgerichts nicht eingreift: „Entsprechend den datenschutzrechtlichen Regelungen für die Privatwirtschaft im Bundesdatenschutzgesetz über die Verwendung personenbezogener Daten zum Zwecke der Werbung wird die Verwendung von Daten, die aus allgemein zugänglichen Quellen entnommen werden können, zur Gewinnung neuer Mitglieder zugelassen […].“

Da es sich hierbei allerdings gerade nicht um eine Datenverarbeitung der Krankenkassen zum Zwecke der Krankenversicherung handelt, wie § 284 Abs. 1 S. 1 SGB V es ebenso wie § 67 Abs. 2 SGB X verlangt, knüpft § 284 Abs. 4 S. 1 SGB V allein an den Begriff der „Daten“ an – nicht der Sozialdaten. Dies wird als Bezugnahme auf Art. 4 Nr. 1 DS-GVO auszulegen sein, von der der nationale Gesetzgeber mangels spezifischerer Regelung des Datenbegriffs in § 284 Abs. 4 S. 1 SGB V nicht über Art. 6 Abs. 2, 3 DS-GVO abgewichen ist. Alles andere wäre auch fernliegend, denn hätte der Gesetzgeber mit § 284 Abs. 4 S. 1 SGB V und der Verwendung des Begriffs „Daten“ die Definition der „Sozialdaten“ in § 67 Abs. 2 SGB X gemeint, wäre die Regelung eines eigens für Werbezwecke geschaffenen, sozialrechtlichen Erlaubnistatbestands überflüssig gewesen. Drastischer formuliert: Der Gesetzgeber hätte sich dann bei der Schaffung des besonderen Erlaubnistatbestands im Kreis gedreht. Das aber ist angesichts der Gesetzesbegründung mitnichten der Fall. Mithin kommt es allein darauf an, ob bei der Empfehlungswerbung personenbezogene Daten erhoben respektive – um den Oberbegriff des europäischen Rechts zu wählen – verarbeitet werden.

Die Verarbeitung personenbezogener Daten nun ist unzweifelhaft gegeben:

  • Unter personenbezogenen Daten im Sinne der Legaldefinition des Art. 4 Nr. 1 DS-GVO sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies sind angewandt auf den vorliegenden Fall zum einen die Kontaktdaten (Name, Telefonnummer) des Empfohlenen, zum anderen die weitergehenden Informationen, die ein potentielles Interesse an Versicherungsdienstleistungen der Krankenkasse begründen können. Auch die rein subjektive Einschätzung des Empfehlers, dass ein potentielles Interesse des Empfohlenen an Versicherungsleistungen der Krankenkasse bestehen könnte, stellt ein personenbezogenes Datum dar, denn hierunter fallen richtigerweise auch Meinungsäußerungen. Es handelt sich freilich um ein personenbezogenes Datum allein des Empfehlers, nicht des Empfohlenen, da allein auf Grund der subjektiven Einschätzung des Empfehlers keine Aussage über den Empfohlenen getroffen werden kann. Jeder dahingehende Versuch scheitert, da jede Aussage über den Empfohlenen stets das Element „nach Einschätzung des Empfehlers“ enthalten müsste, was bereits zeigt, dass es allein um ein personenbezogenes Datum des Empfehlers gehen kann. Kurz gesagt: Hinsichtlich des Namens sowie der Kontaktdaten ist jeweils ein Bezug zur Person des Empfohlenen gegeben; in der Information, dass nach Ansicht des Empfehlers ein Interesse des Empfohlenen an Versicherungsleistungen der Krankenkasse bestehen könnte, liegt dagegen ein durch dieses Werturteil begründeter Bezug zur Person des Empfehlers.
  • Des Weiteren liegt auch eine Verarbeitung vor, soweit es sich um personenbezogene Daten handelt: Schon indem die personenbezogenen Daten auf einem Zettel notiert werden, werden sie erhoben, indem sie weitergeleitet werden, werden sie übermittelt, indem mit ihnen der Empfohlene kontaktiert wird, werden sie verwendet. Anders als das frühere Datenschutzrecht fächert die DS-GVO den Datenverarbeitungsprozess nicht mehr in verschiedene Verarbeitungsvorgänge auf, sondern spricht vielmehr einheitlich vom Begriff der Verarbeitung, Art. 4 Nr. 2 DS-GVO. Dieser Verarbeitungsprozess ist hier durch die soeben beschriebenen verschiedenen Verarbeitungsstufen der Erhebung, Übermittlung und Verwendung erfüllt. Davon weicht das Sozialdatenschutzrecht für den vorliegenden Fall nicht ab, da zwar § 67a SGB X den Erhebungsvorgang eigenständig regelt und § 67b SGB X die weiteren Vorgänge (etwa Speicherung oder Nutzung) erfasst, beide Normen aber allein für Sozialdaten Geltung beanspruchen.

c) § 284 Abs. 4 S. 1 SGB V als Rechtfertigungsmaßstab
Mithin ist eine Prüfung des § 284 Abs. 4 S. 1 SGB V vorzunehmen. Danach dürfen Krankenkassen zur Gewinnung von Mitgliedern „Daten erheben, verarbeiten und nutzen, wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.“ In einem ersten Schritt kommt es also maßgeblich darauf an, dass die personenbezogenen Daten „allgemein zugänglich“ sind. Eine solche allgemeine Zugänglichkeit ist entsprechend landläufig akzeptierter Definition gegeben, wenn die Inanspruchnahme der Quelle nicht in besonderer Weise – gemeint ist allenfalls durch technischen oder finanziellen Aufwand – beschränkt ist. Damit stellt der Wortlaut auf die Zugänglichkeit der Daten aus allgemeinen Quellen ab, nicht aber darauf, dass die Daten auch aus öffentlich zugänglichen Quellen erhoben werden. Dies kann eins zu eins für Fälle der Empfehlungswerbung fruchtbar gemacht werden. Soweit die Empfehlungsfrage dergestalt formuliert wird, dass nicht nur danach gefragt wird, ob der Dritte nach der subjektiven Einschätzung des Empfehlers ein potentielles Interesse an einer Versicherungsleistung der Krankenkasse hat, sondern auch und vor allem danach, ob die Kontaktdaten des Dritten allgemein (also über das Telefonbuch oder das Internet) zugänglich sind, liegt eine allgemeine Zugänglichkeit der Daten vor, die nach § 284 Abs. 4 S. 1 SGB V die Datenverarbeitung legitimiert. Dass die Krankenkasse die Daten vorgelagert beim Empfehler erhebt, spielt nach dem klaren Wortlaut der Norm keine Rolle, da die Daten in derartigen Fällen mit minimalem technischen und wirtschaftlichen Aufwand per Blick in das Telefonbuch oder aber Internetrecherche zugänglich sind.

aa) Allgemein zugängliche Daten
Bei dem nicht allgemein zugänglichen, möglichen Interesse des Empfohlenen an einer Versicherungsleistung der Krankenkasse handelt es sich – wie oben erörtert – nicht um ein personenbezogenes Datum des Empfohlenen, sondern allein um ein durch Werturteil, also subjektive Einschätzung, begründetes personenbezogenes Datum des Empfehlers. Hier bedarf es keiner Rechtfertigung im Hinblick auf den Empfohlenen. Ein solches personenbezogenes Datum des Empfehlers fällt aber allein deshalb schon nicht unter § 284 Abs. 4 S. 1 SGB V, da die Norm ihrem eindeutigen Wortlaut zufolge allein Fälle der Mitgliederwerbung erfassen will, der Empfehler aber regelmäßig bereits Mitglied der Krankenkasse ist und deshalb denklogisch gar nicht mehr geworben werden kann, mit der Folge, dass diesbezüglich fraglos allgemeines Datenschutzrecht eingreift. Mithin bestehen in Bezug auf die Person des Empfehlers keine Datenschutzrisiken, da in der freiwillig gegebenen Empfehlung eine (jedenfalls konkludente) Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DS-GVO zu sehen sein wird.

Allerdings sind auch Fälle denkbar, in denen die Daten des Empfohlenen – entgegen den Angaben des Empfehlers und damit anders, als es die Empfehlungsantwort suggeriert – nicht allgemein zugänglich sind. Für derartige Fälle kann der eigens hierfür geschaffene Erlaubnistatbestand des § 284 Abs. 4 S. 1 SGB V ersichtlich nicht eingreifen, da der Wortlaut der Norm insoweit eine unmissverständliche Beschränkung auf allgemein zugängliche Daten enthält. Für diese Fälle, die bei Abänderung der Empfehlungsfrage nach den oben empfohlenen Maßstäben eher die Ausnahme sein dürften, stellt sich die Frage, ob ein Rückgriff auf das allgemeine Datenschutzrecht und Art. 6 Abs. 1 lit. f) DS-GVO möglich bleibt.

bb) Keine entgegenstehenden schutzwürdigen Interessen des Betroffenen
In einem zweiten Schritt ist im Rahmen des § 284 Abs. 4 S. 1 SGB V in Bezug auf die allgemein zugänglichen Daten des Empfohlenen zu prüfen, ob „das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.“ Dies ist als Abwägung mit den Interessen der Krankenkasse an der Gewinnung von Mitgliedern auszulegen. Dabei ist auf die Intensität des Eingriffs und die Interessen des Betroffen am Ausschluss der Verarbeitung und Nutzung einzugehen; vor allem sind Art, Inhalt und Aussagekraft der beanstandeten Daten an den Angaben und Zwecken zu messen, denen ihre Speicherung dient. Die Eingriffsintensität ist, da allein allgemein zugängliche Grunddaten (Name und Adresse) verwendet werden, als denkbar gering einzustufen. Das Interesse des Betroffenen, keinesfalls kontaktiert zu werden, dürfte ebenfalls eher gering sein. Dagegen stehen hohe Interessen der Krankenkasse, die bereits von einem Kunden mitgeteilt bekommen hat, dass der Dritte höchstwahrscheinlich an einem Versicherungsprodukt interessiert ist. Bei der Mitgliederwerbung handelt es sich um eine unabdingbare Voraussetzung für die Erfüllung der gesetzlichen Aufgaben der Krankenkasse, was der Gesetzgeber ausweislich der Gesetzesbegründung erkannt und deshalb bewusst § 284 Abs. 4 S. 1 SGB V geschaffen hat. Durch diese Norm soll Mitgliederwerbung privilegiert (nach der alten Rechtslage war sie durch die oben erwähnte Entscheidung des Bundessozialgerichts rechtlich unzulässig geworden) und ein Gleichlauf zum Privatrecht erreicht werden. Insoweit sind die Interessen der Krankenkasse als äußerst hoch einzustufen. Diesen kann nicht einfach jedwedes Interesse des Betroffenen dahingehend, dass seine personenbezogenen Daten nicht verarbeiten werden sollen, entgegengehalten werden – anderenfalls liefe die gesetzgeberische Wertentscheidung leer und man würde den eigens hierfür geschaffenen Erlaubnistatbestand des § 284 Abs. 4 S. 1 SGB V ersichtlich ungewollt aushöhlen. Deshalb spricht der Wortlaut auch allein von „schutzwürdigen Interessen“. So wird man vor diesem Hintergrund fordern müssen, dass nur dann schutzwürdige Interessen des Betroffenen am Ausschluss der Verarbeitung sowie der Datennutzung überwiegen können, wenn besondere Umstände hinzutreten. Dies ist jedoch nur in Ausnahmekonstellationen denkbar. Das hat Leopold treffend auf den Punkt gebracht: „Regelhaft dürfte jedoch davon auszugehen sein, dass ein schutzwürdiges Interesse des Betroffenen dann nicht gegeben ist, wenn die allg. Zugänglichkeit der Daten auf einer Initiative des Betroffenen selbst beruht“ – und genau das dürfte in Fällen der freien Verfügbarkeit der Daten des Empfohlenen im Internet oder Telefonbuch in der Regel anzunehmen sein. Derjenige, der seine Daten in allgemein zugänglichen Bereichen zur Verfügung stellt, rechnet regelmäßig auch damit, von Dritten kontaktiert zu werden. In der Gesamtschau wird man deshalb davon ausgehen können, dass die Interessen der Krankenkasse an der Datenverarbeitung die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verarbeitung überwiegen. Danach legitimiert § 284 Abs. 4 S. 1 SGB V bereits die Datenverarbeitung im Rahmen der Empfehlungswerbung zu Zwecken der Mitgliedesrwerbung.

d) Keine Verletzung des Grundsatzes der Direkterhebung, § 67a Abs. 2 SGB V
Indes ist darauf hinzuweisen, dass der Direkterhebungsgrundsatz im Sozialdatenschutzrecht – anders als im allgemeinen Datenschutzrecht – immer noch ausdrücklich verankert ist. So schreibt es § 67a Abs. 2 SGB X (auch für § 284 Abs. 1 SGB V) explizit fest. Demnach sind Sozialdaten „bei der betroffenen Person zu erheben.“ Eine Verletzung des Direkterhebungsgrundsatzes in Fällen der Empfehlungswerbung, bei denen es um eine Dritterhebung der Daten geht, kann jedoch ausgeschlossen werden. Denn § 67a Abs. 2 S. 1 SGB V gilt nur für Sozialdaten, die in Fällen der Empfehlungswerbung – wie gezeigt – überhaupt nicht vorliegen. Dies kann auch gar nicht anders sein, wurde § 284 Abs. 4 S. 1 SGB V doch gerade für Mitgliederwerbung geschaffen, bei der es häufig zwangsläufig zu Dritterhebungsfällen kommt. Anders ist es nicht zu erklären, dass § 284 Abs. 4 S. 1 SGB V an personenbezogene Daten aus allgemein zugänglichen Quellen anknüpft, also an solche Daten, die gerade nicht beim Betroffenen direkt erhoben werden, sondern etwa im Internet frei zugänglich sind. Dieser Befund führt zugleich die oben beschriebene Ansicht, die § 284 Abs. 4 S. 5 SGB V auf alle Normen des SGB I und SGB X unabhängig vom Vorliegen von Sozialdaten anwenden will, ad absurdum.

Sähe man dies anders, verstünde man den Verweis des § 284 Abs. 4 S. 5 SGB V mithin als Rechtsfolgenverweisung und damit so, dass § 67a Abs. 2 S. 1 SGB X Anwendung finden soll, obwohl gar keine Sozialdaten vorliegen, so fiele das Ergebnis dennoch nicht anders aus. Denn § 67 Abs. 2 SGB X enthält mit § 67 Abs. 2 S. 2 Nr. 2 lit. a) Alt. 1 DS-GVO eine Ausnahmenorm für Konstellationen, in denen eine Rechtsvorschrift die Dritterhebung erlaubt. So liegt es hier: § 284 Abs. 4 S. 1 SGB V setzt gerade den Fall der Dritterhebung aus allgemein zugänglichen Quellen, also nicht direkt beim Betroffenen, voraus. Allein deshalb wäre eine Verletzung des Direkterhebungsgrundsatzes bei unterstellter Anwendbarkeit desselben schon zu verneinen.

Des Weiteren enthält § 67a Abs. 2 S. 1 lit. b) lit. bb) eine Ausnahme für Konstellationen, in denen die Direkterhebung „einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden.“ Dies ist nach den Beurteilungen im Schrifttum vor allem dann der Fall, wenn der Betroffene schwer zu finden ist; Normzweck dieser Ausnahme ist es also, einen effektiven und kostengerechten Verwaltungsvollzug zu gewährleisten. Nun könnte man annehmen, betroffene Personen, die auf Grund von allgemein zugänglichen Daten kontaktiert werden können, könnten kaum schwer zu finden sein. Diese Argumentation übersieht indes, dass es allein darum geht, dass die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde. Sind Daten aber allgemein zugänglich und werden z.B. im Internet erhoben, erfolgt dies nicht bei der betroffenen Person selbst. Hierauf kann also ersichtlich nicht abgestellt werden. Gemeint sein können also nur Fälle, in denen sich die Krankenkasse unmittelbar an den Betroffenen wendet und bei diesem die Daten direkt erhebt. Derartige Fälle sind allerdings, was Neukunden betrifft, kaum denkbar. Mitarbeiter der Krankenversicherung müssten etwa von Tür zu Tür ziehen und jeden Bewohner direkt danach fragen, ob ein Interesse besteht, oder jede im Telefonbuch vermerkte Person anrufen. Das würde aber nicht nur die Streubreite des Eingriffs vergrößern, sondern auch und vor allem einen finanziellen Aufwand bedeuten, der in keinem Verhältnis zu einer Empfehlungsfrage im Rahmen eines Bestandskundengesprächs steht. Mit anderen Worten: Ein einzelner Neukunde wäre wohl leicht auffindbar, nicht aber die Gesamtheit potentieller Neukunden, die gerade vom Sinn und Zweck der Mitgliederwerbung im Wege der Empfehlungswerbung erfasst werden soll. Für die Gesamtheit potentieller Neukunden würde vielmehr eine Direkterhebung einen unverhältnismäßigen Aufwand bedeuten, sodass eine Dritterhebung wohl selbst nach § 67a Abs. 2 S. 2 Nr. 3 lit. b) lit. bb) SGB X zulässig wäre.

e) Zwischenergebnis
Es hat sich gezeigt, dass § 284 Abs. 1 SGB V die Verarbeitung von Sozialdaten nur in solchen Fällen erfasst, in denen Sozialdaten im Sinne der Definition des § 67 Abs. 2 SGB X vorliegen und eine Verarbeitung für Zwecke der Krankenversicherung erfolgt. Da beides bei der hier durch die Krankenkasse intendierten Empfehlungswerbung nicht der Fall ist (weshalb auch der in § 67a SGB X zum Ausdruck kommende Direkterhebungsgrundsatz nicht verletzt ist), ist § 284 Abs. 4 S. 1 SGB V als maßgeblicher Erlaubnistatbestand heranzuziehen. Danach ist eine Erhebung, Verarbeitung und Nutzung zulässig, wenn eine Beschränkung auf allgemein zugängliche Daten erfolgt und keine schutzwürdigen Interessen des Betroffenen am Ausschluss der Verarbeitung überwiegen. Orientiert man sich an dem soeben Gesagten, wäre künftig eine Empfehlungsfrage im Kundengespräch wie folgt zu formulieren:

2. Weitergehende Handlungsspielräume: Allgemeine datenschutzrechtliche Rechtfertigung

Unabhängig von diesem Zwischenergebnis verbleibt die Frage, ob nicht auch eine Rechtfertigung über die allgemeinen datenschutzrechtlichen Normen möglich sein kann, insbesondere, ob auf Art. 6 Abs. 1 lit. f) DS-GVO als Generalklausel abgestellt werden kann.

a) Über das Verhältnis von Sozialdatenschutz und allgemeinem Datenschutz: Anwendbarkeit des Art. 6 Abs. 1 lit. f) DS-GVO neben § 284 Abs. 4 SGB V
Ein Rückgriff auf den Erlaubnistatbestand aus Art. 6 Abs. 1 lit. f) DS-GVO wäre ausgeschlossen, soweit § 284 Abs. 4 S. 1 SGB V einen solchen Rückgriff sperrte. Dass eine mitgliedstaatliche Norm eine derartige Sperrwirkung gegenüber dem höherrangigen europäischen Sekundärrecht entfaltet, ist jedoch schon aufgrund der Normenhierarchie nicht möglich. Das Sozialdatenschutzrecht kann keine Sperre sein – und will es auch gar nicht.

aa) Öffnungsklausel für abschließendes nationales Recht nur im Hinblick auf Art. 6 Abs. 1 lit. e) DS-GVO, nicht auf Art. 6 Abs. 1 lit. f) DS-GVO
Mit Art. 6 Abs. 2, 3 DS-GVO erlaubt es die DS-GVO für Fälle des Art. 6 Abs. 1 lit. e) DS-GVO, dass Mitgliedstaaten bereichsspezifische Regelungen im Rahmen der Vorgaben der DS-GVO beibehalten können. Diese können gemäß Art. 6 Abs. 1 S. 2 DS-GVO auch abschließend sein, ein Rückgriff auf lit. f) ist hier ausgeschlossen: „Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung“. ErwG 47 S. 5 erklärt dies damit, dass es der Legislative obliegen solle, Datenverarbeitungen durch Behörden per Gesetz zu regeln, anderenfalls wäre der rechtsstaatliche Gesetzesvorbehalt leicht zu unterlaufen, könnten sich Behörden im Rahmen ihrer Aufgabenwahrnehmung auf die Interessenabwägung des Art. 6 Abs. 1 lit. f) DS-GVO berufen.

Bei Krankenkassen handelt es sich als Anstalten öffentlichen Rechts fraglos um Behörden in diesem Sinne. Das Bundessozialgericht hat aber – wie bereits mehrfach ausgeführt – eindeutig klargestellt, dass Mitgliederwerbung nicht zu den gesetzlichen Aufgaben einer Krankenkasse gehört, sondern erst denklogische Voraussetzung hierfür ist. Damit fällt Mitgliederwerbung nicht unter die Ausnahme des Art. 6 Abs. 1 S. 2 DS-GVO, die eine abschließende Regelung ermöglicht. Daraus folgt aber zugleich, dass Art. 6 Abs. 1 lit. f) DS-GVO für andere Fälle des Behördenhandelns Geltung entfalten soll. Denn hier besteht die spezifische Gefahr nicht, die der Ausnahmetatbestand eindämmen soll. Es soll verhindert werden, dass die legislative Regelungsbefugnis zur Bestimmung der Aufgabenerfüllung von Behörden ausgehöhlt wird. Wenn eine Behörde aber gar keine gesetzliche Aufgabenerfüllung wahrnimmt, kann es auch nicht zu einer Aushöhlung kommen – und so liegt es in Fällen der Empfehlungswerbung. Art. 6 Abs. 1 lit. f) DS-GVO bleibt summa summarum auf Behördenhandeln anwendbar, das – wie die Mitgliederwerbung – eben nicht „in Erfüllung ihrer Aufgaben“ erfolgt.

Verarbeitet eine Krankenkasse dagegen personenbezogene Daten in Erfüllung ihrer Aufgaben, folgt aus der Art. 6 Abs. 1 S. 2 DS-GVO spiegelbildlich, dass ein Rückgriff auf Art. 6 Abs. 1 lit. f) DS-GVO gesperrt ist. Und das leuchtet unmittelbar ein. Handelt eine Krankenkasse etwa zur Aufgabenbearbeitung oder zur Leistungsgewährung, erfüllt sie ihre gesetzlichen Aufgaben und kann sich auf die sozialdatenschutzrechtlichen Normen des SGB stützen, das die Öffnungsklausel des Art. 6 Abs. 1 lit. e), Abs. 2, 3 DS-GVO auffüllt. Im Rahmen des Art. 6 Abs. 1 lit. e) DS-GVO ist ein Rückblick auf Art. 6 lit. f) DS-GVO also nicht möglich. Die Rückgriffsmöglichkeit auf Art. 6 Abs. 1 lit. f) DS-GVO ist demnach gerade kein Freibrief für die Verarbeitung von Sozialdaten, da sie nur für Fälle außerhalb der gesetzlichen Aufgabenerfüllung durch Krankenkassen besteht.

bb) Keine Möglichkeit abschließenden Sozialdatenschutzes ohne Öffnungsklausel
Das nationale Recht könnte ferner nicht mit dem Ziel eines weitergehenden Datenschutzes eine strengere Regelung als das Europarecht schaffen, wo dies europarechtlich nicht vorgesehen ist. Gleichsam ist die Beschränkung des Art. 6 Abs. 1 S. 2 DS-GVO auch auf Bereiche außerhalb des Handelns einer Behörde in Erfüllung ihrer Aufgaben zu erweitern. Denn die DS-GVO strebt in noch höherem Maße als die vorherige DSRL 95/46/EG nach einer Vereinheitlichung des europäischen Datenschutzniveaus. Diese Harmonisierungswirkung hat auch der nationale Gesetzgeber zur Kenntnis genommen: „Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwägungsgrund 10). Der Unionsgesetzgeber hat sich für die Handlungsform einer Verordnung entschieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist (Erwägungsgrund 13).“

Zwar formuliert die Verordnung (EU) 2016/679 in den Erwägungsgründen (siehe ErwG 10, 9 und 13 Satz 1) das Ziel einer Vollharmonisierung, doch erreicht sie dieses Ziel nicht vollumfänglich. Die Verordnung ist als Grundverordnung ergänzungsbedürftig und regelt den Datenschutz nur im Grundsatz abschließend. Sie schafft für den nationalen Gesetzgeber Spielräume durch sogenannte Öffnungsklauseln. In ca. 70 Fällen enthält sie insoweit Regelungsgebote oder -optionen.

cc) Bestätigende nationale Erwägungen
Dieser Befund bestätigt sich im Blick auf nationales Recht: Der nationale Gesetzgeber wollte mit Einführung des § 284 Abs. 4 SGB V einen Gleichlauf mit den privatrechtlichen Regelungen des § 28 BDSG a.F. erreichen:
„Entsprechend den datenschutzrechtlichen Regelungen für die Privatwirtschaft im Bundesdatenschutzgesetz über die Verwendung personenbezogener Daten zum Zwecke der Werbung wird die Verwendung von Daten, die aus allgemein zugänglichen Quellen entnommen werden können, zur Gewinnung neuer Mitglieder zugelassen […].“

Dieser Gleichlauf kann allerdings nur erreicht werden, wenn auch ein Rückgriff auf Art. 6 Abs. 1 lit. f) DS-GVO möglich bleibt. So leuchtet ein systematischer Vergleich zwischen Abs. 1 und Abs. 4 des § 284 SGB V ein. Er stützt diese Argumentation zu Gunsten einer Anwendbarkeit des Art. 6 Abs. 1 lit. f) DS-GVO neben § 284 Abs. 4 SGB V. Während Abs. 1 die Verarbeitung von Sozialdaten für Zwecke der Krankenversicherung „nur“ in den nachfolgend bezeichneten Fällen erlaubt, enthält Abs. 4, der für Daten gilt, die zu Werbezwecken verarbeitet werden, das beschränkende Adverb „nur“ nicht. Auch das kann als sehr richtiger Hinweis des nationalen Gesetzgebers auf eine Anwendbarkeit des Art. 6 Abs. 1 lit. f) DS-GVO für Fälle der Empfehlungswerbung gedeutet werden. Und noch ein weiteres fällt auf: § 35 Abs. 2 S. 1 SGB I stellt klar, dass die Vorschriften des SGB den Sozialdatenschutz nur insoweit regeln, wie die DSGVO nicht (wie es bei Art. 6 Abs. 1 lit. f) DS-GVO aber der Fall ist) unmittelbar gilt:
„Die Vorschriften des Zweiten Kapitels des Zehnten Buches und der übrigen Bücher des Sozialgesetzbuches regeln die Verarbeitung von Sozialdaten abschließend, soweit nicht die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) unmittelbar gilt.“

Einen klareren Hinweis hätte der nationale Gesetzgeber dem Rechtsanwender kaum an die Hand geben können. Treffend formuliert Bieresborn dies in einem aktuellen Aufsatz über den Sozialdatenschutz nach Anwendbarkeit der DS-GVO:
„§ 35 Abs. 2 S. 1 SGB I normiert ein gesetzliches Verbot der Verarbeitung von Sozialdaten unter dem Erlaubnisvorbehalt der DS-GVO sowie des Zweiten Kapitels des SGB X und der übrigen Bücher des SGB. […] Bei Regelungen im Rahmen einer Öffnungsklausel […] kann hingegen wiederum nicht auf die DS-GVO zurückgegriffen werden.“

Doch auch die Gesetzesbegründung des Zweiten Datenschutzanpassungs- und Umsetzungsgesetzes ist insoweit eindeutig, als sie auf das unionsrechtliche Wiederholungsverbot eingeht und damit klarstellt, dass eine ergänzende Übernahme des Art. 6 Abs. 1 lit. f) DS-GVO in den nationalen Sozialdatenschutz gar nicht möglich gewesen wäre:
„Mit Erwägungsgrund 8 berücksichtigt der Unionsgesetzgeber den besonderen Charakter der Verordnung (EU) 2016/679. Er lässt Wiederholungen ausdrücklich zu, wenn sie (1) im sachlichen Zusammenhang mit Verordnungsbestimmungen stehen, die dem Mitgliedstaat die Möglichkeit nationaler Präzisierungen oder Einschränkungen einräumen, soweit dies erforderlich ist, um (2) Kohärenz zu wahren und (3) die nationalen Vorschriften für die Personen, für die sie gelten, verständlicher zu machen.“

Es geht also einmal mehr um das bekannte Prinzip des „Levelling the playing field“, also darum, dass im Rahmen des Art. 6 Abs. 1 S. 1 lit. e) DS-GVO bereichsspezifische Regelungen der Mitgliedstaaten hinzutreten können; nicht aber darum, hierdurch andere Erlaubnistatbestände wie etwa die Generalklausel des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO außerhalb der bereichsspezifischen Regelungen zu sperren. Dies bestätigt auch ein Blick auf die Stellungnahmen der Aufsichtsbehörden. So führt die BfDI exemplarisch aus:
„Eine gesetzliche Krankenkasse kann Sozialdaten nur nach der DS-GVO und ergänzend den speziellen Vorschriften des SGB V und ggf. des SGB X übermitteln. Ein Rückgriff auf das BDSG ist hingegen ausgeschlossen.“

dd) Was bleibt?
Daraus folgt, was schon zuvor auf der Hand lag: Das BDSG ist subsidiär gegenüber dem Sozialdatenschutz und fungiert als reines nationales Auffanggesetz. Einen Rückgriff auf die DS-GVO kann und will das Sozialdatenschutzrecht indes nicht verbieten; es kann die DS-GVO, um es mit den Worten der BfDI zu sagen, nur „ergänzen“. Das ist ernst zu nehmen. Und auch unter den für das Jahr 2019 geplanten Neufassung des § 284 SGB V wird sich hieran nichts ändern, denn diese Änderungen sind rein deklaratorischer Natur und umfassen vor allem eine weitergehende Anpassung an den Sprachgebrauch der DS-GVO.

Damit kann festgehalten werden: Was europäischer Verordnungsgeber, nationaler Gesetzgeber und Aufsichtsbehörde in Übereinstimmung mit dem einschlägigen Schrifttum sagen, kann als Leitlinie aufgefasst werden, an der sich Krankenkassen orientieren dürfen. Demnach ist Art. 6 Abs. 1 lit. f) DS-GVO auf den vorliegenden Sachverhalt der Empfehlungswerbung anwendbar; eine Sperrwirkung des § 284 Abs. 4 SGB V existiert nicht. Vielmehr treten alle Rechtfertigungsebenen gleichberechtigt nebeneinander. Somit ist es durchaus legitim, Empfehlungswerbung einer datenschutzrechtlichen Prüfung nach Maßgabe des Art. 6 Abs. 1 lit. f) DS-GVO zu unterziehen.

b) Rechtfertigungsprüfung
Die Rechtmäßigkeit der Datenverarbeitung, die mit der Empfehlungswerbung einhergeht, ist daher im Folgenden an Art. 6 Abs. 1 lit. f) DS-GVO zu messen. Zuvor ist jedoch in gebotener Kürze auf die Anwendbarkeit des allgemeinen Datenschutzrechts hinzuweisen.

aa) Jedenfalls teilweise automatisierte Verarbeitung personenbezogener Daten
Hierbei bestehen an der Verarbeitung personenbezogener Daten ebenso wenige Bedenken. Insoweit ergeben sich keine Unterschiede zu § 284 Abs. 4 S. 1 SGB V, da dieser zwar allgemein von „Daten“ spricht, dabei aber so auszulegen ist, dass er auf die Legaldefinition des Art. 4 Nr. 1 DS-GVO Bezug nimmt. Daher kann auf die obigen Ausführungen verwiesen werden. Nichts anderes gilt für die Ausführungen zur Verarbeitung. Diese erfolgt jedenfalls auch teilweise automatisiert im Sinne des Art. 2 Abs. 1 DS-GVO, da sie unter Heranziehung von Datenverarbeitungsanlagen durchgeführt wird. Es ist ein weites Begriffsverständnis anzulegen; eine Automatisierung muss stets technikneutral möglich sein, mit anderen Worten alle technischen Einrichtungen erfassen, die Daten – sei es auch nur kurzfristig oder in geringem Umfang – speichern, verarbeiten oder vermitteln. So liegt es in den meisten Fällen der Empfehlungswerbung, in denen der Erfassungs- und Weiterleitungsprozess der personenbezogenen Daten regelmäßig so ausgestaltet ist, dass die Daten auf verschiedenste Weise erhoben werden und dann per Fax, E-Mail oder Scan an ein Verteilungszentrum der betreffenden Krankenkasse weitergeleitet werden, das die Daten wiederum an den zuständigen Mitarbeiter weiterleitet. Hierbei liegt eine teilweise automatisierte Speicherung der Daten per E-Mail, Fax oder Scan vor, da es jedenfalls im Rahmen des Weiterleitungsprozesses zur Verwendung technischer Einrichtungen kommt, die Datenverarbeitungsanlagen ähneln.

bb) Krankenkasse als Verantwortlicher
Ferner werden die personenbezogenen Daten auch von der handelnden Krankenkasse als hierfür Verantwortliche verarbeitet. Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Wortlautfassung macht deutlich, dass es im Rahmen einer arbeitsteiligen Organisation entscheidend auf die Verteilung der Verantwortlichkeiten und Entscheidungskompetenzen ankommt. Der Zweck dahinter liegt darin, zu vermeiden, dass die Rechtsschutzmöglichkeiten des Betroffenen durch eine Vielzahl von Verantwortlichen geschmälert werden. Deshalb werden Bestandskunden, die eine Empfehlung geben bzw. nach einer solchen gefragt werden, letztlich allein für Zwecke der Krankenkasse tätig, wie auch die zwischen Krankenkasse und Bestandskunden häufig getroffene Vergütungsvereinbarung deutlich macht, selbst wenn der Kunde durch Erhalt eines geringen Geldbetrages im Ergebnis auch von der Empfehlung profitiert. Somit ist die Krankenkasse „Verantwortlicher“ im Sinne des Datenschutzrechts, Art. 4 Nr. 2 DS-GVO – die Aktivitäten der Empfehlungsgeber – werden ihr datenschutzrechtlich zugerechnet.

An diesem Befund vermögen auch die jüngsten Entscheidungen des EuGH zur gemeinsamen Verantwortlichkeit von Facebook Ireland und Facebook-Fanpage-Betreibern einerseits sowie der Religionsgemeinschaft Zeugen Jehovas und ihren Verkündungsmitgliedern andererseits nichts zu ändern. Im Gegenteil: Ihnen kann vielmehr entnommen werden, dass der EuGH den Begriff des Verantwortlichen extensiv interpretiert. Danach dürften an der Verantwortlichkeit der Krankenkassen in Fällen der Empfehlungswerbung keine Bedenken mehr bestehen; allein die Verantwortlichkeit der Außendienstmitarbeiter könnte noch hinzutreten. Dies scheint aber angesichts des zwischen dem Außendienstmitarbeiter und der Krankenkasse bestehenden Beschäftigungsverhältnisses auch vom Schutzzweck her nicht notwendig, da sich der Betroffene (namentlich der Empfohlene) leichter an die Krankenkasse halten kann und dies regelmäßig auch wollen wird. Sähe man dies anders, würde sich jedoch für die Krankenkasse nur wenig ändern; da ein Weiterer für die Datenverarbeitung mitverantwortlich wäre, müssten allein die Voraussetzungen des Art. 26 DS-GVO beachtet werden (insbesondere der Abschluss eines Joint Data Controller Arrangement). Somit ist das allgemeine Datenschutzrecht anwendbar.

cc) Betrachtung des Art. 6 Abs. 1 lit. f) DS-GVO
Es bedarf also in der Tat der Rechtsfertigung. Aber es geht nicht um die Zulässigkeit von Empfehlungswerbung per se, sondern im konkreten Fall. Schon angesichts dieses praktischen Befunds sind – wie immer – Pauschalurteile zu vermeiden. Es gilt die Abwägung im Einzelfall.

Zu denken wäre zunächst an eine Zulässigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 lit. b Alt. 2 DS-GVO. Voraussetzung hierfür wäre, dass die mit den Werbemaßnahmen der Krankenkasse einhergehende Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Allerdings kann das Zurverfügungstellen bedarfsgerechter Angebote auf Basis personalisierter Informationen, d.h. die Durchführung von Werbemaßnahmen, eine Erforderlichkeit i.S.v. Art. 6 Abs. 1 lit. b) DS-GVO nicht ohne weiteres begründen. Zudem kann eine Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen ausweislich des Wortlauts der Norm nur dann zulässig sein, wenn sie auf Anfrage des Betroffenen erfolgt – beispielsweise wenn er aus Eigeninitiative Informationsmaterial angefordert hat. Dies schließt gerade die eigenmächtige Verarbeitung des Verantwortlichen, sei es auch zur Vorbereitung von Vertragsverhandlungen, aus dem Anwendungsbereich des Art. 6 Abs. 1 lit. b) DS-GVO aus. Eine werbliche Zielsetzung lässt sich damit regelmäßig nicht über Art. 6 Abs. 1 lit. b) DS-GVO legitimieren.

Nach Art. 6 Abs. 1 lit. f) DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung berechtigter Interessen „des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ Ob dies der Fall ist, muss eingehend betrachtet werden.

(1) Berechtigtes Interesse der Krankenkasse an der Datenverarbeitung
Danach müsste die betreffende Krankenkasse zunächst berechtigte Interessen verfolgen. Das System der Empfehlungswerbung dient der Akquise neuer Kunden sowie allgemein dem Vertrieb von Versicherungsleistungen zur Steigerung von Umsatz und Gewinn – dies kann fraglos als berechtigtes Interesse qualifiziert werden, ist das Erfordernis berechtigter Interessen doch nach allgemeiner Meinung weit auszulegen. Umfasst werden nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Anliegen. Dabei ist irrelevant, ob die betroffene Person hiermit rechnen muss, wie ein Blick auf ErwG 47 S. 4 zeigt, der bestimmt, dass in einem solchen Fall „die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen [können].“ Daraus lässt sich schließen, dass der Umstand, dass die betroffene Person mit der Datenverarbeitung rechnen muss, erst auf der Ebene der Interessenabwägung von Bedeutung sein kann, auf die Annahme eines berechtigten Interesses indes keinen Einfluss nimmt.

Ein gewichtiges Indiz für das Vorliegen eines berechtigten Interesses ist indes der Umstand, ob der Verantwortliche sich auf Grundrechte stützen kann, die sich insbesondere aus dem Grundgesetz und der GrCh ergeben. Genau das ist bei der Empfehlungswerbung der Fall. Hier sind die unternehmerische Freiheit sowie die Berufsfreiheit zu nennen, die auf unionsrechtlicher Ebene durch Art. 15, 16 GrCH, auf nationaler Ebene durch Art. 12 Abs. 1 GG gewährleistet werden. Insgesamt handelt es sich bei der werblichen Betätigung um einen integralen Bestandteil der vorgenannten Grundrechte zur Ermöglichung eines wettbewerbsfähigen Auftretens am Markt. Dies hat auch der europäische Verordnungsgeber erkannt: Ausweislich des ErwG 47 S. 7 DS-GVO kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung „als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Der Begriff der Werbung umfasst dabei gemäß Art. 2 lit. a) RL 2006/114/EG „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen […] zu fördern“. Dieses wettbewerbsrechtliche Begriffsverständnis findet nach nahezu unumstrittener Meinung im Rahmen des Datenschutzrechts Anwendung, erfasst aber eben nur direkte werbliche Interaktion, also Direktwerbung. Doch auch wenn das von der Krankenkasse gewählte Vertriebsmodell regelmäßig auf Dritterhebungen zugeschnitten ist, die hiervon nicht erfasst werden, folgt daraus eine wichtige Erkenntnis. ErwG 47 S. 1 nennt Direktwerbung nur als typisches Beispiel eines berechtigten Interesses; eine abschließende Aufzählung aller in Betracht kommenden Interessen ist darin mithin nicht zu erblicken. Im Gegenteil: Der europäische Gesetzgeber erkennt durch die explizite Nennung des Zwecks der Direktwerbung die Datennutzung zu werblichen Zwecken als einen besonders bedeutsamen Fall des berechtigten Interesses an. Insofern nimmt die Direktwerbung durch die ausdrückliche Erwähnung in ErwG 47 S. 7 DS-GVO zwar eine besonders hervorgehobene Stellung ein, andere Formen der Werbung werden hierdurch aber nicht a priori ausgeschlossen – auch, da der Verantwortliche bei der Nutzung anderer Werbemodelle ebenso grundrechtlichen Schutz genießt. Die Datenverarbeitung zum Zwecke der Werbung stellt mithin ein berechtigtes Interesse des Verantwortlichen im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO dar.

(2) Erforderlichkeit der Datenverarbeitung
Ferner fordert Art. 6 Abs. 1 lit. f) DS-GVO, dass die Datenverarbeitung zur Wahrung des verfolgten berechtigten Interesses erforderlich ist. Das ist der Fall, wenn kein milderes, gleich effektives Mittel zur Verfügung steht, um den verfolgten Zweck zu erreichen. Dabei geht es nicht darum, einen Vergleich zu anderen Werbemaßnahmen herzustellen, die zwar denkbar, aber weniger Erfolg versprechend sind. Es kann vielmehr allein darauf ankommen, ob es eine weniger beeinträchtigungsintensive Möglichkeit gibt, das System der Empfehlungswerbung anders auszugestalten, ohne Effizienz und Erfolg des Vertriebsmodells zu gefährden. Die Erforderlichkeit der konkret gewählten Form der Datenverarbeitung ist damit nur dann abzulehnen, wenn die Verarbeitung ebenso gut auf einem anderen, datensparsameren Wege durchgeführt werden könnte. Dies wird man aber in den meisten Fällen der Empfehlungswerbung aus guten Gründen negieren können. Denn es ist davon auszugehen, dass ausschließlich die zur Kontaktaufnahme und damit für das Funktionieren des Werbesystems unabdingbaren „Grunddaten“ verarbeitet werden – Name und Telefonnummer, nicht aber darüber hinausgehende Informationen. Solche für die Kontaktaufnahme unerlässlichen Informationen werden dem Erfordernis der größtmöglichen Datensparsamkeit gerecht, die auch in Art. 5 Abs. 1 lit. c) DSGVO vorausgesetzt wird und letztlich Ausfluss des in Art. 8 Abs. 1 GrCH verbürgten Datenschutzgrundrechts ist. Möglicherweise kann es auch notwendig sein, Wohnort und Postleitzahl des Empfohlenen zur Verteilung an den zuständigen Außendienstmitarbeiter zu erfassen; Straße und Hausnummer sollten dagegen nicht erfragt werden, da diese zur telefonischen Kontaktaufnahme gerade nicht notwendig sind und bei bestehendem Interesse des Empfohlenen (und damit gegebener Einwilligung) immer noch erfragt werden können. Im Ergebnis ist die Datenverarbeitung zur Wahrung der verfolgten, berechtigten Interessen der jeweiligen Krankenkasse erforderlich.

(3) Interessenabwägung fällt in der Regel zu Gunsten der Krankenkassen aus
Gleichwohl dürften die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz der personenbezogenen Daten erfordern, das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung nicht überwiegen. Damit sind verschiedene Faktoren in die Abwägung zwischen den Interessen des Verantwortlichen und denjenigen des Betroffenen einzustellen.

(a) Position der Aufsichtsbehörden in älteren Stellungnahmen und warum sie nicht mehr verfängt
In älteren Stellungnahmen der Aufsichtsbehörden der Länder sprachen sich diese dennoch überwiegend gegen die Zulässigkeit der Empfehlungswerbung aus. So führte der Düsseldorfer Kreis – wohlgemerkt im Jahre 2014 – aus: „Für die teilweise noch in der […] Versicherungsvertreterbranche anzutreffende Praxis, weitere Werbeadressdaten bei Kunden- und Interessentenbesuchen durch Befragen Dritter zu erheben und für Werbeansprachen zu speichern und zu nutzen, sehen die Aufsichtsbehörden im Anwendungsbereich des § 28 Abs. 1 bis Abs. 3 BDSG [a.F.] keine Rechtsgrundlage.“ Diese Ansicht wurde maßgeblich darauf gestützt, dass § 28 Abs. 3 S. 2 Nr. 1 BDSG a.F. eine Speicherung und Nutzung von Adressdaten zum Zwecke der Werbung für eigene Angebote nur dann erlaubte, wenn die Datenerhebung unmittelbar beim Betroffenen oder aus einer allgemein zugänglichen Quelle erfolgte. Zudem sah der Düsseldorfer Kreis in der Empfehlungswerbung einen Verstoß gegen den in § 4 Abs. 2 S. 1 BDSG a.F. normierten Grundsatz der Direkterhebung. Ganz ähnlich äußerte sich auch der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg: Besonders kritisch wurde die Empfehlungswerbung unter dem Aspekt betrachtet, dass eine Datenerhebung grundsätzlich nur beim Betroffenen selbst zulässig war, da es ihm nur so möglich war, der Verarbeitung seiner personenbezogenen Daten zu widersprechen, sodass seine schutzwürdigen Interessen diejenigen der verarbeitenden Stelle in der Regel von vornherein überwogen.

All dies sind ältere Stellungnahmen. Die dort angestellten Erwägungen dürften unter der neuen Rechtslage in die Irre führen und nicht mehr verfangen. Denn Rechtsgrundlage für die Datenverarbeitung zu werblichen Zwecken war vor Inkrafttreten der DS-GVO häufig Art. 28 BDSG a.F., der die Zulässigkeit der Datenerhebung und Speicherung für eigene werbliche Zwecke regelte. Demnach war die Verarbeitung oder Nutzung personenbezogener Daten zum Zwecke der Werbung gem. § 28 Abs. 3 S. 1 BDSG a.F. zulässig, sofern der Betroffene eine Einwilligung erteilt hatte. Fehlte es an einer solchen Einwilligung, kam eine Rechtfertigung regelmäßig nur über § 28 Abs. 3 S. 2 Nr. 1 BDSG a.F. in Betracht, wenn die Daten entweder direkt beim Betroffenen (Var. 1) oder aus allgemein zugänglichen Verzeichnissen erhoben wurden (Var. 2). Eine derartige Spezialregelung für die Datenverarbeitung zu Werbezwecken enthält jedoch weder die DS-GVO noch die Neufassung des BDSG 2018. Ebenso ist der Grundsatz der Direkterhebung des § 4 Abs. 2 S. 1 BDSG a.F. nicht in das neue Recht übernommen worden. Die Wertungen der entsprechenden Regelungen sollten daher offenbar keinen Eingang mehr in das neue Recht finden. Für ein solches Verständnis streitet auch der bereits erwähnte ErwG 47 DS-GVO, der Werbezwecke als berechtigtes Interesse im Rahmen einer Datenverarbeitung anerkennt. Insofern zeigt sich durch die explizite Nennung der Werbung als berechtigtes Interesse des Verantwortlichen, das für die Rechtfertigung einer Datenverarbeitung herangezogen werden kann, dass der europäische Gesetzgeber die Bedeutung der Datennutzung zu werblichen Zwecken erkannt hat, was darauf schließen lässt, dass er diesen Fall gerade nicht besonderen Restriktionen unterwerfen wollte. Eben dies mag ein Grund dafür sein, dass nach neuer Rechtslage keine von der hier vertretenen Auffassung abweichenden Hinweise der Aufsichtsbehörden ersichtlich sind. Im Gegenteil haben sich insofern die unabhängigen Datenschutzbehörden des Bundes und der Länder für die Beurteilung der datenschutzrechtlichen Zulässigkeit von Werbemaßnahmen anhand einer Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DS-GVO ausgesprochen. Damit können die Erwägungen zur bisherigen Rechtslage nicht mehr überzeugen; die insofern bestehenden älteren Stellungnahmen der Datenschutz-Aufsichtsbehörden sind schlichtweg obsolet.

(b) Eine Ordnung der Argumente
Das neue Recht ist vielmehr genau in den Blick zu nehmen – die Argumente sind zu ordnen. Dabei fällt auf: Schon unter der bisherigen Rechtslage war die Annahme, das Modell der Empfehlungswerbung sei datenschutzrechtlich unzulässig, in der Literatur nicht unangefochten. Zwar schloss sich diese in Teilen der Auffassung der Aufsichtsbehörden an, dass ein derartiges Vertriebsmodell wegen Verstoßes gegen den Grundsatz der Direkterhebung und der mit der mangelnden Kenntnis des Betroffenen einhergehenden fehlenden Möglichkeit der Ausübung des Widerspruchsrechts zu einer Verletzung schutzwürdiger Interessen des Betroffenen führe. Allerdings bestand auch insofern keineswegs ein allgemeiner Konsens: Eine Zulässigkeit der Empfehlungswerbung konnte zwar regelmäßig nicht über § 28 Abs. 3 S. 2 Nr. 1 BDSG a.F. hergeleitet werden, da es tatsächlich an der Erhebung beim Betroffenen bzw. aus einem allgemein zugänglichen Verzeichnis fehlte, eine Rechtfertigung ließ sich jedoch weiterhin über § 28 Abs. 1 S. 1 BDSG a.F. begründen. Soweit einige Stimmen § 28 Abs. 3 BDSG a.F. eine Sperrwirkung entnehmen wollten, muss dem entgegengehalten werden, dass ein solches Verständnis weder eine Stütze im Wortlaut des § 28 Abs. 3 BDSG a.F. fand, noch dass die Gesetzesbegründung ein solches Verständnis nahelegte.

Auch konnte schon damals die Erwägung, dass ein derartiges Vertriebsmodell einen Verstoß gegen den Grundsatz der Direkterhebung nach § 4 Abs. 2 S. 1 BDSG a.F. darstelle, nicht durchgreifen. So sah § 4 Abs. 2 S. 2 Nr. 1 BDSG a.F. selbst einen Ausnahmetatbestand für den Fall vor, dass der Geschäftszweck eine Erhebung bei anderen Personen erforderlich machte und keine Anhaltspunkte dafür bestanden, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt wurden. So lag der Fall auch bei der Empfehlungswerbung: Eine Erhebung der Daten beim Betroffenen ist gerade nicht möglich, da das Geschäftsmodell gerade darauf aufbaut, die Daten bei Dritten zu erheben, um eine Kontaktaufnahme mit dem Betroffenen erst zu ermöglichen, der vorab überhaupt noch nicht bekannt ist. Auch erscheint eine Beeinträchtigung der Interessen der betroffenen Person fernliegend, da es sich einerseits nicht um besonders sensible Daten handelt und andererseits der Tippgeber die Kontaktdaten nur bei einem Produkt weitergeben wird, mit dem er selbst zufrieden ist, da er sonst soziale Sanktionen befürchten wird. All dies zeigt, dass es bereits nach alter Rechtslage nicht ohne weiteres anzunehmen war, dass das Vertriebsmodell der Empfehlungswerbung von vornherein datenschutzrechtlich unzulässig sei.

Heute können die in der Vergangenheit bestehenden Bedenken erst recht nicht mehr verfangen; weder § 28 BDSG a.F. noch § 4 Abs. 2 S. 1 BDSG a.F. finden ein Äquivalent in der Neufassung des BDSG oder der DS-GVO. Die Wertungen dieser Normen haben keinen Eingang in das neue Recht gefunden und insbesondere ErwG 47 DS-GVO steht einem solchen Verständnis entgegen. Von der hier vertretenen Ansicht abweichende Anwendungshinweise bestehen für die Praxis bislang nicht, sodass die Zulässigkeit der Empfehlungswerbung an Art. 6 Abs. 1 lit. f) DS-GVO zu messen ist und darüber auch tatsächlich begründet werden kann. Damit sind im Folgenden die Kriterien näher zu beleuchten, die in die insofern erforderliche Interessenabwägung einzustellen sind.

(aa) Widerstreitende Positionen
In einem ersten Schritt ist damit in der Abwägung der Interessen nach Grundrechten, die für den Betroffenen streiten, zu fragen. Von Bedeutung sind insofern insbesondere sein Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, sein Recht auf Achtung des Privat- und Familienlebens (Art. 7 GRC) und das Recht auf den Schutz personenbezogener Daten gem. Art. 8 GRC. Dem Recht auf informationelle Selbstbestimmung wohnt dabei gerade die Zielsetzung inne, den Einzelnen vor denjenigen Risiken zu schützen, die sich aus den Registrierungs- und Verfügungsmöglichkeiten von automatisierten Datenverarbeitungsvorgängen ergeben. Trotz der daraus folgenden, dem Datenschutzrecht immanenten Grenzziehung für die Möglichkeiten der Datenverarbeitung wäre es unzulässig, sich im Rahmen der Abwägung in Zweifelsfällen gegen die Zulässigkeit der Datenverarbeitung zu entscheiden.

Dem Interesse des empfohlenen Neukunden am Schutz seiner personenbezogenen Daten steht das Interesse der Krankenkasse gegenüber, im Rahmen der ihr zustehenden Berufs- und unternehmerischen Entscheidungsfreiheit für die von ihr angebotenen Dienstleistungen zu werben. Auch dieses Interesse ist grundrechtlich sowohl auf nationaler (Art. 12 Abs. 1 GG) als auch auf unionsrechtlicher Ebene (Art. 15, 16 GRC) abgesichert. Damit stehen sich zwei widerstreitende Grundrechtspositionen gegenüber, denen jedoch nicht von vornherein ein Rangverhältnis zu entnehmen ist, da es sich letztlich um inkommensurable Größen handelt. Insofern ist es unerlässlich, weitere Abwägungskriterien heranzuziehen, die insbesondere die Intensität des Eingriffs in die Rechte des Betroffenen näher bestimmen können – nur so ist eine interessengerechte Abwägung möglich.

(bb) Beziehung zum Verantwortlichen und Absehbarkeit der Datenverarbeitung
Weitere Abwägungskriterien ergeben sich maßgeblich aus ErwG 47: Sowohl den vernünftigen Erwartungen des Betroffenen, die auf seiner Beziehung zum Verantwortlichen beruhen (S. 1 Hs. 2), als auch der Absehbarkeit der Datenverarbeitung (S. 3) soll insofern Bedeutung zukommen. Je enger die Beziehung der betroffenen Person zum Verantwortlichen ausgestaltet ist, desto eher wird man von der Zulässigkeit der Datenverarbeitung ausgehen können. Im Rahmen der Absehbarkeit der Datenverarbeitung soll es hingegen insbesondere auf ihre Branchenüblichkeit ankommen. Einschränkend ist indes zu berücksichtigen, dass ErwG 47 ausdrücklich nur davon spricht, dass in einer Situation, in der die betroffene Person vernünftigerweise nicht mit einer Verarbeitung ihrer Daten rechnen muss, deren Interesse und Grundrechte das Interesse des Verantwortlichen überwiegen „könnten“. Zwar mag man grundsätzlich eine größere Schutzwürdigkeit der Interessen des Betroffenen bejahen, wenn dieser den Kontakt zum Werbetreibenden nicht selbst initiiert hat und somit wohl nicht mit der Verarbeitung seiner Daten durch den konkreten Verantwortlichen rechnet. An dem Begriff „könnten“ wird allerdings deutlich, dass durch die Verletzung einer möglicherweise bestehenden Erwartungshaltung des Betroffenen keinesfalls die Rechtswidrigkeit der Verarbeitung indiziert wird, sondern es sich lediglich um eines von mehreren Abwägungskriterien handelt.

Im Falle der Kontaktaufnahme der Krankenkasse zu den als Neukunden empfohlenen Personen erfolgt die Datenverarbeitung gerade im Vorfeld und zum Zwecke der Begründung einer Beziehung zwischen den Parteien. Damit kann der Betroffene zwar nicht mit der Datenverarbeitung konkret durch die Krankenkasse rechnen; dies lässt für sich genommen jedoch noch nicht auf die Rechtswidrigkeit der Verarbeitung schließen. Vielmehr ist zu berücksichtigen, dass Empfehlungswerbung in der Versicherungsbranche, aber auch in vielen anderen Bereichen, weit verbreitet ist. Aus diesem Grund ist es nicht unüblich, zu derartigen Zwecken personenbezogene Daten zu verarbeiten, sodass dies jedenfalls allgemein vorhersehbar war und keine Erwartungshaltung dahingehend bestehen konnte, dass die Daten des Betroffenen generell nicht zu Werbezwecken verarbeitet werden. Auch aus diesem Kriterium kann mithin kein eindeutiger Befund für die Gewichtung der widerstreitenden Interessen abgeleitet werden.

(cc) Art der personenbezogenen Daten
Letztlich kommt daher dem Inhalt und der Aussagekraft der verarbeiteten Daten eine entscheidende Bedeutung zu. Neben den relevanten Grundrechtsbezügen sind auch die Eingriffsintensität, die Art der verarbeiteten Daten und die Maßnahmen, die der Verantwortliche zur Datensicherheit trifft, zugrunde zu legen. Dies rechtfertigt sich daraus, dass gerade diese Faktoren maßgeblich das Ausmaß des sich aus der Datenverarbeitung ergebenden Risikos für den Betroffenen bestimmen. Berücksichtigung finden muss insofern das für den Betroffenen allgemein aus der Datenverarbeitung (ErwG 75) folgende Risiko, wie auch dasjenige, das sich gerade aus der konkreten Art der Daten ergeben kann.

Zunächst ist daher das Augenmerk auf die Art der von der Krankenkasse verarbeiteten Daten zu legen, um deren Aussagekraft in Bezug auf den potentiellen Neukunden zu eruieren. Insoweit wird davon auszugehen sein, dass die Krankenkasse in der Regel nur Grunddaten erhebt, die für eine Kontaktaufnahme zum Empfohlenen und damit für das Vertriebsmodell insgesamt unerlässlich sind. Es handelt sich hierbei um den Namen und die Telefonnummer der betroffenen Person, welche nur eine geringe Persönlichkeitsrelevanz aufweisen. Besonders sensible Daten im Sinne von Art. 9, 10 DS-GVO oder sonstige Daten werden dagegen nicht verarbeitet. Sollten manche Praxismodelle hier anders vorgehen, ist von einer Erhebung sensibler Daten dringend abzuraten. Soweit dem allerdings nicht so ist, spricht schon der Umstand, dass allein Grunddaten des Empfohlenen verarbeitet werden, für eine nur geringe Beeinträchtigungsintensität. Hinzu kommt, dass bei der Verarbeitung dieser Grunddaten kein gesteigertes Risiko einer Beeinträchtigung besonders schutzwürdiger Interessen des Betroffenen besteht, wie es beispielsweise bei der Verarbeitung von Bankdaten der Fall wäre. Auch dies spricht für eine nur geringe Beeinträchtigung der Interessen des potentiellen Neukunden. Darauf aufbauend gilt es in einem zweiten Schritt zu klären, welche Maßnahmen die jeweilige Krankenkasse zur Datensicherheit trifft. Insofern ist ein besonderes Augenmerk auf die Art und Weise der Datenverarbeitung zu legen. Hierbei muss berücksichtigt werden, dass es bei der Empfehlungswerbung nicht zu einer Vervielfältigung der personenbezogenen Daten kommt, was potentiellen Missbrauch und damit das Risiko für den Betroffenen weiter eindämmt. All dies kann für eine eher geringe Eingriffsintensität ins Feld geführt werden.

Im Ergebnis lässt sich festhalten, dass durch die Beschränkung der Empfehlungswerbung auf absolut unverzichtbare Grunddaten des Empfohlenen die Eingriffsintensität wesentlich gesenkt und insgesamt als gering eingestuft werden kann. Da darüber hinaus die personenbezogenen Daten in aller Regel keinerlei Rückschlüsse auf die Persönlichkeit oder Lebensumstände des Empfohlenen zulassen und der jeweiligen Krankenkasse einzig die Kontaktaufnahme ermöglichen, kann von einer geringen Beeinträchtigung der Interessen des Betroffenen gesprochen werden, die besonders gewichtigen Interessen der Krankenkasse entgegenstehen. nicht nur auf die Werbung für ihre Dienstleistungen als berechtigtes Interesse stützen, sondern wählt auch das für die Verfolgung dieses Ziels erforderliche Mittel: Die Möglichkeit einer gleich effektiven, aber in datenschutzrechtlicher Hinsicht milderen Ausgestaltung ihres Werbemodells besteht nicht. Letztlich ergeben sich angesichts der besonderen Bedeutung der Werbung für die Ausübung der Berufs- und unternehmerischen Freiheit sowie der nur geringen Beeinträchtigung des potentiellen Neukunden keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten. Damit dürfte die Abwägung zu Gunsten der handelnden Krankenkasse ausfallen.

d) Ergänzender Hinweis: Kein Verstoß gegen den Grundsatz der Direkterhebung
Zuletzt bleibt noch darauf hinzuweisen, dass bei der Durchführung von Empfehlungswerbung durch Krankenkassen kein Verstoß gegen den Grundsatz der Direkterhebung zu erblicken ist.

Nach früherer Rechtslage war es so, dass auch dann, wenn ein Erlaubnistatbestand vorlag, dennoch gemäß § 4 Abs. 2 S. 1 BDSG a.F. darauf zu achten war, dass die personenbezogenen Daten direkt beim Betroffenen erhoben werden. Dabei handelte es sich um eine einfachgesetzliche Ausprägung des Transparenzgrundsatzes als Ausfluss des Rechts auf informationelle Selbstbestimmung. Der Betroffene sollte wissen, wer was wann über ihn an Daten sammelte, speicherte und verarbeitete. Deshalb waren personenbezogene Daten beim Betroffenen selbst und nicht hinter seinem Rücken oder sonst ohne sein Wissen zu erheben. „Beim Betroffenen“ bedeutete, dass die Daten mit seiner Kenntnis oder Mitwirkung (vgl. e contrario § 4 Abs. 2 S. 2 BDSG a.F.: „ohne seine Mitwirkung“) erhoben werden mussten. Es genügte insofern allerdings auch eine mündliche Ansprache. Da ein Verstoß gegen den nach altem Recht explizit normierten Direkterhebungsgrundsatz allerdings weder nach § 43 BDSG a.F. oder § 130 OWiG bußgeldbewehrt noch strafbar war, konnten daraus keine allzu negativen Folgen resultieren, weshalb dem Grundsatz z.T. nicht genügend Beachtung geschenkt wurde.

Nach neuer Rechtslage kommt diesem Grundsatz keine weitgehende Wirkung mehr zu. Zwar finden sich die dahinterstehenden Grundgedanken in Art. 13 und Art. 14 DS-GVO wieder, aus denen folgt, dass bei personenbezogenen Daten, die nicht beim Betroffenen selbst erhoben werden, strengere Informationspflichten zu beachten sind, als es bei einer Erhebung beim Betroffenen der Fall wäre. Gleichwohl kennt das neue Datenschutzrecht keine grundsätzliche Pflicht zur Erhebung personenbezogener Daten beim Betroffenen selbst; allein wenige Stimmen in der Literatur wollen aus Art. 8 GrCH oder Art. 5 Abs. 1 DS-GVO einen solchen Grundsatz herleiten, beruhend auf dem nachvollziehbaren Gedanken, dass eine Erhebung der Daten beim Betroffenen dessen Rechtsposition weniger einschränkt als eine Erhebung bei Dritten, was bei der datenschutzrechtlichen Abwägung zu berücksichtigen sei.

Eine derartige Lesart berücksichtigt die Wertung des Verordnungsgebers, den Direkterhebungsgrundsatz weder unter die Grundprinzipien des Datenschutzrechts aus Art. 5 DSGVO zu fassen noch ihn überhaupt zu erwähnen nicht hinreichend und findet auch in Art. 8 GrCH keine Wortlautstütze. Der Verordnungsgeber hat entschieden, dem Unterschied von Direkterhebung beim Betroffenen und Fremderhebung bei einem Dritten nur im Rahmen der Informationspflichten der Art. 13 und Art. 14 DS-GVO Bedeutung beizumessen. Demnach handelt es sich bei der Behauptung, es bestünde weiterhin ein umfassender Direkterhebungsgrundsatz, um eine abzulehnende, da nicht belegbare These. Nach richtiger Ansicht kann eine entsprechende Verletzung der Direkterhebung hier also keinesfalls gegen die Rechtmäßigkeit der Empfehlungswerbung ins Feld geführt werden. Allein die Informationspflichten des Art. 14 DS-GVO wären zu beachten. Da der zuständige Außendienstmitarbeiter nach Erhalt der personenbezogenen Daten direkt per Telefon Kontakt zum Betroffenen herstellt, ist jedoch ersichtlich von einer Einhaltung des Art. 14 DS-GVO auszugehen. Ein Verstoß gegen den Grundsatz der Direkterhebung scheidet hier mithin aus.

Des Weiteren weist auch die Datenschutzkonferenz in ihrem aktuellen Kurzpapier auf eine weitere Folge der Einhaltung der Informationspflichten hin: „Informiert der Verantwortliche transparent und umfassend über eine vorgesehene werbliche Nutzung der Daten, geht die Erwartung der betroffenen Person in der Regel auch dahin, dass Kundendaten entsprechend genutzt werden.“

In diesem Kontext ist überdies auch an das in Art. 21 Abs. 2 DS-GVO speziell für Fälle der Direktwerbung vorgesehene Widerspruchsrecht zu erinnern. Auch wenn derzeit noch unklar ist, wie der Begriff der Direktwerbung genau auszulegen ist, sollte vorsichtshalber für den Fall der Empfehlungswerbung auf die Einhaltung der aus Art. 21 Abs. 4 DS-GVO folgenden Hinweispflicht geachtet werden. So können an dieser Stelle möglicherweise bestehende Rechtsrisiken effektiv ausgeschlossen werden. Zudem ist die Erfüllung der Hinweispflicht leicht umsetzbar, indem der Außendienstmitarbeiter bei der Kontaktaufnahme dem Empfohlenen gegenüber deutlich macht, dass er jederzeit – auch und vor allem bei einer möglichen Einwilligung zu Beginn des Gesprächs – und damit auch zu einem späteren Zeitpunkt noch von seinem Widerspruchsrecht Gebrauch machen kann, was die Folge des Art. 21 Abs. 3 DS-GVO nach sich zieht.

III. Summa und Praxisempfehlung

Betrachtet man die Thematik durch die datenschutzrechtliche Brille, führt dies zu einem positiven rechtlichen Bild. Empfehlungswerbung ist nach Maßstäben des Datenschutzes zulässig – sowohl, was das SGB, als auch, was die DS-GVO betrifft. Diese Einschätzung beruht auf folgenden Erwägungen:

  • Das Verarbeitungsverbot mit Erlaubnisvorbehalt wird hinsichtlich der Empfehlungswerbung durch § 284 Abs. 4 S. 1 SGB V ausgefüllt. § 284 Abs. 1 S. 1 SGB V greift nicht ein, weil es bei der Empfehlungswerbung nach höchstrichterlicher Rechtsprechung nicht um Zwecke der Krankenversicherung, also originär gesetzlich zugewiesene Aufgaben geht, weshalb § 284 Abs. 1 S. 1 SGB V nicht nur seinem Wortlaut nach ausscheidet, sondern auch, weil mangels gesetzlicher Aufgabenerfüllung schon gar keine Sozialdaten im Sinne des § 67 Abs. 2 SGB X vorliegen. Deshalb hat der Gesetzgeber bewusst § 284 Abs. 4 S. 1 SGB V geschaffen. Die Verarbeitung von Daten aus allgemein zugänglichen Quellen dürfte im vorliegenden Fall gegeben sein, da es nach der Norm allein darauf ankommt, dass die Daten allgemein zugänglich sind, nicht aber darauf, dass die Daten aus allgemein zugänglichen Quellen erhoben werden. Dies kann in der Praxis dadurch sichergestellt werden, dass die im Kundengespräch gestellte Empfehlungsfrage so formuliert wird, dass nicht nur danach gefragt wird, ob ein Interesse an einer Versicherungsleistung der Krankenkasse besteht, sondern auch und vor allem danach, ob der Bestandskunde meint, die Daten des Empfohlenen seien allgemein (z.B. im Internet oder dem Telefonbuch) zugänglich.
  • Unabhängig davon ist eine – weitergehende – Rechtfertigung der Empfehlungswerbung über Art. 6 Abs. 1 lit. f) DS-GVO möglich. Denn der Sozialdatenschutz entfaltet allein Sperrwirkung hinsichtlich des BDSG, nicht jedoch hinsichtlich der Teile der DS-GVO, die von deren Öffnungsklauseln nicht erfasst werden. Der Sozialdatenschutz beruht auf der Öffnungsklausel des Art. 6 Abs. 2, 3 DS-GVO; § 284 Abs. 4 S. 1 SGB V spezifiziert also Art. 6 Abs. 1 lit. e) DS-GVO. Damit ist ein Rückgriff auf diesen Buchstaben, nicht aber auf einen anderen Buchstaben (vor allem nicht auf Buchstaben f.) gesperrt. Dies folgt nicht nur unmittelbar aus Art. 6 Abs. 1 S. 2 BGB, sondern bestätigt sich durch einen Blick auf unionsrechtliche Prinzipien, die nationale Gesetzesbegründung und Wortlaut-fassung des § 284 Abs. 4 S. 1 SGB V sowie Stellungnahmen der Aufsichtsbehörden.
  • Der nach dieser Argumentation parallel anwendbare Art. 6 Abs. 1 lit. f) DS-GVO fordert eine Interessenabwägung, die zu dem Ergebnis gelangt, dass die Interessen der Krankenkasse die berechtigten Interessen der betroffenen Person (des Empfohlenen) überwiegen. Die Krankenkasse kann sich nicht nur auf die Werbung für ihre Dienstleistungen als ein berechtigtes Interesse stützen, sondern wählt auch das für die Verfolgung dieses Ziels erforderliche Mittel. Denn: Die Möglichkeit einer gleich effektiven, aber in datenschutzrechtlicher Hinsicht milderen Ausgestaltung ihres Werbemodells besteht nicht. Letztlich ergeben sich angesichts der besonderen Bedeutung der Werbung für die Ausübung der Berufs- und unternehmerischen Freiheit und der nur geringen Beeinträchtigung des potentiellen Neukunden keine überwiegenden Interessen, Grundrechte oder Grundfreiheiten – die Interessenabwägung fällt zu Gunsten der betreffenden Krankenkasse aus.

In der Gesamtschau lässt sich resümieren, dass Empfehlungswerbung nicht nur unter wettbewerbsrechtlichen Gesichtspunkten interessant, sondern auch datenschutzrechtlich spannend ist. Eine eingehende Betrachtung hat gezeigt, dass sich Krankenkassen bei Beachtung der in diesem Beitrag aufgezeigten Praxishinweise keine Gedanken wegen etwaiger Datenschutzverstöße machen müssen und weiterhin auf Empfehlungswerbung als wichtiges Mittel zur Akquise von Neukunden zurückgreifen können.