Kurzbeitrag : Anmerkungen zu den Verhaltensregeln der Deutschen Versicherungswirtschaft : aus der RDV 2/2014, Seite 93 bis 96
1. Verhaltensregeln nach § 38a BDSG
Die Verhaltensregeln (im folgenden verkürzt als „CoC“ – Code of Conduct – bezeichnet) des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. („GDV“) sind das erste – und bisher einzige – Regelwerk, das von den Aufsichtsbehörden nach den Vorgaben von § 38a BDSG geprüft und anerkannt wurde.
Die Feststellung der Übereinstimmung des Inhalts des CoC des GDV mit den gesetzlichen Bestimmungen, die Ende 2012 durch den Berliner Datenschutzbeauftragten erfolgte, schafft zum einen Rechtssicherheit für die Versicherungswirtschaft im Hinblick auf typische Datenverarbeitungsprozesse[1], zum anderen erhöhen solche Verhaltensregeln zugunsten der Betroffenen (= der Versicherungsnehmer „VN“) die Transparenz über die Art und Verwendung ihrer Daten durch die Versicherungsgesellschaften.
Verhaltensregeln als selbstdisziplinäres Regulierungsinstrument besitzen keine Gesetzeskraft; sie ersetzen deshalb auch nicht die Normen des BDSG, sondern sind nach allg. Meinung nur als Konkretisierung der gesetzlichen Bestimmungen im Hinblick auf gruppen- oder branchenspezifische Datenverarbeitungspraktiken zu verstehen[2]. Da ihnen der Charakter als Rechtsvorschrift fehlt, kommt auch die Subsidiaritätsanordnung des § 1 Abs. 3 BDSG nicht zum Tragen.
2. Verbindlichkeit von CoC
Die Verhaltensregeln der Versicherungswirtschaft stellen eine gemeinsame Selbstverpflichtung der vom GDV vertretenen Organisationen dar. Die Unternehmen verpflichten sich auf freiwilliger Basis zu ihrer Einhaltung. Frei willige Selbstverpflichtungen sind grundsätzlich nicht bindend in dem Sinn, dass sie Rechtsansprüche der Betroffenen begründen[3]. Soweit es in der Einleitung der CoC der Versicherungswirtschaft heißt, dass sich die beitretenden Mitglieds unternehmen „zu deren Einhaltung verpflichten“, bedeutet dies nur, dass sich die Unternehmen verbandsintern dem Regime der Regeln unterwerfen. Verstoßen sie gegen die vereinbarten Regeln, bleibt dies zwar nicht folgenlos[4], hat aber auf die Rechtsstellung, insbesondere die Befugnisse, der VN keinen Einfluss.
Bindungswirkung entfalten die CoC-Regeln indes in einer anderen Richtung. Die Aufsichtsbehörden haben sich bundesweit darauf verständigt, den CoC des GDV anzuerkennen und sich damit auf eine einheitliche Beurteilungspraxis festgelegt[5]. Den Versicherungsunternehmen werden damit Diskussionen mit einzelnen Aufsichtsbehörden erspart, die ggf. eine von anderen Länderkontrollinstanzen abweichende Auffassung vertreten könnten. Dies müsste im Übrigen wohl auch im Hinblick auf die BaFin gelten. Bei der Feststellung der Vereinbarkeit der CoC-Regeln mit dem BDSG durch die Aufsichtsbehörden handelt es sich um einen feststellenden Verwaltungsakt[6]. Sein Inhalt ist nicht nur für die Verfahrensbeteiligten, sondern nach den allgemeinen verwaltungsverfahrensrechtlichen Grundsätzen auch für andere Behörden bindend[7]. Für Gerichte besteht naturgemäß eine solche Bindungswirkung nicht.
3. Die Bedeutung des CoC der Versicherungswirtschaft im datenschutzrechtlichen Regelungskonzept
Der CoC muss vor dem Hintergrund des die Verarbeitung personenbezogener Daten bestimmenden Prinzips des „Verbots mit Erlaubnisvorbehalt“ bewertet werden, wie es in § 4 Abs. 1 BDSG zum Ausdruck gebracht wird. Der Bestimmung zufolge sind grundsätzlich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten untersagt, sofern sie nicht durch einen der drei alternativen Legitimationstatbestände – Einwilligung, spezielle Rechtsvorschriften außerhalb des BDSG oder im BDSG verankerte Zulässigkeitsbestimmungen – gerechtfertigt werden. Spezialgesetzliche Regelungen sind im Rahmen von § 4 Abs. 1 BDSG – anders als dies in Bezug auf § 1 Abs. 3 BDSG der Fall sein kann[8] – für die Datenverarbeitung von Versicherungsgesellschaften, wenn überhaupt, allenfalls peripher relevant. Zentrale Bedeutung für die DV-Prozesse haben deshalb die Einwilligung und die allgemeinen BDSG-Normen, namentlich die §§ 3 und 28.
Grundsätzlich stehen die Gestattungstatbestände Einwilligung und BDSG-Erlaubnisregelungen gleichwertig nebeneinander. Theoretisch ließen sich also alle DV-Prozesse in einer Versicherungsgesellschaft mit Hilfe einer Einwilligung der Betroffenen (=VN) rechtfertigen. Gleichwohl bestehen gegen eine solche Vorgehensweise praktische und dogmatische Bedenken.
Die Anforderungen an eine formal und inhaltlich korrekte („informierte“) Einwilligung sind hoch. Die reichhaltige Rechtsprechung zeigt die Schwachstellen praktizierter Klauseln sehr deutlich auf. Gerade weil formalisierte Einwilligungsklauseln auch AGB-rechtlichen (Transparenz-)Anforderungen genügen müssen, liegt in ihrem Einsatz ein nicht unbeträchtliches Risiko für die Versicherungsunternehmen. Als Allheilmittel kann die Einwilligung nicht angesehen werden.
Überdies wird herrschend mit guten Gründen die Ansicht vertreten, der zufolge eine Einwilligung als Gestattungstatbestand nur dann in Betracht kommen dürfe, wenn die BDSG-Bestimmungen keine sichere Rechtsgrundlage für den jeweiligen Datenumgang bieten[9]. Aus diesem Grund sollte von ihnen immer erst auf der Basis des BDSG geprüft werden, wozu sie befugt sind, so dass sie – abgesehen von zwingenden Gesetzesbestimmungen (vgl. §§ 3 Abs. 9, 28 Abs. 7, 8 BDSG) – sozusagen nur hilfsweise auf die Einwilligung zurückgreifen sollten.
Angesichts dieser Konstellation der Zulässigkeitsbedingungen erhält der CoC der Versicherungswirtschaft seine besondere Bedeutung. Er ist als „amtlich anerkannte Interpretationshilfe“[10] der einschlägigen BDSG-Bestimmungen und –Institute zu verstehen, an denen sich ein Versicherungsunternehmen orientieren kann. Er macht das Gesetz für das Unternehmen verständlicher, leichter anwend- und besser durchführbar[11] – bei einem relativ hohen Maß an Rechtssicherheit, wenn es sich an ihm ausrichtet. Wohlgemerkt: Absolut „gerichtsfest“ ist der CoC nicht. Entscheidend bleibt die Vereinbarkeit der DV-Maßnahmen mit dem Gesetz, für die zwar ihre Kompatibilität mit dem CoC eine gewisse Garantie bietet. Aber in der „Orientierungshilfe“ der Datenschutzaufsichtsbehörden vom 26./27.02.2013 heißt es klarstellend ausdrücklich[12]: „Kommt es trotz positiver Überprüfung einer Aufsichtsbehörde (Anerkennung) zu einem Widerspruch zwischen gesetzlicher Regelung und Verhaltensregel, geht das Gesetz vor“.
4. Konfliktlösung durch CoC und neue Einwilligungsklauseln
Die Vorbehalte gegen einen universellen Einsatz von Einwilligungsklauseln zur Absegnung umfassender Verarbeitungsprozesse stützen sich maßgeblich auf Konfliktsituationen, die bei einem Widerruf der Einwilligung durch den Betroffenen entstehen können. Eine derartige Kassierung der Zustimmung könnte dazu führen, dass notwendige Verarbeitungen durch sie nicht mehr gerechtfertigt würden, obwohl sie an sich bei Anwendung der gesetzlichen Erlaubnisnormen – insbesondere § 28 BDSG – gestattet wären. Zudem wird bezweifelt, ob überhaupt die Freiwilligkeit der Einwilligung anzunehmen ist, wenn der Betroffene darauf hingewiesen wird, dass die Verarbeitung auch ohne seine Zustimmung durch eine gesetzliche Bestimmung legitimiert werden kann[13].
Die Versicherungswirtschaft hat diese Situation durchaus gesehen. Die Gesellschaften haben bislang in ihren „Merkblättern zur Datenverarbeitung“, die die Einwilligungsklauseln flankierten, darauf hingewiesen, dass sie mit der Einwilligung der VN unabhängig von der Gesetzeslage „eine sichere Rechtsgrundlage“ für die Datenverarbeitung schaffen wollten, sich aber den Rückzug auf die gesetzlichen Zulässigkeitsbestimmungen ausdrücklich vorbehalten. So heißt es dort u.a.: „Trotz Widerruf oder ganz bzw. teilweise gestrichener Einwilligungserklärung kann eine Datenverarbeitung und -nutzung in dem begrenzten gesetzlich zulässigen Rahmen … erfolgen.“
Diese von den Aufsichtsbehörden geduldete Vorgehensweise ist in der Vergangenheit wiederholt mit dem Argument kritisiert worden, dass der betroffene VN irregeführt werde, wenn von den Versicherern Verarbeitungsprozesse durchgeführt würden, die seiner Einwilligungserklärung zuwiderliefen bzw. von ihr nicht expressis verbis abgedeckt wurden. Ob die damit reklamierte Missachtung des Rechts auf informationelle Selbstbestimmung des VN dogmatischer Kritik standhält, mag dahinstehen. Nicht von der Hand zu weisen ist jedenfalls eine Gefährdung des vom VN in „seine“ Versicherungsgesellschaft gesetzten Vertrauens, wenn sie sich entgegen den zunächst geweckten Erwartungen und Vorstellungen des VN verhält.
Das nunmehrige Zulässigkeitsregime, also die Kombination von CoC und neuen Einwilligungsklauseln, verhindert ein derartiges potentielles Auseinanderdriften von Erklärungsinhalt der Einwilligung und gesetzlicher Verarbeitungsbefugnis. Der CoC regelt nämlich Sachverhalte, die bislang weitgehend über umfassende – und bisweilen wenig übersichtliche – Einwilligungserklärungsformeln legitimiert werden sollten. Lediglich die Verarbeitungen, die Gesundheitsdaten und sonstige unter § 203 StGB fallende Daten zum Gegenstand haben, bedürfen jetzt einer datenschutzrechtlichen Einwilligung (vgl. auch die entsprechende Passage in der Einleitung des CoC). Es besteht daher ein großes Interesse der Versicherungsunternehmen, ihre DV-Abläufe so zu gestalten und ggf. neu auszurichten, dass sie den im CoC behandelten Sachverhalten entsprechen. Die Kongruenz von CoC-Regelungstatbeständen und tatsächlich praktizierten Verfahren enthebt sie, kurz gesagt, der Notwendigkeit, ausufernde Einwilligungstexte ihren VN vorzulegen. Nicht nur durch den CoC allein, sondern gerade auch durch die Verschlankung solcher Klauseln auf § 203 StGB- bzw. § 3 Abs. 9 BDSG-spezifische Daten(verarbeitungen) wird den VN ein Höchstmaß an Transparenz und gleichzeitig beiden Seiten die Gewähr rechtskonformen Verhaltens geboten.
5. Exklusivwirkung des CoC der Versicherungswirtschaft
Die durch die aufsichtsbehördliche Genehmigung zum Ausdruck gebrachte Erklärung der Vereinbarkeit mit dem BDSG bedeutet, dass die CoC-Regeln jedenfalls nicht hinter dem Schutzstandard des BDSG zurückbleiben und auch nicht mit den BDSG-Vorschriften kollidieren. Die in der Literatur ausgetragenen Streitfrage, ob und inwieweit sie über die gesetzlichen Minimalanforderungen hinaus eine Erhöhung des Schutzniveaus, einen sog. „Mehrwert“ bewirken müssen, um die Voraussetzungen des § 38a BDSG zu erfüllen[14], bedarf hier keiner Diskussion. Unstrittig verbietet ein CoC jedenfalls nicht Datenverarbeitungen, die ein Unternehmen unter stringenteren Voraussetzungen, d.h. unter Anhebung des behördlich gebilligten Datenschutzstandards durchführen will. Der Beitritt zu dem CoC der Versicherungswirtschaft hindert ein Unternehmen also nicht, im Weg der Selbstbeschränkung den ihm durch den CoC eingeräumten Freiraum weiter einzugrenzen[15].
Zudem sind die CoC-Regeln teilweise allgemein gehalten. In der Einleitung zum CoC wird ausdrücklich darauf hingewiesen, dass die Unternehmen dadurch in die Lage versetzt werden sollen, sie in „unternehmensspezifischen Regelungen (zu) konkretisieren“. Überdies soll der CoC auch nicht bestehende „spezielle Vereinbarungen oder Absprachen zu besonders datenschutzrechtlichen Verfahrensweisen“ aushebeln, die ihm beigetretene Unternehmen mit den zuständigen Aufsichtsbehörden bereits getroffen haben. Kurzum: Der CoC schöpft nicht alle Möglichkeiten aus, die das Gesetz einem Versicherungsunternehmen bietet. Er bedeutet kein starres Korsett für die Durchführung der Datenverarbeitung durch die Versicherungsunternehmen und bindet sie nicht sklavisch an den Wortlaut, sondern lässt durchaus Raum für individuelle flexible Lösungen – vorausgesetzt, sie sind mit den gesetzlichen Rahmenvorgaben kompatibel.
Schließlich besteht eine Exklusivität des CoC auch nicht mit der Maßgabe, dass seine Anwendbarkeit und Wirkung auf die Mitgliedsunternehmen des GDV beschränkt wären. Die Regeln sind keineswegs für die GDV-Mitglieder reserviert. Auch Versicherungsgesellschaften außerhalb des GDV-Verbunds können sie ihrer Datenverarbeitung zugrunde legen und dürfen damit rechnen, dass bei Konformität keine Beanstandungen durch die Aufsichtsbehörden erfolgen.
6. Sanktionen bei Verstößen gegen den CoC?
Verletzungen von Verhaltensregeln als solchen sind nach dem BDSG sanktionslos; sie sind in den Katalog des § 43 BDSG nicht aufgenommen worden und werden auch von § 44 BDSG nicht angesprochen. Erst wenn sie zugleich einen Verstoß gegen gesetzliche Datenschutzbestimmungen darstellen, die nach den §§ 43, 44 BDSG bußgeld- bzw. strafbewehrt sind, treten die dort vorgesehen Rechtsfolgen ein[16].
Allerdings ist zu beachten, dass ein Zuwiderhandeln von Verbandsmitgliedern gegen den CoC, der aufgrund der dem GDV satzungsgemäß zustehenden Kompetenz verabschiedet wurde, eine Verletzung von mitgliedschaftlichen Verpflichtungen bedeuten kann. Gem. § 4 Abs. 2 der Satzung des GDV haben die Versicherungsunternehmen, die Mitglieder des GDV sind, „die im Rahmen der Satzung getroffenen Verbandsentscheidungen mitzutragen“. Wenn sie demzufolge verpflichtet sind, diese Entscheidung auch in der Praxis zu befolgen, kann ein abweichendes Verhalten u.U. als Satzungsverstoß bewertet und ggf. unter den näheren Voraussetzungen von § 5 der GDV-Satzung geahndet werden. Das gilt vorliegend umso mehr, als die GDV-Mitglieder nicht automatisch zur Befolgung des CoC verpflichtet werden, sondern ihm erst Kraft ausdrücklichen Erklärungsakts (Beitritt) für ihr Geschäftsverhalten verbindlich übernehmen.
Schließlich sind auch wettbewerbsrechtliche Konsequenzen zu bedenken. Veröffentlichte Verhaltensregeln werden als Werbeinstrumente angesehen[17]. Zwar ist die Missachtung solcher Regeln nicht nach Maßgabe von §§ 3, 4 Nr. 11 UWG als unlauter zu bewerten, da ihnen die Rechtsnormqualität fehlt[18], doch können die Nichteinhaltung bzw. ein Verstoß das Kriterium der Irreführung gem. § 5 UWG erfüllen. Der CoC des GDV erfüllt die Voraussetzungen von § 2 Abs. 1 Nr. 5 UWG. Stellt eine Versicherungsgesellschaft heraus, dass sie dem CoC beigetreten ist, kann dies für sie ein effizientes Werbeargument sein. Der Hinweis auf den Beitritt vermag den Eindruck von besonderer Seriosität und Zuverlässigkeit zu er wecken. Daran knüpfen die Irreführungstatbestände des § 5 Abs. 1 Satz 2 Nr. 6 UWG und die Nr. 1 des Anhangs zu § 3 Abs. 3 UWG an[19]. Ein Versicherungsunternehmen, das sich regelwidrig verhält, ist also vor Abmahnungen/ Klagen von nach § 8 UWG anspruchsberechtigten Stellen nicht gefeit.
* Der Autor ist Rechtsanwalt in Bonn mit dem Arbeitsschwerpunkt Datenschutzrecht.
[1] Vgl. Kinast, in: Taeger/Gabel, Kommentar zum BDSG (2010), § 38a Rn. 3; „Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG“, Beschluss des Düsseldorfer Kreises in der Sitzung vom 26./27. Februar 2013.
[2] Vgl. Bizer, DuD 2001, S. 126.
[3] Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Kommentar (1997), Art. 27 Rn. 1.
[4] Vgl. nachfolgend unter 5.
[5] Vgl. Hoeren, RDV 2011, 1.
[6] Kinast, in: Taeger/Gabel, § 38a Rn. 29; Petri in Simitis (Hrsg.), Bundesdatenschutzgesetz, Kommentar, 7. Aufl. (2011), § 38a Rn. 22.
[7] Vgl. Kopp/Ramsauer, Kommentar zum Verwaltungsverfahrensgesetz, 14. Aufl (2013), § 43 Rn. 16, 18.
[8] Zum Verhältnis von § 4 Abs. 1 zum § 4 Abs. 3 vgl. Gola/Schomerus, BDSG, Kommentar, 11. Aufl. (2012), § 4 Rn. 7.
[9] Vgl. Gola/Schomerus, § 4 Rn. 16; Taeger in Taeger/Gabel, § 4 Rn. 45: „Nur dann, wenn danach keine Erlaubnis aufgrund eines Gesetzes besteht, kann die Einwilligung als weitere Möglichkeit zur Legitimation einer Erhebung, Verarbeitung oder Nutzung eingeholt werden“. Im gleichen Sinn auch Sokol in Simitis (Hrsg.), § 4 Rn. 6.
[10] Kinast, in: Taeger/Gabel, § 38a Rn. 3; Weichert in Däubler/Klebe/ Wedde/Weichert, Bundesdatenschutzgesetz, Kompaktkommentar, 4. Aufl. (2014), § 38a Rn. 6: „amtlich bestätigte Interpretationshilfen“.
[11] Vgl. Hullen, in: Plath (Hrsg.) BDSG Kommentar (2013), § 38a Rn. 18.
[12] Abschnitt A am Ende.
[13] Weichert in Däubler/Klebe/Wedde/Weichert, § 4 Rn. 4.
[14] Zur Diskussion dieses „Mehrwerts“ vgl. nur Abel, RDV 2003, 11 (14); Karstedt-Merierrieks, DuD 2001, 287 (288); Weichert in Däubler/Klebe/ Wedde/Weichert, § 38a Rn. 6; Hullen in Plath, § 38a Rn. 17; vgl. auch „Orientierungshilfe der Datenschutzaufsichtsbehörden“ vom 26./27.02.2013 unter Abschnitt B 5.
[15] Vgl. auch die Einleitung des CoC: „Darüber hinaus ist es den Unternehmen unbenommen, Einzelregelungen mit datenschutzrechtlichem Mehrwert…zu treffen.“
[16] Kinast, in: Taeger/Gabel, § 38a Rn. 33.
[17] Vgl. Kahlert, DuD 2003, 412f.
[18] Vgl. Schröder, Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct, nach US-amerikanischem und deutschem Recht, 2007, S. 284f.
[19] Vgl. Köhler, in: Hefermehl/Köhler/Bornkamm, UWG-Kommentar, 27. Aufl., § 2 Rn. 117.