14.2
Weitergabe von Versichertendaten durch die Brandversicherungsanstalten
Durch die Aufhebung des Gebäude-Feuer-Versicherungs-Monopols und den Wegfall der Feuerversicherungspflicht für Gebäude mußten die Brandversicherungsanstalten plötzlich Kunden akquirieren. Da sie über kein eigenes Vertriebssystem verfügen, bedienten sie sich der Hilfe der Sparkassen-Versicherung und der Sparkassen. Gegen die in diesem Zusammenhang notwendige Weitergabe von Kundendaten ist nichts einzuwenden. Bei Prüfungen konnte ich mich davon überzeugen, daß die Sparkassen die Daten zweckgebunden verwendet haben.
Durch § 1 des am 6. August 1993 in Kraft getretenen Gesetzes zur Durchführung des Art. 3 der Richtlinie 92/49/EWG des Rates (der Europäischen Union) vom 18. Juni 1992 zur Koordinierung der Rechts- und Verwaltungsvorschriften für die Direktversicherung... (GVBl. I S. 352) ist das zugunsten der Hessischen Brandversicherungsanstalten bestehende Gebäude-Feuer-Versicherungs-Monopol mit Ablauf des 30. Juli 1994 aufgehoben worden. gleichzeitig ist die Feuerversicherungspflicht für Gebäude entfallen.
§ 1 Gebäude-Feuer-Versicherungsmonopol,
Feuerversicherungspflicht für Gebäude
(1) Die Gebäude-Feuer-Versicherungsmonopole
zugunsten der
Hessisch-Thüringischen-Brandversicherungsanstalt Kassel-Erfurt,
der Hessischen
Brandversicherungsanstalt für Gebäude
Darmstadt und der Nassauischen
Brandversicherungsanstalt Wiesbaden
werden im Geltungsbereich des Gesetzes
mit Ablauf des 30. Juni 1994 aufgehoben.
(2) Zum gleichen Zeitpunkt entfällt die mit
dem Gebäude-Feuer-Versicherungsmonopol
verbundene Feuerversicherungspflicht für
Gebäude im Geltungsbereich des Gesetzes.
Ab Inkrafttreten des Gesetzes durften die Brandversicherungsanstalten neue Gebäude-Feuer-Versicherungen als vertragliche Versicherungsverhältnisse begründen und bestehende öffentlich-rechtliche Versicherungsverhältnisse durch privatrechtliche Versicherungsverträge ablösen.
Da die Brandversicherungsanstalten über keinen eigenen Außendienst verfügen, arbeiten sie mit der Öffentlichen Versicherungsanstalt Hessen-Nassau-Thüringen (Sparkassen-Versicherung) im Wege der Mitversicherung zusammen. Aufgrund einer Mitversicherungsvereinbarung vom 10. August 1993 stellt die Sparkassen-Versicherung den Hessischen Brandversicherungsanstalten zum Zwecke der Vermittlungstätigkeit und Bestandspflege ihr Vertriebssystem, das einen Außendienst und die Sparkassen umfaßt, zur Verfügung.
Die Sparkassen und der Außendienst der Sparkassen-Versicherung erhielten von den Brandversicherungsanstalten für die Beratung der Versicherungsnehmer und die Vermittlung privatrechtlicher Folgeversicherungsverträge die erforderlichen Feuerversicherungsdaten der Kunden. Dazu zählten Name, Vorname, Anschrift des Versicherungsnehmers (falls nicht identisch, auch des Eigentümers), Risikoanschrift, versicherte Sachen, Versicherungssummen, aktueller Jahresbeitrag, Datum der letzten Schätzung, Kontoverbindung und Bankleitzahl.
Die Einschaltung der Sparkassen-Versicherung und Sparkassen durch die Brandversicherungsanstalten führte zu einer Vielzahl von Beschwerden. Für die rechtliche Beurteilung der Datenweitergabe ist das Bundesdatenschutzgesetz maßgeblich, denn gemäß § 3 Abs. 7 HDSG gelten für öffentlich-rechtliche Wettbewerbsunternehmen die Vorschriften des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht-öffentlicher Stellen.
Die einschlägige Rechtsvorschrift ist hier § 11 BDSG, der die Auftragsdatenverarbeitung regelt.
(1) Werden personenbezogene Daten im Auftrag
durch andere Stellen verarbeitet oder
genutzt, ist der Auftraggeber für die
Einhaltung der Vorschrift dieses Gesetzes
und anderer Vorschriften über den
Datenschutz verantwortlich. Die in den §§ 6
bis 8 genannten Rechte sind ihm gegenüber
geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer
Berücksichtigung der Eignung der von ihm
getroffenen technischen und
organisatorischen Maßnahmen sorgfältig
auszuwählen. Der Auftrag ist schriftlich zu
erteilen, wobei die Datenverarbeitung oder
-nutzung, die technischen und
organisatorischen Maßnahmen und etwaige
Unterauftragsverhältnisse festzulegen sind.
Er kann bei öffentlichen Stellen auch durch
die Fachaufsichtsbehörde erteilt werden.
(3) Der Auftragnehmer darf die Daten nur im
Rahmen der Weisungen des Auftraggebers
verarbeiten oder nutzen. Ist er der Ansicht,
daß eine Weisung des Auftraggebers gegen
dieses Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den
Auftraggeber unverzüglich darauf
hinzuweisen.
Bei der Datenweitergabe durch die Brandversicherungsanstalten handelt es sich nicht, wie man auf den ersten Blick meinen könnte, um eine Datenübermittlung i.S.d. Bundesdatenschutzgesetzes, so daß die Übermittlungsvorschriften nicht anwendbar sind. Unter Datenübermittlung versteht das Bundesdatenschutzgesetz nämlich die Bekanntgabe personenbezogener Daten an Dritte (§ 3 Abs. 5 Satz 2 Nr. 3).
§ 3 Abs. 5 Nr. 3
Verarbeiten ist das Speichern, Verändern,
Übermitteln, Sperren und Löschen
personenbezogener Daten. Im einzelnen ist
ungeachtet der dabei angewandten Verfahren:
3. Übermitteln das Bekanntgeben
gespeicherter oder durch
Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten
(Empfänger) in der Weise, daß
a) die Daten durch die speichernde Stelle
an den Empfänger weitergegeben werden
oder
b) der Empfänger von der speichernden
Stelle zur Einsicht oder zum Abruf
bereitgehaltene Daten einsieht oder
abruft,
Personen und Stellen, die personenbezogene Daten im Auftrag verarbeiten oder nutzen, sind jedoch keine Dritten (§ 3 Abs. 9 Satz 2 BDSG).
§ 3 Abs. 9
Dritter ist jede Person oder Stelle
außerhalb der speichernden Stelle. Dritte
sind nicht der Betroffene sowie diejenigen
Personen und Stellen, die im Geltungsbereich
dieses Gesetzes personenbezogene Daten im
Auftrag verarbeiten oder nutzen.
Kennzeichnend für Auftragsdatenverarbeitung ist, daß die datenverarbeitende Stelle sich bei der Wahrnehmung ihrer Aufgaben und Geschäftszwecke eines Erfüllungsgehilfen bedient. Genau das ist hier der Fall: Die Brandversicherungsanstalten bedienen sich für die Akquisition und Bestandspflege der Mithilfe der Sparkassen und des Außendienstes der Sparkassen-Versicherung.
Die Auftragnehmer dürfen die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten und nutzen (§ 11 Abs. 3 BDSG). In der zwischen den Brandversicherungsanstalten und der Sparkassen-Versicherung geschlossenen Mitversicherungsvereinbarung wird ausdrücklich darauf hingewiesen, daß die Daten ausschließlich zur Steuerung der im Zusammenhang der Sicherung der Monopolbestände der Brandversicherungsanstal ten, sowie der für die Vermittlungstätigkeit und Bestandspflege der Mitversicherungsgemeinschaft getroffenen Maßnahmen dienen. Die Vereinbarung verlangt von den Datenempfängern außerdem technische und organisatorische Maßnahmen, um zu verhindern, daß Unbefugte die Daten zur Kenntnis nehmen können. Darüber hinaus wird eine Verpflichtung der mit der Erfüllung der Mitversicherungsvereinbarung betrauten Personen auf das Datengeheimnis angeordnet.
Die Sparkassen wurden in einem gemeinsamen Schreiben der Brandversicherungsanstalt und der Sparkassen-Versicherung auf die Zweckbindung der Daten und die Einhaltung der sonstigen Datenschutzbestimmungen hingewiesen. Die Sparkassen haben sich durch Gegenzeichnung dieses Schreibens zur Einhaltung der Bedingungen verpflichtet.
Verantwortlich für die rechtmäßige Verarbeitung und Nutzung der an die Sparkassen-Versicherung und die Sparkassen weitergegebenen Kundendaten sind gemäß § 1 Abs. 1 BDSG die Brandversicherungsanstalten. Sie müssen dafür sorgen, daß die Empfänger die Daten nicht für andere Zwecke verwenden. Dem haben die Brandversicherungsanstalten mit der beschriebenen Vertragsgestaltung entsprochen.
Bei Prüfungen, die ich 1995 in mehreren Sparkassen durchgeführt habe, konnte ich feststellen, daß sich die Sparkassen an die Vorgaben der Brandversicherung gehalten haben.