TE Dsk Empfehlung 2017/6/28 DSB-D213.541/0005-DSB/2017

JUSLINE Entscheidung

Veröffentlicht am 28.06.2017
beobachten
merken

Norm

DSG 2000 §1 Abs1
DSG 2000 §1 Abs2
DSG 2000 §7 Abs1
DSG 2000 §7 Abs3
DSG 2000 §30 Abs1
DSG 2000 §30 Abs6
ASVG §31 Abs4 Z1
ASVG §460d
FM-GwG §6
DSG 2000 §4 Z1
FM-GwG §6 Abs2 Z1

Text

GZ: DSB-D213.541/0005-DSB/2017 vom 28.6.2017

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass eines amtswegigen Prüfverfahrens betreffend Datenverwendung durch die V** AG, vertreten durch X*** Rechtsanwälte GmbH, folgende Empfehlung aus:

1.       Die V** AG möge von der Verwendung der Sozialversicherungsnummer zur eindeutigen Identifizierung von Versicherungsnehmern außerhalb von sozialversicherungsrechtlichen Sachverhalten absehen.

2.       Für die Umsetzung dieser Empfehlung wird eine F r i s t von d r e i M o n a t e n gesetzt.

Rechtsgrundlagen: §§ 1 Abs. 1 und 2, § 7 Abs. 3 und § 30 Abs. 1 und 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF, iVm § 31 Abs. 4 Z 1, § 460d des Allgemeinen Sozialversicherungsgesetzes (ASVG), BGBl. Nr. 189/1955 idgF; § 6 des Finanzmarkt-Geldwäschegesetzes – FM-GwG, BGBl. Nr. 118/2016 idgF.

Gründe für diese Empfehlung

A. Vorbringen der Beteiligten und Verfahrensgang

1. In einer an die Datenschutzbehörde gerichtete Eingabe wird ausgeführt, dass die *V* AG Scheiben an Versicherungsnehmer versende, in denen diese um Bekanntgabe der Sozialversicherungsnummer ersucht würden. Als Grund wurde die Verpflichtung zur eindeutigen Identifikation der Versicherungsnehmer („Unverkennbarkeit der Kunden“) angegeben.

2. In ihrer Stellungnahme vom 30. Mai 2017 bestreitet die anwaltlich vertretene V** AG den Sachverhalt nicht, sondern führt im Ergebnis aus, weshalb die Verwendung der Sozialversicherungsnummer zulässig sei. Dabei wird die Tätigkeit der V** AG in den unterschiedlichen Versicherungszweigen gemäß Versicherungsvertragsgesetz (VersVG) dargestellt. In den Versicherungszweigen der Lebens- und Unfallversicherung werde man schon aus dem Versicherungszweck selbst heraus in Bereichen tätig, die einen unmittelbaren Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten aufweisen. Ferner wird darauf hingewiesen, dass die Mitteilung der Sozialversicherungsnummer vorerst auf freiwilliger Basis erfolge.

Des Weiteren sei die V** AG u.a. gemäß FM-GwG verpflichtet, die Identität jedes Kunden zweifelsfrei festzustellen.

Im Bereich der Lebensversicherung wäre die Verwendung der Sozialversicherungsnummer durch die V** AG etwa notwendig, um Listen des Versicherungsverbandes, in denen alle in Österreich verstorbenen Personen angeführt werden, abgleichen zu können. In diesen Listen seien als Zuordnungskriterium jeweils nur Name und Sozialversicherungsnummer angeführt. Im Bereich der Unfallversicherung würde der gesamte Datenaustausch mit den Gesundheitsdienstleistern bzw. –behörden auf der Sozialversicherungsnummer basieren.

B. Sachverhaltsfeststellungen

Die V** AG hat Versicherungsnehmer, um deren Unverkennbarkeit zu garantieren, gebeten, ihre Sozialversicherungsnummer bekannt zu geben. Der Zweck dieser Datenermittlung liegt darin, jeden Kunden eindeutig und zweifelsfrei identifizieren zu können.

Beweiswürdigung: Diese Feststellungen ergeben sich aus dem unbestrittenen Vorbingen der V** AG sowie jenem Schreiben, welches zur Einleitung des gegenständlichen Verfahrens führte.

C. In rechtlicher Hinsicht folgt daraus:

1. Die Sozialversicherungsnummer ist ohne Zweifel ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an dem der Versicherte ein schutzwürdiges Geheimhaltungsinteresse hat. Dabei macht es keinen Unterschied, ob die gesamte (10-stellige) Sozialversicherungsnummer oder nur die ersten vier oder letzten sechs (Geburtsdatum des Versicherten) Stellen verwendet werden, weil schon eine einzelne Stelle ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000 ist (vgl. hierzu den Bescheid der Datenschutzkommission vom 7. September 2006, GZ K210.523/0008-DSK/2006).

2. § 31 Abs. 4 ASVG gibt den Zweck der Sozialversicherungsnummer klar vor. Demnach darf diese nur zur Verwaltung personenbezogener Daten im Rahmen der der Sozialversicherung gesetzlich übertragenen Aufgaben verwendet werden. Auch § 460d ASVG hält fest, dass die Versicherungsnummer nach § 31 Abs. 4 Z 1 ASVG in der elektronischen Datenverarbeitung für Zwecke der Sozialversicherung und des Arbeitsmarktservices verwendet werden kann. Die zitierten Bestimmungen des ASVG sind in diesem Zusammenhang als die spezielleren Normen (lex specialis) im Vergleich zu § 6 FM-GwG anzusehen. § 6 FM-GwG verlangt zwar, die Identität eines Kunden festzustellen, normiert jedoch, dass dies bei natürlichen Personen etwa „durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen [hat]“ (§ 6 Abs. 2 Z 1 FM-GwG). Auf die Sozialversicherungsnummer wird hingegen nicht Bezug genommen.

3. Auch nach der Rechtsprechung der Datenschutzbehörde darf die Sozialversicherungsnummer nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der Datenschutzbehörde und der ehemaligen Datenschutzkommission bereits wiederholt als unzulässig erachtet (vgl. dazu bspw. die Empfehlung vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014).

4. Soweit die V** AG im Rahmen der Lebens- bzw. Unfallversicherung und damit in tatsächlichem Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten tätig wird, ist die Verwendung der Sozialversicherungsnummer daher dann nicht zu beanstanden, wenn dies für den Verkehr mit Sozialversicherungsträgern erforderlich ist (etwa zu Abrechnungszwecken).

Wird die V** AG jedoch in anderen Bereichen bzw. Versicherungszweigen tätig, wo dieser Zusammenhang nicht gegeben ist, so ist die Verwendung der Sozialversicherungsnummer nicht zulässig bzw. entspräche deren dortige Verwendung jener als allgemeinem Identifikator. Ist die Verwendung bereits gesetzlich nicht erlaubt, so kann dieser Mangel auch nicht durch eine Zustimmung im Einzelfall saniert werden.

5. Für die Datenschutzbehörde erscheint es auch im Lichte des sich aus § 1 Abs. 2 letzter Satz und § 7 Abs. 3 DSG 2000 ergebenden Grundsatzes, wonach der Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf, geboten, zur eindeutigen Identifikation eine andere Methode anstelle der Sozialversicherungsnummer zu verwenden.

6. Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Eine Frist von drei Monaten erscheint – in Anbetracht des Umstandes, dass eine Neuorganisation des Identifizierungsvorganges notwendig sein wird – angemessen.

Schlagworte

Empfehlung, Geheimhaltung, Versicherungsunternehmen, Vertragsversicherung, Sozialversicherungsnummer, Personenkennzeichen, Kundenidentifizierung, gesetzliche Ermächtigung, Zweckbeschränkung

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2017:DSB.D213.541.0005.DSB.2017

Zuletzt aktualisiert am

19.07.2017
Quelle: Datenschutzbehörde Dsb, https://www.dsb.gv.at
Zurück Haftungsausschluss Vernetzungsmöglichkeiten

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten