Norm
DSG §1 Abs1Text
GZ: 2020-0.844.057 vom 2. Februar 2021 (Verfahrenszahl: DSB-D124.733)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Roswitha A*** (Beschwerdeführerin), vertreten von Rechtsanwältin Dr. Verena B***, vom 23. Dezember 2019 gegen die N*** Versicherungen AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Der Beschwerde wird Folge gegeben und es wird festgestellt, dass die Beschwerdegegnerin die Beschwerdeführerin dadurch im Recht auf Geheimhaltung verletzt hat, indem diese die personenbezogenen Bonitätsdaten der Beschwerdeführerin in Form einer zahlungsmoralanzeigenden Ampel von der X*** am 11. März 2019 abgefragt hat.
Rechtsgrundlagen: Art. 5 Abs. 1, Art. 6 Abs. 1 lit. f, Art. 12 Abs. 4, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, § 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF. § 275 Abs. 1 und Abs. 2 Versicherungsaufsichtsgesetz (VAG), BGBl. I Nr. 34/2015 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit verfahrenseinleitender Beschwerde vom 23. Dezember 2019, ergänzt am 3. Februar 2020 behauptete die anwaltlich vertretene Beschwerdeführerin eine Verletzung im Recht auf Geheimhaltung. Zusammengefasst habe sie am 3. Februar 2019 bei einem Unfall eine schwere Verletzung erlitten, welchen die Hausverwaltung ihrer Versicherung bzw. der Beschwerdegegnerin gemeldet habe. Diese sei anstandslos in den Schaden eingetreten und zahlte der Beschwerdeführerin das Schmerzensgeld. Am 13. September 2019 habe die Beschwerdeführerin erfahren, dass die Beschwerdegegnerin am 11. März 2019 eine Bonitätsauskunft bei der X*** getätigt habe. Die Beschwerdeführerin monierte, es habe an der Rechtsgrundlage der Datenabfrage gemangelt im Zusammenhang mit der Abwicklung von Haftpflichtversicherungsfällen, wonach im konkreten Fall jeder Verdacht eines allfälligen Versicherungsbetruges ausgeschlossen sei. Es habe sich hierbei um einen verkehrsunüblichen und gesetzlich nicht gedeckten Vorgang gehandelt, welchem sie nicht zugestimmt habe.
2. Mit Stellungnahme vom 6. März 2020 brachte die Beschwerdegegnerin zusammengefasst vor, die Datenauskunft sei im konkreten Fall auf Basis der berechtigten Interessen an der Bekämpfung von Versicherungsbetrug (vgl. ErwGr 47 DSGVO) der Beschwerdegegnerin bzw. der Gläubiger nach Art. 6 Abs. 1 lit. f DSGVO zulässig gewesen. Demnach seien Betrugsfälle in der Schadensparte regelmäßig auch durch Erschleichung von oder eines erhöhten Betrages an Versicherungsleistungen durch Geschädigte begangen worden. Dabei habe eine Korrelation zwischen der Zahlungsmoral des Betroffenen und der Anfälligkeit für Versicherungsbetrug bestanden. Daher habe die Beschwerdegegnerin im Verdachtsfall bei Einreichungen ein mit dem System der X*** GmbH verbundene Anwendung zum Zahlungsverhalten von Geschädigten, welches die Zahlungsmoral der Betroffenen lediglich in Form von Ampelfarben (Grün, Gelb, Rot) anzeige. Unabhängig vom Ergebnis erfolge eine detaillierte weitere Prüfung nur dann, wenn weitere Verdachtsmomente hinzugetreten wären. Im konkreten Fall sei bei der Beschwerdeführerin eine rote Ampel angezeigt worden. Die detaillierte Prüfung auf Betrugsverdacht sei im berechtigten Interesse der Beschwerdegegnerin erfolgt. Schließlich habe die Beschwerdeführerin aufgrund von Punkt 3.7 der Datenschutzhinweise mit der Verarbeitung zu rechnen gehabt. Die Verpflichtung der Betrugsprävention zum Schutz der Gläubiger habe sich auch aus § 275 Abs. 2 VAG sowie aus der Verordnung des Bundesministers für Finanzen vom 27. August 1981 über die Untersagung außervertraglicher Leistungen von Versicherungsunternehmen ergeben. Käme es zu rechtsgrundlosen Zahlungen, benachteilige dies sämtliche materiell berechtigten Gläubiger zu Unrecht.
3. Die Beschwerdeführerin führte mit Stellungnahme vom 26. März 2020 zusammengefasst aus, sie vermag sich das „Rot-Signal“ nicht erklären zu können. Die Beschwerdeführerin sei aufgrund ihrer einwandfreien Zahlungsmoral und beruflichen Stellung kein Verdachtsfall.
4. In den erneuten Stellungnahmen vom 14. Mai 2020 und 21. September 2020 wiederholte die Beschwerdegegnerin im Wesentlichen ihre frühere Stellungnahme und ergänzte, die Beschwerdegegnerin habe sämtliche Schadensmeldungen kursorisch auf einen etwaigen Betrugsverdacht geprüft. Ein kleiner Teilbereich dieser ersten Betrugsprüfung sei auch die generische Prüfung des Zahlungsverhaltens. Die Zahlungsmoral in Form einer Ampel sei ausschließlich von der X*** GmbH generiert worden. Die Beschwerdegegnerin könne daher keinen Einfluss oder Einsicht zu den ausschlaggebenden Umständen für die Einordnung der Beschwerdeführerin unter die Ampelfarbe „rot“ nehmen. Vermutlich sei die Basis dieser Bonitätsbewertung der X*** das im Jahr 2012 eröffnete Konkurs- bzw. Schadensregulierungsverfahren. Es sei zwischen einer bloßen Bereitstellung einer farblichen Indikation der Zahlungsmoral, welche im Rahmen der Prüfung der Schadensmeldung erfolge und einer konkreten Datenabfrage des detaillierten Bonitätsauszuges zu unterscheiden. Letzteres sei im konkreten Fall nicht passiert. Darüber hinaus sei für die Datenverarbeitungen der Ampelfarbe und daher auch für die Sicherstellung der Aktualität und Richtigkeit ausschließlich die X*** GmbH verantwortlich. Die Beschwerdegegnerin habe ihre Datenaktualität dadurch garantiert, indem die Bonitätsinformationen tagesaktuell über die implementierte Schnittstelle bezogen worden seien. Die Beschwerdegegnerin habe nie auf historische Bonitätsdaten der X*** GmbH zurückgegriffen. Es erfolge auch kein Rückgriff auf die damals abgefragte Ampelfarbe bei einer neuen Schadensfallmeldung.
5. Im Rahmen des Parteigehörs vom 6. Oktober 2020 wiederholte die Beschwerdeführerin im Wesentlichen ihr bisheriges Beschwerdevorbringen.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen der Beschwerdeführerin ergibt sich als Beschwerdegegenstand die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin dadurch im Recht auf Geheimhaltung verletzt hat, indem diese Bonitätsinformationen über die Beschwerdeführerin durch Abfrage bei der X*** GmbH im Zuge der Bearbeitung eines Versicherungsfalls verarbeitet hat.
C. Sachverhaltsfeststellungen
1. Die Beschwerdeführerin erlitt am 3. Februar 2019 einen Unfall, welchen die Hausverwaltung ihrer Haftpflichtversicherung, das ist die Beschwerdegegnerin, meldete.
2. Die Beschwerdegegnerin prüfte den Schadensfall u.a. dadurch, als dass sie am 11. März 2019 eine Abfrage bei der Bonitätsdatenbank X*** GmbH zur Zahlungsmoral der Beschwerdegegnerin tätigte. Die Beschwerdegegnerin griff dabei auf die von der X*** GmbH bereitgestellte Ampelfunktion über eine entsprechende Schnittstelle zurück. Im konkreten Fall wurde die Ampelfarbe „rot“ angezeigt, welche eine negative Zahlungsmoral bedeutete.
3. Die Beschwerdegegnerin zahlte der Beschwerdeführerin das Schmerzensgeld.
4. Am 13. September 2019 erfuhr die Beschwerdeführerin, dass die Beschwerdegegnerin ihre Bonitätsdaten bei der X*** GmbH abgefragt hat.
Beweiswürdigung: Die Feststellungen ergeben sich aus dem insofern unstrittigen Vorbringen der Parteien in ihren Eingaben vor der Datenschutzbehörde sowie insbesondere aus der erwähnten Eingabe der Beschwerdeführerin 23. Dezember 2019, verbessert am 3. Februar 2020.
D. In rechtlicher Hinsicht folgt daraus:
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Darunter ist der Schutz der betroffenen Person vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Rein begrifflich setzt dieser Vorgang somit eine Verarbeitung personenbezogener Daten beim Verantwortlichen voraus.
Als Verarbeitung wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe verstanden, die im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, das Abfragen, die Verwendung etc. (vgl. Art. 4 Z 2 leg. cit. DSGVO).
Beim Erheben durch Abfrage von Bonitätsdaten in Form einer roten Ampel, welche eine negative Zahlungsmoral anzeigt, handelt es sich unstrittig um die Verarbeitung personenbezogener Daten der Beschwerdeführerin.
1. Zur Beschränkung des Geheimhaltungsanspruchs:
§ 1 Abs. 1 DSG legt fest, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat-und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Eine Beschränkung dieses Anspruchs ergibt sich grundsätzlich aus Abs. 2 leg. cit., die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Im gegenständlichen Fall sind keine lebenswichtigen Interessen der Beschwerdeführerin erkennbar, ebenso lag keine Einwilligung zur Datenverarbeitung vor. Zu überprüfen ist daher zunächst, ob überwiegende berechtigte Interessen als Erlaubnistatbestand möglich oder vorhanden ist.
2. Zur Interessenabwägung
Die Verarbeitung bonitätsrelevanter Daten, im gegenständlich Fall das Abfragen der personenbezogenen Daten der Beschwerdeführerin durch die Beschwerdegegnerin bei der Kreditauskunftei X*** GmbH kann ganz grundsätzlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, weil die Verhinderung von Versicherungsbetrug als berechtigtes Interesse gewertet werden kann.
Es hat in weiterer Folge anhand der genannten Kriterien eine Bewertung der berechtigten Interessen der Beschwerdeführerin zu erfolgen und diese sind den berechtigten Interessen der Beschwerdegegnerin sowie Dritter gegenüberzustellen. Im Rahmen dieser Interessenabwägung ist zu berücksichtigen, dass Art. 6 Abs. 1 lit. f DSGVO zwei kumulative Voraussetzungen kennt, damit sich die Beschwerdegegnerin auf diesen Erlaubnistatbestand stützen kann: Zum einen muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, zum anderen dürfen Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen (vgl. zu Art. 7 lit. f der Richtlinie 95/46/EG das Urteil des EuGH vom 24. November 2011, C-468/10 und C-469/10 [ASNEF und FECEMD] Rz. 38).
Dem Interesse der Beschwerdegegnerin an Versicherungsbetrugs-Prävention steht das Interesse der Beschwerdeführerin an ihrem Recht auf Geheimhaltung gemäß Art. 1 Abs. 1 DSG gegenüber.
Um die Datenschutzbehörde in die Lage zu versetzen, eine erfolgte Interessensabwägung nachzuvollziehen, sind dieser im Rahmen eines Beschwerdeverfahrens vom Verantwortlichen alle Informationen vorzulegen, die für eine nachprüfende Kontrolle erforderlich sind.
Die Beschwerdegegnerin bringt zwar vor, nur im Verdachtsfall eine Abfrage durchzuführen, hat es im Verfahren aber unterlassen, einen konkreten Grund für ihren Verdacht, die Beschwerdeführerin könnte ein Risiko für Versicherungsbetrug sein, darzulegen und blieb daher die Antwort schuldig, weshalb die Datenabfrage bei der X*** GmbH unbedingt zur Zielerreichung notwendig war. Sie konnte daher nicht nachvollziehbar darlegen, warum ihre wirtschaftlichen Interessen in diesem Fall gegenüber den Interessen der Beschwerdegegnerin überwiegen.
Es war daher spruchgemäß zu entscheiden.
Schlagworte
Geheimhaltung, Rechtmäßigkeit der Verarbeitung, Versicherung, Wirtschaftsauskunftei, Schadensabwicklung, Betrugsprävention, Bonitätsprüfung, InteressenabwägungEuropean Case Law Identifier (ECLI)
ECLI:AT:DSB:2021:2020.0.844.057Zuletzt aktualisiert am
01.02.2023