Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (18): Erhebung von Daten zu Zwecken der Werbung durch Krankenkassen : aus der RDV 2/2015, Seite 82 bis 84
Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*
Als ersten Tätigkeitsbericht der Aufsichtsbehörden im angelaufenen Jahr hat am 20. Januar 2015 der Bayerische Landesbeauftragte für den Datenschutz seinen 26. Jahresbericht vorgelegt, der als Berichtszeitraum die Jahre 2013/2014 umfasst. Hierbei befasst er sich auch mit der Nutzung von Daten zu Werbezwecken durch die seiner Aufsicht unterliegenden öffentlich-rechtlichen Stellen.
I. Weitergabe von Schülerdaten zu Werbezwecken
Die Übermittlung von Schülerdaten an außerschulische Stellen ist in Bayern – und auch in anderen Bundesländern – bereichsspezifisch geregelt. Nach dem Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) ist eine Datenweitergabe grundsätzlich nur zulässig, wenn sie zur Erfüllung einer den Schulen zugewiesenen Aufgabe erforderlich ist bzw. ein Rechtsanspruch auf Herausgabe besteht. Zudem sind nach Art. 84 Abs. 1 BayEUG der Vertrieb von Gegenständen aller Art, die Ankündigungen und Werbung hierzu, das Sammeln von Bestellungen sowie der Abschluss sonstiger Geschäfte in der Schule untersagt. In Zusammenhang mit dem in Art. 84 Abs. 1 BayEUG enthaltenen Verbot der kommerziellen Werbung an Schulen ist das Verbot der Übermittlung von Schülerdaten zu diesem Zweck daher eindeutig.
Gleichwohl sind Umgehungsversuche nach wie vor feststellbar. Anstatt der Weitergabe der Daten wird eine Erhebung der Daten bei den Schülern im Zusammenhang mit der Teilnahme an einem Wettbewerb, einer Geschenkauslobung bzw. einem Gewinnspiel ermöglicht oder geduldet. „Partner“ der Schule sind häufig Kreditinstitute, (Buch-)Direktvertriebsunternehmen oder Krankenkassen.
II. Gewinnspiele von Krankenkassen
Dass auch gesetzliche Krankenkassen das Bestreben haben, neue Mitglieder zu gewinnen bzw. an die Adressen potentieller neuer Mitglieder zu gelangen, ist u.a. im Hinblick auf den Wettbewerb unter Krankenversicherern verständlich. Gleichwohl hat ihnen der Gesetzgeber in § 284 Abs. 4 SGB V insoweit enge Grenzen gezogen.
Zur Gewinnung von Mitgliedern dürfen die Krankenkassen Daten nur erheben, verarbeiten und nutzen, wenn die Daten allgemein zugänglich sind, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Im Übrigen wird für die Datenerhebung, Verarbeitung und Nutzung auf die Vorschriften des Ersten und Zehnten Buches des SGB, und damit auf §§ 67a und 67b SGB X, verwiesen. Diese Bestimmungen regeln die Erhebung und Verarbeitung von Sozialdaten und erlauben eine Verarbeitung bei Einholung der Einwilligung des Betroffenen (vgl. LDSB Baden-Württemberg, 28. TB, 2007, 3. Teil, 2. Abschnitt, Ziff. 1). Ob Daten über einen an einem Abschluss mit der Krankenkasse möglicherweise Interessierten den in § 67 Abs. 1 SGB X definierten Begriff des Sozialdatums schon erfüllen, mag hier einmal dahinstehen. Ansonsten würde sich die Erlaubnis für die Erhebung und Verarbeitung infolge Einwilligung aus dem allgemeinen Datenschutzrecht ergeben.
Werden also z.B. im Rahmen einer Aktion „Mit dem Rad zur Arbeit“ personenbezogene Daten der Teilnehmer abgefragt, so muss bei der Einholung der für die werbliche Nutzung der Daten benötigten Einwilligungserklärung darauf hingewiesen werden, dass die Daten des Teilnehmers nicht nur für die Auslosung der Gewinner, sondern u.a. auch zur Mitgliedergewinnung, d.h. zur Anbahnung eines Versicherungsverhältnisses erhoben werden und dass die Angabe der nicht zur Teilnahme an dem Gewinnspiel benötigten Daten freiwillig ist (BremLDSB, 36. Jahresbericht, 2013, Ziff. 7.3; vgl. auch LDSB Baden-Württemberg, 29. TB, 2009, 5.Teil, 2. Abschnitt, Ziff. 4))
III. Erhebung der Daten bei Minderjährigen
Werden auch Minderjährige zwecks der Erhebung von Werbedaten zur Teilnahme an einem Gewinnspiel animiert, so ist nach der Rechtsprechung des BGH(Urteil vom 22.1.2014, in diesem Heft S. 89) die eingeholte Einwilligung aufgrund der in § 4 Abs. 3 UWG untersagten Ausnutzung der geschäftlichen Unerfahrenheit Minderjähriger wettbewerbswidrig, wobei das auch für Minderjährige im Alter über 15 Jahren gilt. Auch die 15-17 jährigen Teilnehmer können nach Ansicht des BGH die mit der Preisgabe der Daten und mit der Einwilligungserklärung Ihnen entstehenden Nachteile sowie die wirtschaftlichen Vorteile, die sich das werbende Unternehmen davon verspricht, nur schwer erkennen. Daran ändere sich nichts durch die zunehmende Erfahrung von Jugendlichen mit Medien und auch die Tatsache, dass Minderjährige nach Vollendung des 15. Lebensjahrs ihre Krankenkasse selbst wählen dürfen.
Auch wenn der BGH als weiteres Argument erwähnt, dass Jugendliche eher als Erwachsene zu der Teilnahme an einem Gewinnspiel neigen und in diesem Zusammenhang leichter zur Datenbekanntgabe „verführt“ werden können, ist die Verbindung der Datenerhebung zu Werbezwecken bei Minderjährigen nicht nur allein wegen einer Verknüpfung mit dem Gewinnspiel unlauter. Denn die Teilnahme an einem Gewinnspiel allein ist Jugendlichen durchaus weiter möglich. Dagegen bedarf die werbliche Nutzung der Daten der Jugendlichen nunmehr generell der Einwilligung der Eltern.
IV. Fallbeispiel: Datenerhebung der AOK für Werbezwecke bei einer gesponserten Sportaktion
Unter den obigen Vorgaben wird daher die im Zusammenhang mit einer von der AOK gesponserten Sportaktion gestattete Einholung der Einwilligung bei Schülern nunmehr anders zu betrachten sein, als es 2013 durch das ULD (Häufig gestellte Fragen zum Bereich Schule, VI Ziff. 10; www.datenschutzentrum.de/fag/schule.htm) geschah. Als Gegenleistung für die Finanzierung von Preisen und den Aufwand für die Organisation der Aktion wurde der AOK gestattet, Daten der teilnehmenden Schüler zu erheben, um die Betroffenen über die Leistungen der AOK zu informieren und eben auch um neue Mitglieder zu gewinnen. Auf den Anmeldelisten konnten die Schüler bei gleichzeitiger Information über den Zweck und den Umfang der Datenverarbeitung durch Ankreuzen in die Speicherung ihrer Daten für Werbezwecke durch die AOK einwilligen oder diese Einwilligung explizit verweigern. Auch hier war einmal indirekt der Wunsch zur Teilnahme an der Aktion gegeben, und ob die umfangreichen Merkblätter – sofern sie denn gelesen wurden – die Schüler „schlauer“ gemacht hätten, bleibt fraglich. Jedoch wurden die Schüler angehalten, die Datenschutzerklärung an die Eltern weiterzuleiten. Diese hatten danach immer noch das Recht, der Verarbeitung der Daten ihrer Kinder gegenüber der AOK zu widersprechen.
V. Die Weitergabe von Bedienstetendaten an die Versicherung
Der BayLSDB ist auch Beschwerden nachgegangen, in denen der Verdacht geäußert wurde, dass Beschäftigte von personalverwaltenden Behörden Mitarbeiterdaten an private Versicherungen oder Versicherungsvermittler weitergegeben hätten (26. JB, S. 225 f). Diese Vermutung wurde regelmäßig mit der zeitlichen Nähe der Kontaktaufnahme durch Versicherungsvertreter mit der vorangegangenen Bewerbung bei der öffentlichen Hand begründet. Die entsprechen Recherchen des Landesbeauftragten blieben aber ohne Erfolg. Gleichwohl hat er auf eine verstärkte Sensibilisierung der Behörden bzw. ihrer Bediensteten hingewirkt, wobei deutlich gemacht wurde, dass eine Durchbrechung des Personalaktengeheimnisses zu beamten-, disziplinar-, straf- und datenschutzrechtlichen Konsequenzen führen kann.
In der Sachverhaltsaufklärung erfolgreicher war insoweit der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI). Anlass seiner Untersuchungen waren Fälle sogenannter Listenkäufe, bei denen einzelne Behördenmitarbeiter weisungswidrig Datensätze von Anwärtern im öffentlichen Dienst an Mitarbeiter der Versicherung ohne Einwilligung der Betroffenen – z.T. gegen Entgeltzahlung – weitergegeben hatten.
Obwohl eine derartige Erhebung von Neukundendaten auch gegen die unternehmensinterne Vorgaben der Versicherung verstieß, wurde gegen das Unternehmen und seine Vorstandsmitglieder ein Ordnungswidrigkeitenverfahren eingeleitet, das einvernehmlich mit der Zahlung einer Geldbuße in Höhe von 1,3 Millionen Euro und der Bereitstellung von weiteren 600.000 Euro für eine Datenschutz-Stiftungsprofessur an der Johannes Gutenberg Universität Mainz abgeschlossen wurde. Die Berechtigung hierfür wurde darin gesehen, dass nicht alle Aufsichtsmaßnahmen und Kontrollen etabliert und angewandt worden waren, die aus heutiger datenschutzrechtlicher Sicht den notwendigen Standards entsprechen. Die Höhe des Bußgeldes wurde maßgeblich durch den in § 43 Abs. 3 Satz 2 und 3 BDSG geregelten Aspekt der Gewinnabschöpfung bestimmt und wird wohl auch dazu beitragen, derartige Praktiken anderer Versicherer zu unterbinden.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.