Das Datenschutzrecht wird immer schlagkräftiger

Datenschutzrechtliche Gesetze können eine nicht zu unterschätzende Schlagkraft entfalten. Selbst bei der Übermittlung nur eines Datensatzes muss effektiver Rechtsschutz gewährleistet werden. Und auch in der Versicherungsbranche spielen die Datenschutzgesetze eine immer größere Rolle.

Datenschutzrecht beschäftigt immer mehr Gerichte

Versagte Überprüfung eines gerügten Datenschutzverstoßes ist verfassungswidrig

Werden Daten, u.a. im Gerichtsprozess, von einem Gericht an eine Behörde übermittelt, handelt es sich hierbei um eine Verwaltungstätigkeit i.S.d. Art. 35 Abs. 1 GG. Eine solche ist vom Grundrecht des effektiven Rechtsschutzes (Art. 19 Abs. 4 GG) umfasst. Wird eine solche Datenübermittlung vom Betroffenen als rechtswidrig gerügt, aber verweigert das zuständige Gericht eine Überprüfung – mit dem Verweis, dass das Verfahren nach §§ 23 ff. EGGVG noch nicht eröffnet sei – verletzt es den Betroffenen in seinem Grundrecht auf effektiven Rechtsschutz und handelt verfassungswidrig. Zu diesem Ergebnis kommt das Bundesverfassungsgericht (Urteil v. 2.12.2014 – Az. 1 BvR 3106/09).

Versicherungen dürfen personenbezogene Daten zur Schadensregulierung weitergeben

In einem anderen Fall hat das OLG Oldenburg entschieden, dass eine Versicherung weder auf Schadensersatz noch auf Auskunft und Unterlassung verklagt werden kann, wenn sie im Falle einer Schadensregulierung personenbezogene Daten des Versicherungsnehmers zur Überprüfung des Schadens und Sachverhalts an Drittunternehmen weiterleitet. Hier hatte der Versicherungsnehmer zur Schadensregulierung ein in Auftrag gegebenes Sachverständigengutachten an seine Versicherung übermittelt. Dieses Gutachten wurde von der Versicherung zur Überprüfung an ein Drittunternehmen weitergeleitet, dass wiederum ein weiteres Unternehmen einschaltete. Aufgrund der Beurteilung dieser beiden hinzugezogenen Unternehmen, wurde nicht die volle Schadenshöhe reguliert. Daraufhin klagte der Betroffene gegen die Weitergabe seiner Daten und auf Schadensersatz wegen Eingriffs in sein Persönlichkeitsrecht.

Der Anspruch auf Schadensersatz scheiterte bereits eine Instanz zuvor daran, dass die beklagte Versicherung mit der Datenweitergabe nicht unberechtigt in das Persönlichkeitsrecht des Betroffenen eingegriffen hat. Das OLG wies in der Berufung den Anspruch auf Auskunft nach § 34 BDSG zurück, da die Versicherung diesen Anspruch bereits erfüllt hatte. Auch einen Anspruch auf Unterlassen der Datenweitergabe lehnte das OLG ab, eine Wiederholungsgefahr sei nicht zu erblicken.

Das LG Oldenburg sah die Weitergabe der Daten durch § 28 Abs. 1 S.1 Nr. 2 BDSG gedeckt. Es sei das berechtigte Interesse der beklagten Versicherung Haftungsansprüche zu überprüfen und unberechtigt geltend gemachte Ansprüche zu erkennen.

Die Gerichte befassen sich immer mehr mit Datenschutz – ein Kommentar

Was haben diese beiden auf den ersten Blick unterschiedlichen Gerichtsurteile miteinander gemein? – Sie sind Beispiele dafür, dass die Menschen sensibler mit ihren Daten umgehen und ihre daraus abgeleiteten Rechte öfter und stärker versuchen durchzusetzen.

Die Entwicklung der Rechtsprechung zu Normen des Bundesdatenschutzgesetzes (BDSG) zeigt dies signifikant: Auf der Suche nach Rechtsprechung zu § 28 BDSG hatten wir vor 1990 quasi keine Rechtsprechung, in den 90er Jahren gab es 20 Urteile dazu, zwischen 2000 und 2005 bereits 75 Urteile, in den Jahren 2006 bis 2010 liefert die Datenbank 140 Treffer und von 2011 bis heute bereits 166 Treffer. Eine ähnliche Entwicklung lässt sich auch zu § 34 BDSG mit seinem Recht auf Auskunft ableiten. Wenn diese Zahlen auch insgesamt noch gering sind, zeigt sich hier doch ein Trend, der weiter voranschreiten wird:

Dass unsere persönlichen Daten im Alltag einen immer höheren Wert haben und dass sie uns schaden und auch nutzen können, lernen wir alle jeden Tag mehr. Die Gerichte sind deshalb heute mehr denn je darauf angewiesen, bestehende Datenschutzgesetze auf unsere alltäglichen Situationen anzuwenden – und müssen dabei lernen, was die Datenschützer schon lange wissen: unsere Datenschutzgesetze sind dafür nur unzureichend ausgestaltet.

Die globale Nutzung unserer Daten ist an vielen Stellen intransparent und kann nur mit großen Mühen rechtlich korrekt beurteilt werden. Der Maßstab, mit dem wir messen, ist veraltet: Die Anwendung von Datenschutzgesetzen danach zu bemessen, wann ein Personenbezug herstellbar ist, ist kein geeignetes Kriterium, um im Einzelfall für den Betroffenen einen wirksamen und angemessenen Schutz ableiten zu können (ein Lehrbeispiel hierzu wird das Urteil des EuGH zu Personenbeziehbarkeit von IP-Adressen sein).

Um dies zu ändern, sind die Gesetzgeber auf globaler Ebene gefragt. Ähnlich wie es im Urheberrechtsschutz funktionierende, internationale Rechtsabkommen gibt, werden wir dies auch auf Ebene des Datenschutzes benötigen. Ob die europäische Datenschutzgrundverordnung ein erster Schritt in diese Richtung werden wird, bleibt – im Moment eher skeptisch – abzuwarten. [tm]