Das Oberlandesgericht Düsseldorf hat entschieden, dass die ungerechtfertigte Weitergabe von Gesundheitsdaten innerhalb eines Konzerns einen Schadensersatzanspruch begründen kann, der auch Schmerzensgeld umfasst (Urt. v. 30.09.2016 – Az. 20 U 83/16).

Dem Sachverhalt lag ein Gerichtsurteil aus einem früheren Verfahren zugrunde, welches Gesundheitsdaten des Klägers enthielt. Streitgegenstand dieses früheren Verfahrens waren Ansprüche aus einer Berufsunfähigkeitsversicherung, die der Kläger gegen die beklagte Versicherungsgesellschaft geltend machte. Ohne die Gesundheitsdaten zu anonymisieren, gab die Beklagte sodann das Urteil an den Arbeitgeber des Klägers weiter, der auch gleichzeitig die Konzernmutter der Beklagten war. Grund für die Weitergabe des Urteils war die Prüfung einer möglichen Strafanzeige gegen den Kläger durch die Konzernrechtsabteilung. Das OLG Düsseldorf hatte nun zu überprüfen, ob diese Weitergabe gerechtfertigt war.

Gesundheitsdaten zählen nach den Vorgaben des Bundesdatenschutzgesetzes („BDSG“) zu den besonders schützenswerten personenbezogenen Daten (§ 3 Abs. 9 BDSG). Grundsätzlich kann auch die Weitergabe solcher Daten an einen Dritten durch eine Einwilligung des Betroffenen gerechtfertigt werden. Tatsächlich hatte der Kläger der Beklagten eine Einwilligung in die Verwendung seiner Gesundheitsdaten zwecks Gewährung von Leistungen aus der Berufsunfähigkeitsversicherung erteilt, die auch die Datenverwendung durch andere Personen innerhalb des Konzerns zum Zweck der Erledigung der ihnen übertragenen Aufgaben umfasste. Dennoch hielt das OLG Düsseldorf die mit der Urteilsweitergabe verbundene Datenübermittlung für unzulässig. Die Prüfung einer Strafanzeige durch die Konzernmutter sei von der Einwilligung des Klägers nicht umfasst gewesen, weshalb die Beklagte mit der Urteilsweitergabe eine unzulässige Zweckänderung vorgenommen habe.

Auch eine Rechtfertigung gemäß § 28 Abs. 6 Nr. 3, Abs. 8 BDSG komme vorliegend nicht in Betracht. Hiernach sei eine Übermittlung besonders schützenswerter Daten ohne Vorliegen einer Einwilligung nur gerechtfertigt, wenn sie dem eigenen geschäftlichen Zweck des Übermittlers diene und zur Geltendmachung von rechtlichen Ansprüchen erforderlich sei. Die Prüfung einer Strafanzeige durch die Konzernmutter gehöre jedoch nicht dazu. Das Gericht hob hervor, dass dem deutschen Datenschutzrecht ein Konzernprivileg unbekannt ist und somit der geschäftliche Zweck der Konzernmutter (Prüfung einer Strafanzeige) nicht gleichzeitig der eigene Geschäftszweck der Beklagten sein kann.

Zusätzlich beanstandete es die vollständige und nicht anonymisierte Weitergabe des Urteils. Ein solches Vorgehen stehe nicht im Einklang mit den datenschutzrechtlichen Grundsätzen der Datenvermeidung und Datensparsamkeit und könne auch nicht als erforderlich angesehen werden. Vielmehr hätte die Beklagte sich bei der Weitergabe auf solche Gesundheitsdaten beschränken müssen, die für die Prüfung einer Strafanzeige notwendig gewesen wären.

Praxishinweis

Die Entscheidung verdeutlicht, wie wichtig eine konsequente Anwendung der datenschutzrechtlichen Grundprinzipien bei der konzerninternen Datenübermittlung ist und dass deren Nichtbeachtung zu Schadensersatzansprüchen führen kann. Sofern die Datenverarbeitung durch eine Einwilligung gerechtfertigt wird, sind die Vorgaben für die Wirksamkeit der Einwilligungserklärung besonders relevant. Namentlich der Zweckbindungsgrundsatz ist von hervorgehobener Bedeutung: Die verantwortliche Stelle muss in der vorformulierten Einwilligungserklärung die Zwecke der zukünftigen Datenverarbeitung hinreichend genau angeben. Zwar hat eine weite Zweckformulierung den Vorteil, dass der Verantwortliche bei einer späteren Erweiterung der Datenverarbeitung nicht unbedingt eine zusätzliche Einwilligung einholen muss. Allerdings müssen zugleich die Verwendungszwecke für den Betroffenen klar genug formuliert sein, damit dieser erkennen kann, was mit seinen Daten zukünftig geschieht (siehe hierzu auch den Blogbeitrag von Herrn Dr. Claudio G. Chirco).

Unbeschadet dessen müssen stets die Grundsätze der Datenvermeidung und Datensparsamkeit beachtet werden. Sofern möglich und kein unverhältnismäßiger Aufwand betrieben werden muss, sind personenbezogene Daten bei der Verarbeitung zu anonymisieren oder zu pseudonymisieren.

Die Feststellung des Gerichts, dass dem deutschen Datenschutzrecht ein Konzernprivileg fremd ist, gibt lediglich die (noch) aktuelle Rechtslage wieder. Es ist allgemein anerkannt, dass ein konzerninterner Datenaustausch der Einwilligung der Betroffenen bedarf oder auf einer gesetzlichen Erlaubnisnorm beruhen muss. Dennoch werden sich die deutschen Aufsichtsbehörden und Gerichte zukünftig mit dem Konzernprivileg als Erlaubnistatbestand auseinanderzusetzen haben: Die DSGVO sieht in der konzerninternen Datenverarbeitung ein berechtigtes Interesse der verantwortlichen Stelle, welches als Rechtfertigungsgrund in Frage kommen kann. Inwieweit sich Konzernunternehmen daher ab dem 25. Mai 2018 auf ein Konzernprivileg berufen können, bleibt abzuwarten.