Zum Inhalt springen Zur Navigation springen
Datenweitergabe: Schwarzer Peter bei der Allianz?!

Datenweitergabe: Schwarzer Peter bei der Allianz?!

Die Financial Times Deutschland (FTD) titelte gestern groß „Missbrauch von Kundendaten – Datenpanne schreckt Allianz auf“ und unterstreicht diese totalitäre Aussage mit dem ersten Satz des Teaser-Textes, in dem sie betont, dass die Allianz nicht sorgfältig genug mit ihren Kundendaten umgeht.

Die Katastrophe für den Versicherungsriesen scheint perfekt.

Der Sachverhalt

Laut FTD sind vertrauliche Unterlagen durch einen im letzten Jahr gekündigten externen Privatdetektiv unbefugt weitergegeben worden. Der Detektiv hatte Unterlagen wie Ermittlungsakten von Polizei und Staatsanwaltschaft, Schreiben von Banken über Konten sowie andere Dokumente von der Allianz erhalten – und zwar im Rahmen von Ermittlungen wegen Verdachtes auf Versicherungsbetrug.

Dieses Vorgehen allerdings wurde grundsätzlich als üblich bezeichnet. Die Unterlagen werden in Verdachtsfällen an externe Privatdetektive weitergegeben, die diese wiederum nach Abschluss ihrer Ermittlungen zurückgeben müssen. Irgendwo auf diesem Weg wurde allerdings im vorliegenden Fall eine andere Abzweigung gewählt – und die Dokumente nicht zurück, sondern weitergegeben.

Der Verstoß

Der Verstoß liegt scheinbar auf der Hand. Denn immerhin wurden Daten unbefugt weitergegeben. Zäumt man an dieser Stelle das Pferd von hinten auf, kann allein dieser Umstand einen Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG darstellen, der wiederum mit einer Geldbuße von 300.000 € geahndet werden kann. Ist dann auch noch eine unbefugte Weitergabe der Daten aufgrund von Bereicherungsabsicht erfolgt, kann das Ganze sogar einen Straftatbestand nach § 44 Abs. 1 BDSG darstellen.

Der rechtliche Hintergrund

Doch die interessante Frage lautet: Wer hat hier gegen was Verstoßen? Folgt man nur dem Artikel der FTD, liegt der schwarze Peter ganz klar bei der Allianz. Und auch Deutschlands oberster Datenschützer Thilo Weichert hat sich laut FTD wie folgt dazu geäußert:

„Grundsätzlich dürfen Daten nicht an Externe weitergegeben werden, im Einzelfall kann es aber Ausnahmen geben. Das gilt etwa bei einem konkreten Verdacht auf Versicherungsbetrug.“

Diese Formulierung lässt darauf schließen, dass Allianz die Daten per se nicht an externe Privatdetektive hätte weitergeben dürfen. Zwar gilt im Datenschutzrecht das Verbot mit Erlaubnisvorbehalt, dennoch sind Datenverarbeitungen, zu denen auch die Weitergabe gehört (§ 3 Abs. 4 Nr. 3 BDSG), dann gerechtfertigt, wenn es eine Rechtsgrundlage dafür gibt. Diese könnte bei dem Verdacht auf Versicherungsbetrug in § 28 Abs. 2 Nr. 1 i.V.m. Abs. 1 S. 1 Nr. 2 BDSG zu finden sein. Gibt es aber eine Rechtsgrundlage, spricht auch nichts gegen eine Weitergabe der Daten durch die Allianz an den Privatdetektiv.

Der schwarze Peter bei der Allianz

Doch die Allianz hat den schwarzen Peter und den wird man bekanntermaßen auch so leicht nicht wieder los. Es scheint nicht wirklich zu interessieren, dass bei einer Datenweitergabe der Empfänger der Daten zur datenschutzrechtlich verantwortlichen Stelle (§ 3 Abs. 7 BDSG) wird und damit auch für den datenschutzkonformen und rechtlich zulässigen Umgang mit den Daten sorgen muss. Zwar kann sich die Allianz bestimmte Verpflichtungen vertraglich zusichern lassen – wie etwa die zwingende Rückgabe der Daten nach Ende der Ermittlungen – allerdings schützt auch dies nicht vor Rechtsverstößen der einzelnen Privatdetektive.

Und auch eine vertragliche Knebelung über die Auftragsdatenverarbeitung nach § 11 BDSG dürfte im vorliegenden Fall nicht möglich gewesen sein, da es sich um eine Funktionsübertragung und nicht um eine Auftragsdatenverarbeitung handeln dürfte.

Fazit

Das Image der Allianz im Umgang mit personenbezogenen Daten ist fürs erste angeschlagen und es wird einige Kampagnen brauchen, um das Vertrauen der Kunden wieder herzustellen. Dabei interessiert es eigentlich niemanden, ob die Allianz eigentlich tatsächlich etwas falsch gemacht hat oder ob es im vorliegenden Fall vielleicht doch eher der Verstoß eines Einzelnen gewesen ist.

Um bei Datenübertragungen und den entsprechenden vertraglichen Verpflichtungen des Gegenübers aber auf Nummer sicher zugehen, sollten Sie sich im Vorfeld stets an Ihren Datenschutzbeauftragten wenden – gut also, wenn Sie einen haben…

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.