Versicherungen beauftragen zur Aufklärung Ihrer Ersatzpflicht gerne Detekteien. So auch in einem Fall aus dem vergangenen Jahr vor dem OLG Oldenburg, bei dem die beklagte Autohaftpflicht einen Unfallgegner zur Aufklärung seiner Gesundheitslage observieren ließ. Die Detektei fertigte Berichte über ihre Tätigkeit an, über deren Inhalt der Unfallgegner nach Art. 15 DSGVO Auskunft fordert. In dem besprochenen Urteil hatte das OLG abzuwägen, ob die Versicherung den Bericht dem Unfallgegner vorenthalten darf.
Der Inhalt im Überblick
Die Gretchenfrage: Was muss ich beauskunften und was nicht?
Wer Anfragen nach Art. 15 DSGVO bearbeitet wird die Situation kennen, dass bestimmte Tatsachen lieber geheim bleiben sollten. Das tritt mit dem Interesse des Betroffenen Klarheit über die in Art. 15 Abs. 1 DSGVO genannten Verarbeitungen zu erhalten in Konflikt. Diesem trägt das Gesetz so Rechnung, dass die Auskunft verweigert werden kann, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der „überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“ (§ 29 Abs. 1 S. 2 BDSG).
Ähnlich meint die DSGVO, dass der Auskunftsanspruch durch die Interessen Dritter beschränkbar ist. Zwar habe jede Person ein Anrecht darauf , welche Daten über sie verarbeitet werden, jedoch soll das „die Rechte und Freiheiten anderer Personen“, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, „nicht beeinträchtigen“. (Erwägungsgrund 63 DSGVO).
In der Praxis dient neben den gewerblichen Schutzrechten oft der Schutz von Geschäftsgeheimnissen zur Herleitung eines nur beschränkten Auskunftsrechts. Ein solches kann jede Informationen sein,
a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile (…) allgemein bekannt oder (…) zugänglich ist und daher von wirtschaftlichem Wert ist und
b) die Gegenstand (…) angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht. (§ 2 Nr. 1 GeschGehG).
Aber auch hier besteht Geheimnisschutz nur vorbehaltlich gesetzlicher Offenlegungspflichten:
„Ein Geschäftsgeheimnis darf (…) offengelegt werden, wenn dies durch Gesetz, aufgrund eines Gesetzes oder durch Rechtsgeschäft gestattet ist.“ (§ 3 Abs. 2 GeschGehG)
Worüber und warum wurde Auskunft verlangt?
Was nun aber hatte das OLG zu seinem Fall zu sagen und worum ging es dort denn genau? Klage-Gegenstand war ein Auskunftsanspruch gem. Art. 15 DSGVO bzgl. zweier Observationsberichte.
Der Kläger wurde bei einem Verkehrsunfall im Jahr 2018 verletzt. Die Beklagte ist der Versicherer des Unfallgegner-Fahrzeugs. Um Erkenntnisse über den unfallbedingten Gesundheitszustand des Klägers zu erlangen, beauftragte die Beklagte ein Detektivbüro, das hierzu zwei Observationsberichte erstellte und der Beklagten übermittelte. Mit Schreiben vom 22. Juni 2021 forderte der Kläger die Beklagte gem. Art. 15 DSGVO zur Auskunftserteilung auf. Dem kam die Beklagte nach, fügte jedoch die Berichte der Detektei nicht bei. Deren Offenlegung würde ihren Verteidigungsinteressen schaden.
Durfte die Versicherung die Auskunft verweigern?
Das OLG verurteilte die Versicherung auf Erteilung der begehrten Auskunft. Die Beklagte habe von der Detektei über deren Berichte Informationen über die gesundheitliche Lage des Klägers erhalten. Folglich enthielten die Berichte personenbezogene Daten des Klägers. Diese habe die Beklagte durch Speicherung und Aufbewahrung im Sinne der DSGVO (weiter-)verarbeitet.
Die Beklagte könne sich auch nicht auf ein überwiegendes Geheimhaltungsinteresse an den Berichten berufen. Bei den Berichten handele es sich nicht um Geschäftsgeheimnisse. Diesen sei gemeinsam, dass die Informationen aus der Sphäre des Geheimnisträgers stammten, was hier nicht der Fall sei. Daran ändere auch der Vortrag der Beklagten nichts, es sei davon auszugehen, dass der Kläger falsche Angaben zu seinen unfallbedingten gesundheitlichen Einschränkungen gemacht habe. Wenn die Berichte stichhaltig seien, werde die Beklagte durch die Offenlegung nicht benachteiligt.
Auch das Verteidigungsinteresse der Beklagten sei nicht geeignet, das Auskunftsrecht einzuschränken. Zwar sei die Beklagte zu keinem Zeitpunkt verpflichtet gewesen, den Kläger über die Beobachtung zu informieren, das Interesse an der Rechtsverteidigung stelle nach dem BDSG jedoch keinen Grund für eine Einschränkung des Auskunftsanspruchs aus der DSGVO dar. So verweise § 34 Abs. 1 Nr. 1 BDSG, der die Grenzen des Auskunftsanspruchs aus der DSGVO konkretisiere, nicht auf die Informationsschranke des § 33 Abs. 1 Nr. 2 a) BDSG. Nach dieser Systematik müsse die Beklagte zwar nicht von sich aus über die Observation und die hierüber erstellten Berichte informieren, wohl aber auf Anfrage Auskunft erteilen.
Von privaten Observationen lieber Abstand nehmen
Das Urteil lässt der Praxis nur sehr begrenzt Spielraum für Observationen, über deren Inhalt und Ergebnisse nicht nach Art. 15 DSGVO Auskunft verlangt werden kann. Man kann darüber streiten, ob das richtig ist, aber auf Basis des Urteils empfiehlt es sich von Observationen Abstand zu nehmen oder aber nicht verarbeitungsrelevant nach der DSGVO zu handeln. Das ist beispielhaft so möglich, dass die beauftragte Detektei nur mündlich Bericht über die Ergebnisse der Observation erstattet sowie alle Berichte bei dieser als eigener Verantwortlicher verbleiben. Auch dann bleibt ein Risiko, dass durch die Observation gegen die Persönlichkeitsrechte Versicherter verstoßen wird, jedoch setzt man sich nicht dem Risiko aus, einen zweiten Verstoß gegen die DSGVO zu begehen. Dass man sich bei der Anordnung von Observationen stets im Graubereich zwischen Moral und Recht bewegt, ob man den damit einhergehenden Eingriff auf beiden Ebenen rechtfertigen kann, steht auf einem anderen Blatt.
Schreibt man Detektei nicht eher so?!
Genau, so wie im Text ist es natürlich richtig – und in der Einleitung nun ebenfalls. Vielen Dank für den Hinweis!
Den letzten Satz verstehe ich nicht, insbesondere nach dem Komma: „Auch dann bleibt das Risiko von Verstößen gegen Persönlichkeitsrechte Versicherter, aber nicht die DSGVO.“ Hä?
Vielen Dank für die Nachfrage, der Satz ist tatsächlich etwas missverständlich.
Der Satzteil nach dem Komma bezieht sich auf den vorherigen Satz, dass bei Observationen vermieden werden sollte, in den Anwendungsbereich der DSGVO zu fallen („verarbeitungsrelevante Tätigkeiten“).
Das ist zum Beispiel dadurch möglich, dass die Detektei ohne Übergabe von Dokumenten nur mündlich Bericht über die Ergebnisse erstattet und sich im Streitfall als Zeuge zur Verfügung stellt.
Solche mündlichen Informationsweitergaben fallen nicht unter die DSGVO.
In dem Fall kann dem Auftraggeber immer noch potenziell einen Verstoß gegen das Persönlichkeitsrecht des Betroffenen vorgeworfen werden.
Dieses schützt Betroffene vor jeder Art von Eindringen in Ihre Privatsphäre und umfasst damit auch heimliche Beobachtungen ohne das Anfertigen perpetuierender Aufzeichnungen.
Wir haben die Passage entsprechend angepasst.