Spätestens die Verabschiedung der europäischen Datenschutz-Grundverordnung (DSGVO) hat den Datenschutz auch im Versicherungssektor ins Zentrum der Aufmerksamkeit gerückt. Dieses seit dem 25.05.2018 im gesamten EWR geltende Regelwerk enthält umfassende Vorgaben für die Erhebung, Speicherung, Weiterleitung und Nutzung von Daten. Der Versicherungssektor ist davon deshalb in besonderer Weise betroffen, weil über die bei jedem Unternehmen bestehenden Verbindungen zu Kunden sowie Leistungserbringern hinaus das Versicherungsgeschäft für sein ordnungsgemäßes Funktionieren seit jeher auf die Erhebung und Auswertung großer Datenmengen angewiesen ist (instruktiv dazu Brand, VersR 2019, 725). Dies gilt für sämtliche Geschäftsbereiche eines Versicherers, von der Risikoanalyse und Produktgestaltung über die Prämienkalkulation und das Underwriting bis hin zur Schadensregulierung. Zudem beruhen viele neuartige Versicherungsprodukte auf der Sammlung und Auswertung digitaler Daten. Beispiele sind Pay-as-you-drive-Tarife in der Kfz-Versicherung oder Smart-home-Versicherungskonzepte in der Wohngebäudeversicherung, aber auch Anreizsysteme unter Einsatz von Gesundheits-Apps oder sog. Wearables in der Personenversicherung. Perspektivisch werden weitere Anwendungen hinzukommen, etwa die Kfz-Haftpflichtversicherung für autonome Fahrzeuge. Dabei werden immer wieder Zweifel daran geäußert, dass mit den Daten datenschutzkonform umgegangen wird (s. etwa Rudkowski, VersR 2020, 1016, 1020).
Die umfangreiche Monographie von Hacker, eine an der Berliner Humboldt-Universität entstandene Habilitationsschrift, ist dem Datenprivatrecht – verstanden als „interdisziplinär informiertes Privatrecht des Umgangs mit Daten“ (S. 5) – gewidmet. Dabei geht es um die Wechselwirkungen des Datenschutzrechts mit der Rechtsgeschäftslehre und dem Schuldrecht, aber etwa auch mit außerhalb des BGB geregelten, in dem Werk freilich nicht schwerpunktmäßig behandelten, Bereichen wie dem Antidiskriminierungs-, dem Lauterkeits- und dem Kartellrecht (S. 6). Eine Monographie, die sich mit diesem Themenkreis befasst, ist mithin auch für den versicherungswissenschaftlich ausgerichteten Leser von einigem Interesse.
Anzeige
Der Autor bietet nach einer knappen Einführung (S. 1–22) zunächst einen Überblick zu den technischen und ökonomischen Grundlagen moderner Informationsverarbeitungssysteme und den daraus erwachsenden rechtlichen Herausforderungen (Teil 1, S. 23–83). Daran schließt sich der zentrale Teil 2 (S. 85–543) zum Verhältnis von Datenschutzrecht und allgemeinem Privatrecht an. Es folgen Überlegungen zu Reformperspektiven (Teil 3, S. 545–656), bevor abschließend die Ergebnisse zusammengefasst werden (S. 657–671). Dabei bildet Hacker (S. 77 ff.) drei Leitfälle, auf die er seine Ergebnisse jeweils anwendet: Datenweiterleitung an Drittunternehmen zwecks personalisierter Werbung, Datenerhebung durch Drittanbieter (third-party tracking) und Datenerhebung bei Dritten in stark vernetzten Umgebungen (sog. Internet der Dinge).
Im Folgenden sollen einige Themen exemplarisch herausgegriffen werden, die für den Versicherungssektor von besonderem Interesse sind. Im den technischen und ökonomischen Grundlagen gewidmeten Teil 1 zählt dazu etwa der Abschnitt zum Internet der Dinge (S. 37 ff.). Hier bietet Hacker eine anschauliche Darstellung der vielfältigen Einsatzmöglichkeiten, die zugleich mit neuartigen Risiken einhergehen. Behandelt wird zudem die Diskussion um Daten als Gegenleistung (S. 49 ff.). Anschaulich führt der Autor dem Leser darüber hinaus Nutzen und Risiken vernetzter Datenerhebung vor Augen (S. 56 ff.). Dabei wird auch die Thematik der hinsichtlich der Datenverarbeitung bestehenden Informationsasymmetrie angesprochen. Die zur Gegensteuerung vorgesehenen weit reichenden Informationspflichten der Datenverarbeiter nach Art. 4 Nr. 11, 12–14 DSGVO führen aus der empirisch untermauerten Sicht des Autors zu Informationsüberlastung und rationaler Ignoranz, d. h. dem bewussten Verzicht auf die Kenntnisnahme (S. 60 ff.). Diese Thematik ist dem versicherungswissenschaftlich interessierten Leser von der Diskussion über die Informationspflichten nach § 7 VVG i. V. m. der VVG-InfoV und nach § 15 VersVermV wohlvertraut.
Im Hauptteil der Arbeit bietet Hacker zunächst einen konzisen Überblick zu den datenschutzrechtlichen Grundlagen (S. 87 ff.). Besonderes Augenmerk verdienen die Ausführungen zur für das Datenschutzrecht grundlegende Abgrenzung personenbezogener von nicht personenbezogenen Daten und hier insbesondere zu den Anforderungen an die Identifizierbarkeit einer bestimmten Person. Diese Thematik spielt für versicherungsbezogene Anwendungen in verschiedener Hinsicht eine Rolle, etwa wenn es um Fragen der Nutzung von Daten für die Risikobewertung, für das Risikomanagement und für die Betrugsbekämpfung geht. Überzeugend vertritt Hacker (S. 109) etwa – entgegen dem EuGH (NJW 2016, 3579 Rn. 46 – Breyer/Deutschland) – die Ansicht, dass auch eine mögliche Identifikation unter Einsatz illegaler Mittel bei der Wahrscheinlichkeit einer Re-Identifizierung berücksichtigt werden muss.
Von zentraler Bedeutung für eine zulässige Datenverarbeitung sind die Erlaubnistatbestände des Art. 6 Abs. 1 S. 1 lit. a, b DSGVO. Dabei geht es zum einen um die Einwilligung, zum anderen um den Fall, dass die Verarbeitung zur Vorbereitung oder Erfüllung eines Vertrags mit dem Betroffenen erforderlich ist. Hacker (S. 159 ff.) spricht die maßgeblichen Rechtsfragen umfassend an. Dabei geht es etwa um die erforderliche Freiwilligkeit der Einwilligung und hier insbesondere um das – strenge, im Einzelnen umstrittenen Anforderungen unterliegende – Kopplungsverbot in Art. 7 Abs. 4 DSGVO (S. 181 ff.). Dieses Verbot greift nur ein, wenn die Datenverarbeitung für die Erfüllung des Vertrags nicht erforderlich ist. Dasselbe Kriterium findet sich, wie erwähnt, auch in Art. 6 Abs. 1 S. 1 lit. b DSGVO, wonach es hinsichtlich solcher personenbezogenen Daten, die zur Vertragserfüllung erforderlich sind, keiner Einwilligung bedarf. Überzeugend plädiert Hacker (S. 182) dafür, die Erforderlichkeit zur Vertragserfüllung in beiden Tatbeständen nicht unterschiedlich auszulegen. Für das Kopplungsverbot sei zu verlangen, dass die Vertragserfüllung tatsächlich von der Einwilligung abhängig gemacht wird; selbst dann greife das Verbot nicht stets ein. Bei diesem Verständnis bleibt für die Einwilligung jenseits von Art. 6 Abs. 1 S. 1 lit. b DSGVO trotz des Koppelungsverbots noch ein gewisser Anwendungsbereich.
Anzeige
Von großer praktischer Bedeutung ist die jederzeitige Möglichkeit des Betroffenen, seine Einwilligung – die Hacker (S. 349 f.) überzeugend als geschäftsähnliche Handlung einstuft – zu widerrufen (Art. 7 Abs. 3 DSGVO). Im Versicherungsrecht stellt sich die Frage nach den vertragsrechtlichen Folgen eines derartigen Widerrufs etwa dann, wenn ein Versicherungsnehmer in der Kfz-Versicherung einen Pay-as-you-drive-Tarif abgeschlossen hat und sodann seine Einwilligung in die Datenverarbeitung widerruft. Hacker (S. 211) legt zutreffend dar, dass die DSGVO keine Regelungen dazu enthält, welche vertragsrechtlichen Konsequenzen ein solcher Widerruf hat. In solchen Fällen muss daher auf die allgemeinen Regeln des Vertragsrechts zurückgegriffen werden. Die Ausführungen hierzu zeigen, dass dabei vieles unklar ist (S. 211 ff.). Für den Versicherer gilt es somit sachgerechte Regelungen in seine AVB aufzunehmen. Im Beispiel des Pay-as-you-drive-Tarifs lässt sich dies etwa dadurch umsetzen, dass die Gewährung dieses vergünstigten Tarifs an die Aufrechterhaltung der Einwilligung geknüpft wird, so dass im Fall eines Widerrufs der Normaltarif zur Anwendung kommt. Damit hat es freilich auch sein Bewenden; eine weiter reichende Sanktion – etwa indem die Einwilligung (oder die Nutzung der Telematik insgesamt) als vertragliche Obliegenheit i. S. v. § 28 VVG ausgestaltet wird – ist in der Kfz-Haftpflichtversicherung schon von Rechts wegen ausgeschlossen (§ 5 KfzPflVV); im Übrigen hat der Versicherer an weiter reichenden Sanktionen regelmäßig auch gar kein Interesse (Brand, VersR 2019, 725, 733 f.).
Auch dem Tatbestand des Art. 6 Abs. 1 S. 1 lit. b DSGVO („Vertragserforderlichkeit“ der Datenverarbeitung), der neben der Einwilligung für die Versicherungspraxis von einer gewissen Bedeutung ist, widmet der Autor (S. 260 ff.) eine nähere Analyse. Dabei verschweigt er nicht, dass ihm dieser Tatbestand aus verschiedenen Gründen kritikwürdig erscheint: Verhaltensökonomische Effekte und rationale Ignoranz machten auch vor Vertragsbedingungen keineswegs Halt, und für außerhalb des Vertrags stehende Dritte sei die vertragliche Bindung regelmäßig kein geeignetes Instrument (S. 265 f.). An diesen Befund knüpfen einige im Teil 3 angestellte Reformüberlegungen (zu ihnen s. noch unten) an.
Bevor Hacker auf Reformperspektiven zu sprechen kommt, geht er noch auf einige wesentliche Themen zum geltenden Recht ein. So behandelt er die Möglichkeiten eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO; S. 289 ff.). Sein anschließender Zwischenbefund lautet, dass die Rechtmäßigkeit der Datenverarbeitung dort, wo Daten als Gegenleistung dienen, sowie im Bereich des Internets der Dinge „überaus zweifelhaft“ (S. 313) sei. Was die Thematik von Daten als Gegenleistung angeht, besteht freilich im Versicherungssektor schon wegen der vertrags- und aufsichtsrechtlichen Anforderungen insoweit allenfalls ein begrenztes Anwendungsfeld (Brand, VersR 2019, 725, 732 f.). Auf die Rechtsunsicherheit hinsichtlich der Leistungsfähigkeit einer Einwilligung, um Datenverarbeitung zu legitimieren, lasse sich vor allem dadurch reagieren, dass weite Leistungspflichten der Verantwortlichen vereinbart werden, für deren Erfüllung die Datenverarbeitung erforderlich ist (S. 313).
Hacker nimmt seinen Zwischenbefund zum Anlass, das allgemeine Privatrecht daraufhin zu untersuchen, inwieweit es für Einwilligung und Vertragserforderlichkeit Vorgaben macht und Perspektiven eröffnet. Diese eingehende Analyse führt zu dem Ergebnis, dass das allgemeine Zivilrecht hier durchaus einen gewissen Schutz bieten kann, insbesondere in Gestalt der AGB-Kontrolle (S. 418 ff.) sowie der §§ 134, 138 BGB (S. 397 ff., 476 ff.). In Bezug auf Schadensersatzansprüche verdränge hingegen die datenschutzrechtliche Haftungsnorm des Art. 82 Abs. 1 DSGVO als lex specialis die vertraglichen und deliktischen Haftungsgrundlagen des BGB (S. 502 ff., 537). Mit der Anwendung dieser datenschutz- und privatrechtlichen Instrumente gehe allerdings eine Verschiebung der Kontrollinstanz vom individuell betroffenen Nutzer hin zu den datenschutzrechtlichen Aufsichtsbehörden und den Gerichten einher (zusammenfassend S. 538 ff., 542).
Was die Reformperspektiven angeht, plädiert Hacker (S. 553 ff.) zunächst für eine Minimierung von Datenschutzrisiken durch den Einsatz von Technik. Aus versicherungsrechtlicher Perspektive besonders interessant ist dabei die Rechtmäßigkeitskontrolle durch maschinelles Lernen (S. 566 ff.). Zutreffend verweist der Autor (S. 570) darauf, dass die automatisierte Analyse von Datenschutzerklärungen außer für die Nutzer auch für die Aufsichtsbehörden bedeutsam sein kann. Hier ist nicht zuletzt an die Legalitätsaufsicht der BaFin gem. §§ 294 Abs. 2, 298 VAG zu denken. Interessant sind zudem die Ausführungen von Hacker (S. 620 ff.) zu dem insbesondere auch im US-amerikanischen Schrifttum unterbreiteten Vorschlag, dem Nutzer regulatorisch eine datenschonende Vertrags- und Nutzungsoption zu eröffnen. Dabei geht der Autor fundiert auf die naheliegende Kritik ein, dadurch komme es zu einer „Zwei-Klassen-Datengesellschaft“ (S. 645 ff.).
Fazit: Bereits die hier genannten, exemplarisch herausgegriffenen Themen zeigen, dass das Werk dem versicherungsrechtlich interessierten Leser eine Fülle von Informationen und Denkanstößen bietet. Dabei behandelt selbst eine so umfassende Untersuchung wie diejenige von Hacker – angesichts ihrer thematischen Ausrichtung konsequent – keineswegs alle Anforderungen, die das Datenschutzrechts an die Versicherungswirtschaft stellt. Dies gilt etwa für die Grenzen, die Art. 22 DSGVO automatisierten Einzelentscheidungen zum Vertragsschluss oder zur Schadensregulierung zieht (s. dazu Armbrüster/Prill, ZfV 2020, 110, 111 f.). Auch die wegen §§ 19 Abs. 1 Nr. 2, 20 Abs. 2 AGG im Versicherungssektor besonders bedeutsame Thematik der Diskriminierung streift Hacker erklärtermaßen (S. 665) nur am Rande (s. S. 237, 277, 532). Zentral bedeutsame Materien werden indessen erfasst, nicht zuletzt durch die Einbeziehung des Internets der Dinge. Auch sprachlich wird die komplexe Materie dem Leser eingängig vermittelt, sieht man von gelegentlichen Ausnahmen (s. etwa S. 378: „transparente, saliente Vereinbarung“; S. 671: „maschinell mediierte Residualform“) einmal ab. Der umfangreiche Fußnotenapparat zeugt von einer eingehenden Befassung des Autors mit der Diskussion auf deutscher, europäischer und internationaler Ebene, die sich in einer souveränen Argumentation niederschlägt. Das Buch sollte daher auch im Versicherungssektor aufmerksam zur Kenntnis genommen werden.
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://creativecommons.org/licenses/by/4.0/deed.de.