Debeka wendet Schaden von der Assekuranz ab

28.12.2014

Die Debeka-Daten-Debatte wurde einvernehmlich abgeschlossen. Der Versicherer akzeptiert Geldbuße und garantiert für die Zukunft die datenschutzkonforme Ausrichtung des Vertriebs.

2014-12-29 (fw/db) Die Ermittlungen wegen Ordnungswidrigkeiten, die der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Edgar Wagner, im Dezember 2013 gegen den Debeka Krankenversicherungsverein a. G.(Debeka) und gegen seine Vorstandsmitglieder eingeleitet hatte, sind heute mit einem Bescheid des Landesbeauftragten außergerichtlich abgeschlossen worden.

Die Debeka wurde verpflichtet, eine Geldbuße in Höhe von 1,3 Millionen Euro zu zahlen. Mit der Beendigung des Verfahrens sind die gegen die Debeka erhobenen Vorwürfe von Verletzungen der Aufsichtspflicht im Bereich des Datenschutzes insgesamt aufgearbeitet. Vorstand und Aufsichtsrat des Unternehmens haben die Geldbuße bereits akzeptiert. Der LfDI und die Debeka schließen die Auseinandersetzung um die Vergangenheit damit ab und wenden den Blick nach vorne.

Künftig andere Zusammenarbeit mit Tippgebern

Die Zusammenarbeit der Debeka mit Tippgebern wurde vom LfDI umfassend überprüft. Das Datenschutzrecht steht nach Auffassung des LfDI dem Einsatz von Tippgebern nicht grundsätzlich entgegen.

Unter beratender Einbeziehung des LfDI wurde der Vertrieb mit Tippgebern bei der Debeka so ausgerichtet, dass die Arbeit der Tippgeber zukünftig die gesetzlichen Standards für den Datenschutz auch nach Einschätzung des LfDI sogar übertreffen wird. So ist etwa eine Weitergabe von Adressen über Tippgeber zukünftig nur noch bei Vorliegen einer förmlichen Einwilligungserklärung jedes einzelnen Betroffenen möglich.

Neue Vorschriften für „Vertrauensleute“ in Behörden

Im öffentlichen Bereich seien durch die Änderung der Nebentätigkeitsbestimmungen und durch die Aufarbeitung von Datenschutzverstößen erste wichtige Konsequenzen gezogen und die Überwachungs- und Kontrollmechanismen den heute geltenden Standards angepasst worden.                                

Der Debeka-Vorstandsvorsitzende Uwe Laue begrüßt die einvernehmliche Klärung der Vorwürfe: „Der konstruktive Dialog mit dem LfDI hat zur Beseitigung von Fehlerquellen geführt und die grundsätzliche Zulässigkeit von Tippgebern bestätigt. Wir haben damit die Vergangenheit aufgearbeitet und schauen nun nach vorne. Mit den getroffenen Maßnahmen hält die Debeka die Datenschutzbestimmungen nicht nur ein – sie übertrifft sie sogar. Damit sind wir für die Zukunft bestens gerüstet. Wir freuen uns auch, an der Universität Mainz die wissenschaftliche Aufarbeitung von datenschutzrechtlichen Fragestellungen zu fördern.“

LfDI Wagner erklärte sich mit dem Ausgang des Verfahrens zufrieden. „Wichtiger als das verhängte Bußgeld ist mir zweierlei: Zum einen hat die Debeka ernsthafte und erfolgreiche Anstrengungen unternommen, den Datenschutz in ihrem Vertriebssystem zu stärken. Ohne das kooperative Verhalten der Debeka wäre ein solch gutes Ergebnis nicht zu erzielen gewesen. Zum anderen geht von dem Verfahren das Signal aus, dass alle Unternehmen zukünftig mit noch mehr Nachdruck daran arbeiten müssen – und können! –, dass mit den persönlichen Daten von Interessenten, Kunden und Mitarbeitern vertrauensvoll und rechtskonform umgegangen wird.“

Debeka stiftet Lehrstuhl für Datenschutz

Das Unternehmen wird zusätzlich 600.000 Euro für eine Stiftungsprofessur bereitstellen, die an der Johannes Gutenberg-Universität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften, eingerichtet wird. Damit wird die Debeka die Grundlagenforschung für einen effektiven Datenschutz und dessen Implementierung in der Praxis nachhaltig fördern. Die Einzelheiten dieser Stiftung wurden bereits mit der Mainzer Universität und dem LfDI abgestimmt. Der Stiftungsvertrag wird demnächst veröffentlicht.

Verfahren gegen Vorstände eingestellt

Die Debeka und der LfDI sprechen übereinstimmend von einer sehr konstruktiven Aufarbeitung der datenschutzrelevanten Vorgänge im Vertrieb der Debeka. Dies führte letztlich dazu, dass eine langwierige gerichtliche Auseinandersetzung und Klärung mit für beide Seiten ungewissem Ausgang nicht gesucht, sondern – trotz teilweise unterschiedlicher Rechtsauffassungen – zur Erledigung aller im Raum stehender Vorwürfe das genannte Bußgeld gezahlt wird. Die Verfahren gegen die Vorstände sind ohne Bußgeldzahlungen eingestellt worden.

Anlass der Untersuchungen waren einige vom Unternehmen eingeräumte Fälle sogenannter Listenkäufe, bei denen einzelne Mitarbeiter weisungswidrig Datensätze zu Anwärtern im öffentlichen Dienst erworben und genutzt hatten. Diese Fälle wurden umfassend untersucht. Dabei wurde festgestellt, dass in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka durch Informationen von Kollegen gewonnen wurden. Einzelne Debeka-Mitarbeiter hatten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil auch ein Entgelt bezahlt. Hierbei verstießen sie gegen unternehmensinterne Vorgaben, aber auch gegen geltendes Datenschutzrecht. Die Debeka musste feststellen, dass in der Vergangenheit nicht alle Aufsichtsmaßnahmen und Kontrollen etabliert und angewandt worden waren, die aus heutiger datenschutzrechtlicher Sicht den notwendigen Standards entsprechen. Seit 2013 sind solche Aufsichtspflichtverletzungen mit erheblich gesteigerten Bußgeldern bedroht, die nun erstmals auch verhängt wurden.

Bei der Höhe der Bußgeldbemessung wurden zugunsten der Debeka ihre umfassende Kooperation mit dem LfDI, ihre eigene Aufklärung sowie die zugesagte Stiftungsprofessur berücksichtigt. Auch die Bereitschaft der Debeka, bei der Anwerbung neuer Kunden künftig strikt auf die Einhaltung einschlägiger Datenschutzvorschriften zu achten, wurden ebenso in die Bemessung einbezogen wie die vorbildliche Optimierung einer neuen, weitgreifenden internen Datenschutzstruktur. Berücksichtigt wurde ferner, dass in der Vergangenheit auch seitens der öffentlichen Dienstherren keine hinreichenden Maßnahmen zur Wahrung des Datenschutzes getroffen worden waren.

Fazit: Die Debeka war gut beraten sich mit der Behörde zu einigen, auch um einen Schaden von der deutschen Assekuranz abzuwenden. Die Behörde hat gleichermaßen klug gehandelt, es war wichtig sich zu einigen, es bestand die Gefahr, dass bei einer öffentlichen gerichtlichen Auseinandersetzung über die „Vertrauensleute“, das Vertrauen in den öffentlichen Dienst gelitten hätte. Dass die Debeka einen Lehrstuhl für Datenschutz in der Assekuranz stiftet ist lobenswert, dort sollte vor allem auch der Nachwuchs anderer „Selbsthilfeeinrichtungen“, wie der Signal-Iduna oder der zur französischen AXA-Gruppe gehörenden Deutschen Beamten Versicherung (DBV), studieren.

Dietmar Braun