2020-0.225.643 – Datenschutzbehörde Entscheidung
Text
GZ: 2020-0.225.643 vom 12. Juni 2020 (Verfahrenszahl: DSB-D124.2138)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Erwin A*** (Beschwerdeführer) vom 6. Mai 2018 gegen die N***-Versicherung AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : §§ 1 bis 9 DSG 2000, BGBl. I Nr. 165/1999 idF bis BGBl. I Nr. 132/2015, sowie § 24 Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 11a und 34 des Versicherungsvertragsgesetzes (VersVG), BGBl. Nr. 2/1959 idF BGBl. I Nr 112/2016.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 6. Mai 2018 brachte der Beschwerdeführer vor, er habe eine Zusatzversicherung bei der Beschwerdegegnerin. Die Versicherung verlange von ihm Apothekenbelege im Original. Der eingereichte Kundenverkaufsnachweis der Apotheke genüge ihr nicht. Um in den Genuss einer Versicherungsleistung zu kommen, werde er gezwungen, gesundheitsbezogene Daten preiszugeben, die der Geheimhaltung unterliegen würden. Auf diesen Apothekenbelegen seien die bezogenen Medikamente namentlich angeführt. Er sei der Meinung, dass es die Versicherung nicht zu interessieren habe, welche Medikamente der Kunde brauche. Dies unterliege der Schweigepflicht sowohl des Arztes als auch der Apotheke. Nach seinem Dafürhalten müsse der Versicherung der Kundenverkaufsnachweis der Apotheke genügen, aus dem klar hervorgehe, wie viele rezeptpflichtige Medikamente in einem Versicherungsjahr bezogen worden seien. Dies habe er bereits am 20. Februar 2018 im Zuge einer Eingabe im Kontroll- und Ombudsmannverfahren mitgeteilt. Die Datenschutzbehörde habe ihm dazu mitgeteilt, dass durch eine offensichtlich nicht stattgefundene Datenweitergabe keine mögliche Rechtsverletzung vorliege und die Datenschutzbehörde in diesem Fall nicht tätig werden könne. Dies bedeute, er habe diese Daten erst einmal preisgeben müssen, damit eine Datenschutzverletzung überhaupt eintrete. Der Beschwerdeführer habe sich daher telefonisch an den Verfasser der oben zitierten Mitteilung der Datenschutzbehörde gewandt, um zu erfragen, ob der ex lege gewährleistete Datenschutz in Österreich tatsächlich erst dann greife, wenn eine Datenschutzverletzung eingetreten sei. Letztendlich sei dem Beschwerdeführer zu verstehen gegeben worden, dass er diese Daten tatsächlich preisgeben müsse, damit eine Datenschutzverletzung eintrete und diese von der Datenschutzbehörde verfolgt werden könne. Dies empfinde der Beschwerdeführer als eine behördliche Tatprovokation. Er habe dem trotzdem Folge geleistet und der Beschwerdegegnerin die Originalbelege, die sensiblen Daten enthalten würden, übersandt. Damit sei die Datenschutzverletzung eingetreten.
Sensible Daten würden die explizite Zustimmung der betreffenden Person voraussetzen. Das Datenschutzgesetz verlangt zur wirksamen Zustimmung eine freigewährte, konkrete, nach vorheriger Informierung gegebene und unmissverständliche Angabe des Willens der jeweiligen Person. Es sei Aufgabe der Beschwerdegegnerin darzustellen, dass eine solche Zustimmung ordentlich erteilt worden sei. Die Beschwerdegegnerin sei seiner schriftlichen Bitte, eine solche Zustimmung zur Datenanforderung, -erhebung oder -verarbeitung nachzuweisen, nicht nachgekommen. Es bestehe weder eine Notwendigkeit für diese abgenötigte Datenübermittlung noch eine Zustimmung dazu, sie verlangen, geschweige denn erzwingen zu dürfen (keine Ermächtigung oder Verpflichtung).
3. Mit Schreiben vom 5. März 2020, eingelangt am 10. März 2020 brachte der Beschwerdeführer vor, er habe bereits am 6. Mai 2018 bei der österreichischen Datenschutzbehörde eine Beschwerde eingebracht. Bis heute - mehr als eineinhalb Jahre später - sei er ohne jede Antwort oder Erledigung. Der Datenschutz werde in Österreich offenbar nicht ernst genommen.
2. Mit Schreiben vom 25. März 2020 brachte die Beschwerdegegnerin zusammengefasst vor, das Beschwerdevorbringen des Beschwerdeführers stimme inhaltlich mit der Beschwerde vom 20. Februar 2018 zur GZ: DSB-D216.669/0003-DSB/2018 überein und beinhalte keine substantiierten neuen Beschwerdepunkte. In beiden Eingaben beschwere sich der Beschwerdeführer darüber, dass die Beschwerdegegnerin auf die Übermittlung der originalen Apothekenrechnungen für die Leistungserbringung bestehe.
Festzuhalten sei, dass das Verfahren zur GZ: DSB-D216.669/0003-DSB/2018 vom 20. Februar 2018 eingestellt und die Beschwerdegegnerin hiervon mit Schriftsatz vom 17. April 2018 verständigt worden sei. Die Beschwerdegegnerin verweise auf die Stellungnahme vom 16. März 2018 und bringe ergänzend wie folgt vor:
Wie bereits in der Stellungnahme vom März 2018 dargelegt, würden die Allgemeinen Versicherungsbedingungen (AVB) neben den Bestimmungen des Versicherungsvertragsgesetzes (VersVG) die wichtigste Rechtsgrundlage darstellen. Sie würden eine Beschreibung und Eingrenzung des Versicherungsschutzes darstellen.
Die Verarbeitung der Daten aus den gegenständlichen Originalrechnungen erfolge zur Beurteilung und Erfüllung von Ansprüchen aus dem Versicherungsvertrag mit dem Betroffenen.
Die hier geltenden Allgemeinen Versicherungsbedingungen für die Krankheitskosten- und Krankenhaus-Tagegeldversicherung (AVB 1999) seien die auf alle Tarife anwendbaren Bedingungen, deren Leistungsumfang jedoch durch den tatsächlich abgeschlossenen Tarif eingeschränkt werde. Nach diesen Bedingungen würden die Kosten der im Rahmen einer Heilbehandlung verordneten und aus einer Apotheke bezogenen Arzneimittel erstattet werden. Gem. Pkt. 7.1. dieser AVB erfolge die Auszahlung aufgrund von saldierten Originalrechnungen, aus denen unter anderem die tatsächliche Bezugsperson, Bezeichnung der erbrachten Leistungen und die Daten der Behandlung zu entnehmen seien.
Eine Rezeptgebührenbestätigung einer Apotheke erfüllt die Kriterien der AVB 1999 nicht und könne deshalb als Ersatz für eine Originalrechnung nicht akzeptiert werden. Abgesehen davon, beinhalte die Rezeptgebührenbestätigung auch nicht alle für die Überprüfung des Versicherungsfalles erforderlichen Informationen wie zB.: die Bezeichnung der Leistung (Medikament). Die Beurteilung von Ansprüchen aus einem Versicherungsvertrag könne auf der Grundlage der Rezeptgebührenbestätigung sohin nicht erfolgen.
Weiters sei der Versicherungsnehmer gemäß § 34 VersVG dazu verpflichtet, gegenüber dem Versicherer jede Auskunft zu erteilen, die zur Feststellung des Versicherungsfalles oder des Umfanges der Leistungspflicht des Versicherers erforderlich sei. Belege könne der Versicherer nach dieser Bestimmung insoweit fordern, als die Beschaffung dem Versicherungsnehmer billigerweise zugemutet werden könne. Dabei sei insbesondere darauf hinzuweisen, dass die Vorlage dieser Originalrechnungen in den AVB 1999 vorgesehen sei.
Die Verarbeitung der personenbezogenen Gesundheitsdaten erfolge ebenfalls in Entsprechung des § 11a Abs. 1 Z 3 VersVG, wonach der Versicherer im Zusammenhang mit Versicherungsverhältnissen, bei welchen der Gesundheitszustand des Versicherten oder eines Geschädigten erheblich sei, personenbezogene Gesundheitsdaten verarbeiten dürfe, soweit dies zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag unerlässlich sei.
Die Ermittlung dieser personenbezogenen Gesundheitsdaten erfolge gem. §11a Abs. 2 Z 2 VersVG, wonach der Versicherer personenbezogene Gesundheitsdaten für die in Abs. 1 genannten Zwecke nur anhand der vom Versicherungsnehmer oder vom Geschädigten beigebrachten Unterlagen ermitteln dürfe. Auch aus diesem Grund sei es erforderlich, dass der Beschwerdeführer die Unterlagen zur Verfügung stelle.
Der Argumentation des Beschwerdeführers könne daher nicht gefolgt werden, da das Vorgehen der Beschwerdegegnerin in vollem Umfang den gesetzlichen Bestimmungen entspreche und dieses zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag sowie zur Feststellung des Umfangs der Leistungspflicht des Versicherers unerlässlich sei.
3. Mit Schreiben vom 6. April 2020 brachte der Beschwerdeführer zusammengefasst vor, die Beschwerdegegnerin begründe ihr Vorgehen mit dem VersVG und behaupte, dass sie – zur Feststellung des Versicherungsfalls und des Umfangs der Leistungspflicht des Versicherers – die personenbezogenen Gesundheitsdaten verlangen und verarbeiten dürfe, soweit dies für dies zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag unerlässlich sei.
Nach dem Rechtsempfinden des Beschwerdeführers seien personenbezogene Gesundheitsdaten hierfür überhaupt nicht erforderlich, zumal die Versicherung ohnehin die Gewähr habe, dass eine von einer Apotheke ausgestellte saldierte Rechnung über ein Medikament jedenfalls ein ärztlich verschriebenes Medikament betreffe, da von ihr ohnehin nur rezeptpflichtige, von Ärzten verschriebene Medikamente vergütet werden würden. Dies bedeute konkludent, dass personenbezogene Gesundheitsdaten zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag in keiner Weise notwendig, geschweige denn „unerlässlich“ seien. Die Einschränkung „soweit“ stelle zudem klar darauf ab, dass hier eine Bedingung gelte, was der Versicherer zwar einräume, aber grob missachte.
Es werde in diesem Zusammenhang festgehalten, dass der Beschwerdeführer infolgedessen – und auch wegen des Bearbeitungsfehlers der Datenschutzbehörde – auch 2019 und 2020 genötigt gewesen sei, sensible personenbezogene Gesundheitsdaten preiszugeben.
Es könne hier auch kein Normenkonflikt zwischen dem VersVG und dem DSG bestehen, weil das Datenschutzgesetz die jedenfalls höherrangige Norm darstelle. Somit gebe es keine ausreichende rechtliche Grundlage dafür, dass die Beschwerdegegnerin Apothekenbelege bzw. Apothekenrechnungen verlange, die irgendwelche sensiblen personenbezogene Gesundheitsdaten bereitstellen würden. Dies sei nicht zuletzt auch in der Verlängerung der ärztlichen Schweigepflicht zu sehen, denn auch Apotheker hätten eine Verschwiegenheitspflicht, die unterlaufen werde.
Um es im Klartext zu sagen: Es gehe die Beschwerdegegnerin schlicht nichts an, wenn jemand unter einer schweren Depression leide und hierfür eine fachärztliche Dauermedikation brauche, die der 85 EUR-Jahreshöchstsatz ohnehin nicht annähernd decke.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem sie zur Auszahlung einer Versicherungsleistung an den Beschwerdeführer die Originalrechnungen einer Apotheke verlangt und nicht bloß den Kundenverkaufsnachweis der Apotheke.
C. Sachverhaltsfeststellungen
Der Beschwerdeführer hat als Landesbeamter eine Zusatzversicherung bei der Beschwerdegegnerin, die vom Land Oberösterreich als Gruppenversicherung eingerichtet wurde. Die Beschwerdegegnerin verlangt für die Leistungserbringung die Übermittlung der Apothekenbelege im Original. Auf diesen Belegen sind die bezogenen Medikamente namentlich angeführt.
Mit Schreiben vom 20. Februar 2018 brachte der Beschwerdeführer im Rahmen eines Kontroll- und Ombudsmannverfahrens nach § 30 DSG 2000 im Wesentlichen vor, die Versicherung (Beschwerdegegnerin) verlange von ihm die Apothekenbelege im Original. Der eingereichte Kundenverkaufsnachweis der Apotheke genüge nicht. Auf diesen Apothekenbelegen seien die bezogenen Medikamente namentlich angeführt, dies habe die Versicherung nicht zu interessieren. Dieses Verfahren wurde zur GZ: DSB-D216.669 protokolliert.
Mit Schreiben vom 20. März 2018 übermittelte die Datenschutzbehörde dem Beschwerdeführer eine Stellungnahme der Beschwerdegegnerin und teilte mit, dass aus dieser hervorgehe, dass „ Originalrechnungen aufgrund des zwischen den Vertragsparteien abgeschlossen Versicherungsvertrages für die Leistungserbringung vorzulegen sind. In diesem Zusammenhang darf darauf hingewiesen werden, dass durch eine offensichtlich nicht stattgefundene Datenweitergabe keine mögliche Rechtsverletzung vorliegt und die Datenschutzbehörde in diesem Fall nicht tätig werden kann.“
Mit Schreiben vom 17. April 2018 wurde das Verfahren formlos eingestellt.
Mit Schreiben vom 6. Mai 2018 erhob der Beschwerdeführer, nachdem die Originalrechnungen von ihm eingereicht wurden, erneut Beschwerde.
Diese Beschwerde wurde aufgrund eines internen Fehlers nicht protokolliert. Erst aufgrund der Urgenz des Beschwerdeführers am 10. März 2020 wurde die Beschwerde inhaltlich behandelt.
Beweiswürdigung : Die Feststellungen beruhen auf dem Vorbringen der Parteien sowie dem Akteninhalt bzw. dem Akt GZ: DSB-D216.669.
D. In rechtlicher Hinsicht folgt daraus:
1. Über diese Beschwerde ist verfahrensrechtlich nach neuer Rechtslage (DSG idF BGBl. I Nr. 24/2018) gemäß § 24 Abs. 5 DSG zu entscheiden.
Materiellrechtlich ist die Sache jedoch nach den bis zum Ablauf des 24. Mai 2018, dem Zeitpunkt der behaupteten Verletzung des Rechts auf Geheimhaltung, geltenden Bestimmungen der §§ 1 bis 9 DSG 2000 bzw. des VersVG zu beurteilen, weil zu diesem Zeitpunkt die DSGVO bzw. die erforderlichen Anpassungen des VersVG durch BGBl. I Nr. 16/2018 noch nicht anwendbar waren.
Außer Frage steht, dass im gegenständlichen Verfahren bereits eine Datenweitergabe stattgefunden hat. Der Beschwerdeführer vermeint, dass zur Auszahlung der Versicherungsleistung die Übermittlung einer Rezeptgebührenbestätigung ausreiche und er durch das Einreichen der saldierten Originalrechnungen in seinem Recht auf Geheimhaltung verletzt werde, da die Beschwerdegegner dadurch Kenntnis über die ihm verschriebenen Medikamente – und indirekt damit über seinen Gesundheitszustand – erlange.
Die verfahrensgegenständlichen Daten geben Aufschluss über die Gesundheit des Beschwerdeführers und sind somit sensible Daten im Sinne des § 4 Z 2 DSG 2000. Die Zulässigkeit der Verarbeitung richtet sich demnach ausschließlich nach § 9 DSG 2000.
Gemäß § 9 Z 3 DSG 2000 ist die Verwendung von sensiblen Daten u.a. zulässig, wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen.
Die Verarbeitung von Gesundheitsdaten im Kontext des Versicherungsrechts richtet sich nach § 11a VersVG, gemäß dessen Abs. 1 der Versicherer im Zusammenhang mit Versicherungsverhältnissen, bei welchen der Gesundheitszustand des Versicherten oder eines Geschädigten erheblich ist, personenbezogene Gesundheitsdaten verarbeiten darf, soweit dies zur Verwaltung bestehender Versicherungsverträge (Z 2) oder zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag (Z 3) unerlässlich ist.
Versicherer dürfen gemäß § 11a Abs. 2 VersVG personenbezogene Gesundheitsdaten für die in Abs. 1 genannten Zwecke nur auf folgende Art ermitteln, nämlich u.a. durch Befragung der Person, die versichert werden soll oder bereits versichert ist, beziehungsweise durch Befragung des Geschädigten (Z 1) oder anhand der vom Versicherungsnehmer oder vom Geschädigten beigebrachten Unterlagen (Z 2).
§ 34 VersVG verpflichtet den Versicherungsnehmer zur Erteilung von Auskünften an den Versicherer, wenn dies zur Feststellung des Versicherungsfalles oder des Umfanges der Leistungspflicht des Versicherers erforderlich ist. Belege kann der Versicherer insoweit fordern, als die Beschaffung dem Versicherungsnehmer billigerweise zugemutet werden kann.
Offensichtlicher Zweck der Auskunfts- und Belegobliegenheit ist es, das Informationsdefizit des Versicherers gegenüber dem Versicherungsnehmer auszugleichen. Naturgemäß ist der Versicherungsnehmer über die ihn betreffenden Lebenssachverhalte umfassender informiert als der Versicherer. Er soll daher dem Versicherer alle ihm bekannten Informationen erteilen und ihm zur Verfügung stehende Unterlagen ausfolgen. Der Versicherungsnehmer hat dem Versicherer zunächst den Eintritt des Versicherungsfalls anzuzeigen (§ 33 VersVG) und dann über Aufforderung dem Versicherer weitere Auskünfte und/oder Belege zur Prüfung seiner Leistungspflicht im Sinn des § 34 VersVG geben. Das ist eine Obliegenheit des Versicherungsnehmers. Der Versicherer kann diejenigen Auskünfte verlangen, die er für notwendig hält, sofern sie für Grund und Umfang seiner Leistung bedeutsam sein können (siehe dazu das Urteil des OGH vom 5. November 2014, GZ 7 Ob 180/14t mwN).
Der Rechtsprechung des OGH zu § 34 VersVG ist weiters zu entnehmen, dass der Versicherungsnehmer jede Auskunft zu geben hat, die zur Feststellung des Versicherungsfalls erforderlich ist. Der Versicherer kann diejenigen Auskünfte verlangen, die er für notwendig hält; er ist aber dafür beweispflichtig, dass die verlangte Auskunft notwendig war (siehe dazu Grubmann , VersVG 8 § 34 (Stand 1.7.2017, rdb.at) E 10 mwN).
Von der Belegeobliegenheit iSd § 34 Abs. 2 VersVG sind grundsätzlich alle Dokumente umfasst, über die der Versicherungsnehmer selbst verfügt oder die er von Dritten besorgen kann (die also bereits existieren). Die Belegeobliegenheit ist ein Korrelat zur Auskunftsobliegenheit, sodass die Berechtigung des Auskunftsverlangens gleichzeitig Maßstab für die Berechtigung des Belegverlangens ist. Nur in seltenen Ausnahmefällen wird es dem Versicherungsnehmer nicht zumutbar sein, Urkunden, die sich in seiner Verfügungsbefugnis befinden, vorzulegen (siehe nochmals Grubmann , aaO, E 63 mwN).
2. Umgelegt auf den vorliegenden Fall bedeutet dies:
Den Beschwerdeführer trifft aufgrund der klaren Anordnung des § 34 VersVG eine Auskunfts- und Belegeobliegenheit gegenüber der Beschwerdegegnerin.
Die Übermittlung der Gesundheitsdaten kann sich diesfalls auf § 11a Abs. 1 Z 3 und Abs. 2 Z 2 VersVG stützen.
Die Beschwerdegegnerin hingegen trifft die Beweispflicht dafür, dass die angeforderten Unterlagen zur Feststellung des Versicherungsfalles oder des Umfanges der Leistungspflicht tatsächlich erforderlich sind.
Zu prüfen ist daher, ob die Beschwerdegegnerin zurecht darauf bestand, dass ihr der Beschwerdeführer die Originalrechnungen der Apotheken und nicht bloß Verkaufsbelege übermittelt.
Punkt 7.1. AVB 1999 kann diesfalls als Konkretisierung des § 34 VersVG gewertet werden (siehe dazu in Bezug auf die Allgemeinen Bedingungen für die Rechtsschutzversicherung – ARB 2000 nochmals das bereits zitierte Urteil des OGH vom 5. November 2014).
Die Beschwerdegegnerin führte bereits in ihrer Stellungnahme vom 16. März 2018 aus, dass durch eine bloße Rezeptgebührenbestätigung eventuelle irrtümliche Doppeleinreichungen nicht festgestellt werden können und dadurch eine korrekte Bearbeitung durch ihre Mitarbeiter im Interesse der Gesamtversichertengemeinschaft nicht garantiert werden könne.
Dem ist der Beschwerdeführer nicht substantiiert entgegengetreten.
Insofern erscheint es „denkmöglich“, dass die Beschwerdegegnerin die Originalrechnungen für die Beurteilung des maßgeblichen Sachverhalts, nämlich des genauen Umfangs ihrer Leistungspflicht, benötigt.
Im Ergebnis liegt daher auch keine Verletzung im Recht auf Geheimhaltung vor, weshalb spruchgemäß zu entscheiden war.
Soweit der Beschwerdeführer moniert, dass er zur Einreichung einer Beschwerde an die Datenschutzbehörde gezwungen gewesen sei, die Originalrechnungen zu übermitteln und somit sensible Daten preiszugeben, ist ihm zu entgegnen, dass es ihm statt einer Verfahrensführung vor der Datenschutzbehörde offen gestanden wäre, keine Originalrechnungen einzureichen und im Falle der Weigerung der Beschwerdegegnerin ihre Versicherungsleistung zu erbringen, diese auf dem Zivilrechtsweg zu klagen.