Datenpanne: die Rache des verdeckten Ermittlers
von , veröffentlicht am 21.08.2012Bei einem großen mit A beginnenden deutschen Versicherungskonzern hat es wohl eine schwere Datenpanne gegeben. Einer deutschen Zeitung liegen brisante Unterlagen aus einer Reihe von Versicherungsfällen vor: Strafanzeigen, Ermittlungsakten der Polizei und Staatsanwaltschaft, Schreiben von Banken über Konten und deren Verfügungsberechtigte. Die Dokumente zeigen Klarnamen und Daten von Beteiligten und Unbeteiligten. Die Gesellschaft habe bestätigt, dass die Unterlagen zumindest zum Teil aus ihrem Bestand kommen. Vermutlich stammen die Daten von einem privaten Ermittler, den die Gesellschaft eingesetzt hat. Was meinen Sie- welche Überwachungs- und Benachrichtigungspflichten hat der Versicherer in diesem Fall?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
4 Kommentare
Kommentare als Feed abonnierenWie aus der Presse zu erfahren ist, gehört die Vereinbarung von Vertragsstrafen für pflichtwidrig handelnde Detekteien nicht zur Kautelarpraxis der Allianz.
Das halte ich für fahrlässig und es ist daher ratsam, entsprechende Klauseln schleunigst nachzuverhandeln.
Grüße aus Berlin,
Jannis Sokianos
Danke für den Hinweis. Wie sehen Sie denn die Chancen einer Strafanzeige gegen den "untreuen" Ermittler? Und müssen die Betroffen über den Bruch der Datensicherheit benachrichtigt werden?
Eine Benachrichtungspflicht erscheint mir als geboten. Denn erst dadurch erfahren die Betroffenen von ihrem Betroffensein - eine notwendige Bedingung für etwaige rechtliche Schritte. Die Bedeutung dieses Aspekts betont auch das BVerfG, allerdings für die staatliche verdeckte Überwachung und somit im unmittelbaren Geltungsbereich der Grundrechte. Aber die Interessenlage ist jeweils auf den Rechtsschutz der Betroffenen gerichtet und daher m.E. vergleichbar.
In Sachen PR ist der Vorgang für die Allianz natürlich höchst unangenehm, da sie nicht nur für die Pflichtverletzung ihrer Gehilfen einstehen, sondern zugleich Misstrauen gegenüber den Versicherungsnehmern offenbaren müsste. Und das Ausmaß des Misstrauens lässt sich an der jeweiligen Intensität der Datenerhebung recht deutlich ablesen.
Doch woraus wäre eine Benachrichtigungspflicht herzuleiten? Inhaltlich könnte es um eine Schutzpflicht gehen, wobei die Information über den Verbleib der doch sehr sensiblen Daten als berechtigtes Interesse der betroffenen Versicherungsnehmer qualifiziert werden müsste. Im VVG ist keine spezielle Ausprägung einer solchen Schutzpflicht ersichtlich. Doch für solche Fälle stünde ja die allgemeine Regelung des § 241 II BGB bereit.
Denkbar wäre aber auch eine Rechtsgrundlage aus den mir weniger bekannten "Untiefen" des BDSG, weswegen ich den Ball gerne an Sie zurückspiele...
Ich bin mir nicht sicher, ob die Benachrichtigungspflicht nach §42a BDSG hier eingreift, u.a. weil ich nicht weiß ob folgende Daten betroffen sind:
1. besondere Arten personenbezogener Daten (§ 3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.
Vielleicht hat jemand eine dezidiertere Meinung als ich dazu.
Grüsse aus Washington