Haftpflichtversicherer holen regelmässig bei externen Experten (Ärzten, Ingenieuren, Biomechanikern, Betriebswirtschaftern etc.) Aktengutachten ein. Sie dienen den Versicherern als Grundlage zur Abklärung ihrer Leistungspflicht. Dabei müssen bestimmte datenschutzrechtliche Aspekte berücksichtigt werden - insbesondere die Regeln des datenschutzkonformen Outsourcings.
Das Datenschutzgesetz (DSG) will arbeitsteilige Prozesse grundsätzlich erleichtern und deshalb keine übermässigen Hürden aufstellen. Deshalb enthält das DSG mit Artikel 10a auch eine Spezialnorm, welche das Outsourcing regelt und damit zur Abgrenzung von ähnlichen Fällen beiträgt.
I. Rechtliches
Grundvoraussetzung für ein zulässiges Outsourcing gemäss Art. 10a DSG ist, dass der Haftpflichtversicherer zur Bearbeitung der Personendaten der betroffenen Person berechtigt ist. Denn die Bearbeitung muss rechtmässig erfolgen. Dazu braucht es, damit es nicht zu einer Persönlichkeitsverletzung kommt, einen Rechtfertigungsgrund, denn der Haftpflichtversicherer steht in keinerlei vertraglichem Verhältnis zur geschädigten Person. Im Falle des Haftpflichtversicherers muss das Interesse der Versichertengemeinschaft, die Forderung einer geschädigten Person einer umfassenden Prüfung zu unterziehen, um die Berechtigung und den Umfang der geschuldeten Leistung festzustellen, als ein ausreichendes privates Interesse betrachtet werden, welches das Bearbeiten der Personendaten der geschädigten Person rechtfertigt.
Bearbeitet der Gutachter die Personendaten nur für die Zwecke des Haftpflichtversicherers, kommt es zu einer gesetzlichen Privilegierung der beiden Akteure. Für den Gutachter gelten die gleichen Rechtfertigungsgründe wie für den Haftpflichtversicherer. Ein Teil der Lehre geht nun soweit, zu sagen, dass im Fall des rechtmässigen Outsourcings die betroffene Person nicht über die Weitergabe der Personendaten an den Gutachter informiert werden muss. Dieser Meinung kann sich der EDÖB nicht anschliessen. Die letzte Revision des Datenschutzgesetzes hatte als vordringliches Ziel die Verbesserung der Transparenz für die betroffenen Personen. So müssen der betroffenen Person bei der Bearbeitung von besonders schützenswerten Personendaten sowohl der Inhaber der Datensammlung als auch der Zweck der Datenbearbeitung bekannt gegeben werden. Zusätzlich müssen sämtliche weiteren Angaben gemacht werden, welche nach den Grundsätzen von Treu und Glauben und Verhältnismässigkeit erforderlich sind.
Die rechtliche Privilegierung im Innenverhältnis zwischen Haftpflichtversicherer und Gutachter, welche sich auch dadurch auszeichnet, dass im Falle eines rechtmässigen Outsourcings für die Datenbearbeitung durch den Gutachter kein gesetzlicher Rechtfertigungsgrund erfüllt sein muss, bedeutet nicht, dass der allgemeine Grundsatz der Erkennbarkeit nicht beachtet werden muss. Für die betroffene Person muss im Zeitpunkt der Datenbekanntgabe an den Haftpflichtversicherer erkennbar sein, dass ihre Personendaten auch an einen Gutachter übergeben werden können. Da es sich in solchen Fällen in der Regel um die Bearbeitung von besonders schützenswerten Personendaten handelt, muss hier ein strenger Massstab angelegt werden: Ist die Weitergabe an einen Gutachter nicht auf Anhieb zu erkennen, muss eine ausdrückliche Information erfolgen.
II. Der EDÖB betrachtet das folgende Vorgehen als richtig:
- Der Haftpflichtversicherer kann grundsätzlich Gutachten über eine geschädigte Person durch einen externen Gutachter erstellen lassen. Dafür benötigt er keine Zustimmung der betroffenen Person.
- Der Haftpflichtversicherer informiert die betroffene Person darüber, dass ihre Personendaten für das Erstellen eines Gutachtens auch an einen externen Gutachter übergeben werden können. Die Information erfolgt in der Regel bei der Anforderung der Personendaten durch den Haftpflichtversicherer, spätestens aber zum Zeitpunkt der Übergabe der Personendaten an den externen Gutachter.
Letzte Änderung 15.12.2009