Datenweitergabe zwischen Versicherung und Partnerbetrieb / DSGVO

[TTS8S]

Hallo Experten,

ist es eigentlich üblich (und in Zeiten der DSGVO überhaupt zulässig), dass personen- und schadenbezogene Daten von einer KFZ-Versicherung zu reinen Vertriebszwecken und ohne ausdrückliche Einwilligung an einen Partnerbetrieb weitergegeben werden?

Folgende jüngste Begebenheit hat mich zum Nachdenken gebracht: Wir hatten einen Wildschaden (Halter und VN: ich selbst, Fahrerin zum Zeitpunkt des Unfalls: meine Tochter), den ich am nächsten Morgen telefonisch der Versicherung (HUK24) gemeldet habe. Bei diesem Telefonat wurde mir mitgeteilt, dass ich (weil keine Werkstattbindung) mir einen Fachbetrieb zur Behebung des Unfallschadens auswählen kann. Allerdings wies man mich auch darauf hin, dass in unserer Region die Firma X als Partnerbetrieb registriert ist und eine Reparatur in dieser Werkstatt für mich den Vorteil hätte, dass für die Reparaturdauer ein kostenloser Mietwagen zur Verfügung gestellt wird.

Ich bedankte mich freundlich für diesen Hinweis, sagte aber deutlich, dass ich trotzdem mehrere verschiedene Werkstätten kontaktieren würde, um über mögliche Termine, Abwicklung und so weiter zu sprechen.

Es sei noch gesagt: die Firma X ist der größte Karosserie- und Lackierbetrieb in der Gegend und genießt durchaus einen guten Ruf. Ich selbst hatte allerdings noch niemals mit dieser Firma zu tun, war also definitiv in keiner Weise dort als Kunde bekannt.

Maximal 15 Minuten nach dem Telefonat mit der Versicherung klingelte mein Handy - und es meldete sich, zu meinem großen Erstaunen, die Auftragsdisposition der Firma X. Wie sich herausstellte, hatte die Dame sämtliche Daten von mir und meiner Tochter (jeweils Name, Anschrift, Geburtsdatum, Telefonnummer), vom Fahrzeug (Typ, Fin, Zulassungstag, Kilometerstand) und vom Schaden (Zeitpunkt, Hergang, polizeilich festgestellter Schaden).

Mit anderen Worten: die Versicherung hatte sämtliche Daten, die ihr aufgrund des Versicherungsvertrags bereits vorlagen und ebenso alles, was im Rahmen der Schadensaufnahme erfragt wurde, an einen Partnerbetrieb weitergegeben, mit dem wir zu diesem Zeitpunkt keinerlei vertragliches Verhältnis hatten und dem wir demzufolge auch in keiner Form die Speicherung und Nutzung unserer Daten gestattet hatten.

Die Dame von Firma X war sich keiner Schuld bewusst und bezeichnete diese Vorgehensweise als "üblich". Lange Rede, kurzer Sinn: wir haben die Firma trotzdem beauftragt, und der Schaden wurde ohne jede Beanstandung behoben. Mietwagen gab's auch, und die Regulierung durch die HUK24 erfolgte schnell und unkompliziert. Das darf man ja auch mal erwähnen. Dass der Betrieb im Rahmen der Abwicklung die Daten benötigt, steht ebenso außer Frage.

Trotzdem bleibt ein großes Fragezeichen: wenn wir uns für einen anderen Betrieb entschieden hätten - was gehen dann Firma X die ganzen personenbezogenen Daten an?

Da würde mich jetzt mal eure Meinung interessieren.

[guruhu]

Zitat:

@Moers75 schrieb am 05. Juli 2018 um 09:51:01 Uhr:

Interessanter wird die Frage vielmehr bei Haftpflichtschäden und den "Prüfberichten" von CarExpert, ControlExpert und Co..

Bin kein Datenschutzexperte, aber was spräche dagegen allea komplett anonymisiert weiterzugeben?

Die Prüfer brauchen ja deinen Namen nicht um Zahlen nicht nachvollziehbar durch niedrigere zu ersetzen.

Es reicht ja schon, dass sie die Infos bekommen: Auto, vorne kaputt, 1000€, München. Dann Antworten die eben: Auto, vorne nicht so dolle kaputt, 740€, München ... Und die Versicherung packt die Daten dann zusammen.

[Dellenzaehler]

Zitat:

@guruhu schrieb am 6. Juli 2018 um 08:40:55 Uhr:

Zitat:

@Moers75 schrieb am 05. Juli 2018 um 09:51:01 Uhr:

Interessanter wird die Frage vielmehr bei Haftpflichtschäden und den "Prüfberichten" von CarExpert, ControlExpert und Co..

Bin kein Datenschutzexperte, aber was spräche dagegen allea komplett anonymisiert weiterzugeben?

Die Prüfer brauchen ja deinen Namen nicht um Zahlen nicht nachvollziehbar durch niedrigere zu ersetzen.

Es reicht ja schon, dass sie die Infos bekommen: Auto, vorne kaputt, 1000€, München. Dann Antworten die eben: Auto, vorne nicht so dolle kaputt, 740€, München ... Und die Versicherung packt die Daten dann zusammen.

Denen geht es nicht nur um die Zahlen. Da werden auch andere Dinge "ausgewertet" Wie hoch Sachverständige abrechnen, welche Werkstätten mit wem zusammenarbeiten, oder welche "Häufungen" es in Personenkreisen gibt und noch so einiges andere ....

[faleX]

Interessantes zu dem Thema:

Zitat:

Autoindustrie und Datenschützer: KfZ-Daten unterliegen dem Datenschutz

Alle Daten, die in einem Fahrzeug anfallen, gelten als personenbezogen, sobald sie mit der Fahrzeugidentifikationsnummer oder dem Kfz-Kennzeichen verknüpft sind. Darauf und auf mehr haben sich Industrie und Datenschutzbeauftragte geeinigt.

Quelle: https://www.heise.de/.../...n-unterliegen-dem-Datenschutz-3084253.html

Wie sollen diese Firmen also arbeiten, wenn VIN und Kennzeichen nicht verwendet werden dürfen? Dann müsste ja komplett anonymisiert gearbeitet werden, aber das behindert ja das Geschäftsmodell.

Sollte ich einmal Geschädigter in einem Haftpflichtunfall sein und meine Daten sollten unberechtigterweise an eine dieser Firmen gehen, werde ich abmahnen.

[guruhu]

Zitat:

@faleX schrieb am 06. Juli 2018 um 13:10:20 Uhr:

Sollte ich einmal Geschädigter in einem Haftpflichtunfall sein und meine Daten sollten unberechtigterweise an eine dieser Firmen gehen, werde ich abmahnen.

Du würdest es vermutlich nie erfahren.

Und Abmahnen kannst du als Privatperson nicht

[Dellenzaehler]

Man kann sich aber hier melden:

https://www.datenschutz-wiki.de/...en_und_Landesdatenschutzbeauftragte

Diese Herrschaften sind gesetzlich verpflichtet jeder Beschwerde nachzugehen.

Und die nehmen auch jede Beschwerde Ernst.

[rrwraith]

Zitat:

@guruhu schrieb am 6. Juli 2018 um 13:17:15 Uhr:

Du würdest es vermutlich nie erfahren.

Aber sicher doch, durch das entsprechende Streichpamphlet...

[guruhu]

Zitat:

@Dellenzaehler schrieb am 06. Juli 2018 um 13:30:02 Uhr:

Diese Herrschaften sind gesetzlich verpflichtet** jeder** Beschwerde nachzugehen.

Ich habe was solche Organe angeht, das Vertrauen in die Menscheit noch nie gehabt. Auf welche Werkzeuge können diese Herrschaften zugreifen? Eine Anfrage bei der Versicherung? Na gut. Ob das was bringt? Ich denke nicht.

 

Zitat:

@rrwraith schrieb am 06. Juli 2018 um 13:52:49 Uhr:

Aber sicher doch, durch das entsprechende Streichpamphlet...

Naja,...

 

In dem Pamphlet steht ja gerade nicht drinne "wir haben alle ihre Daten weitergegeben...".

Zumindest nicht, wenn es von jemandem, einigernaßen bei Trost, formuliert wurde. Die reinen Streichungen könnten ja ohne personenbezogene Daten vorgenommen werden. Dass im Hintergrund dennoch alles mögliche passiert kann man vermuten. Aber vermuten kann man ja erstmal bekanntlich vieles.

[Rostlöser56]

Zitat:

@faleX schrieb am 6. Juli 2018 um 13:10:20 Uhr:

Sollte ich einmal Geschädigter in einem Haftpflichtunfall sein und meine Daten sollten unberechtigterweise an eine dieser Firmen gehen, werde ich abmahnen.

So einfach ist es nicht.....

Der "Datenschutz" verbietet nicht grundsätzlich die Weitergabe von Daten. Es wird lediglich geregelt, wie, an wen und in welchem Umfang. Es gibt zwar jede Menge Gerichtsurteile, die sich mit dem Ergebnis dieser Weitergabe beschäftigen (nämlich den Kürzungen durch die von der Versicherung beauftragte Prüforganisation), mir ist aber keines bekannt, das die Weitergabe der Gutachten zur Prüfung datenschutzrechtlich beanstandet hätte. Auch die DSGVO ändert daran nichts.

[faleX]

Zitat:

@lemonshark schrieb am 6. Juli 2018 um 14:31:55 Uhr:

So einfach ist es nicht.....

Der "Datenschutz" verbietet nicht grundsätzlich die Weitergabe von Daten. Es wird lediglich geregelt, wie, an wen und in welchem Umfang. Es gibt zwar jede Menge Gerichtsurteile, die sich mit dem Ergebnis dieser Weitergabe beschäftigen (nämlich den Kürzungen durch die von der Versicherung beauftragte Prüforganisation), mir ist aber keines bekannt, das die Weitergabe der Gutachten zur Prüfung datenschutzrechtlich beanstandet hätte. Auch die DSGVO ändert daran nichts.

Was ich finde, ist folgender Absatz:

Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

-> Ich denke, hier gibt keiner die Einwilligung an diese Kürzungsorganisationen.

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

-> Das ist wohl die relevante Zeile, die es ermöglich, auch ohne unsere Einwilligung, unsere Daten weiter zu verarbeiten.

Quelle: https://dsgvo-gesetz.de/art-6-dsgvo/

 

 

Allerdings benötigt man für die Streichung/Reduzierung von Posten aus Gutachten gar keine personenbezogenen Daten. Es reichen Daten des Fahrzeugs (ohne VIN und Kennzeichen) und Daten zum Schaden. Das Ergebnis kann die Versicherung dann übermitteln.

Art. 5 DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

-> Und diese Unternehmen sind sogar rechenschaftspflichtig, warum sie personenbezogenen Daten auswerten.

Quelle: https://dsgvo-gesetz.de/art-5-dsgvo/

[Rostlöser56]

Es geht hier eher um das Verhältnis zwischen der Versicherung und der Prüforganisation. Völlig unabhängig von der Branche: Ich kann bestimmte Dinge an einen Dienstleiser auslagern und diesen zur Erfüllung seiner vertraglichen Aufgaben mit Daten versorgen. Dafür gibt es je nach Branche bestimmte Auflagen, es müssen Meldungen erstattet werden und der Dienstleister ist zum Schutz der Daten verpflichtet. Das ist vom Grundsatz her erstmal legal und benötigt auch kein Einverständnis im Einzelfall.

[faleX]

Ja, das ist was Art. 6 DSGVO (1) f) sagt. https://dsgvo-gesetz.de/art-6-dsgvo/

Dennoch muss ein Unternehmen versuchen seine Daten zu minimieren. Wenn ein Klarname z.B. nicht benötigt wird, sollte er nicht gespeichert werden. Das gilt natürlich nur für personenbezogene Daten.

[Moers75]

Da wird es in nächster Zeit sicherlich noch ein paar Gerichtsurteile zu geben. Spätestens bei den eh schon rechtswidrigen Rechnungsprüfungen bei Haftpflichtschäden dürfte es eine Erklärungsnot geben warum Daten weitergegeben werden.

[modtta4455]

Ich zoff mich da gerade wegen mit der Debeka :-) Auch alles an Daten ohne Einwilligung weitergegeben.

Hab mal deren Datenschutzbeauftragten angesprochen und mal gefragt wie das denn sein sein. Mal gucken was bei rauskommt...

[Blackmen]

Datenweitergabe mal anders:

"App ermittelt Fahrdaten von US-Versicherten und beschert teurere PrämienApp ermittelt Fahrdaten von US-Versicherten und beschert teurere Prämien"

https://www.heise.de/.../...Kfz-Versicherungspraemien-9653169.html?...

[berlin-paul]

Das sind schon irgendwie chinesische Verhältnisse ....