Schlagwort-Archive: § 28 BDSG

Versicherungstarife, Datenschutz, die persönliche Betroffenheit der Nutzer und gesetzliche Änderungen

Heute morgen ist Konstantin von Notz (netzpolitischer Sprecher der Grünen) im Deutschlandradio Kultur interviewt worden (Exakte Profile im Netz – Grünen-Politiker Konstantin von Notz kritisiert Selbstvermessung von Gesundheitsdaten – zum Nachhören als MP3 hier). Das Interview wird derzeit von anderen Radiosendern in den Hauptnachrichten aufgegriffen.

I. Versicherungen und Gesundheitsdaten

Dabei hat von Notz sich auch mit aktuellen Entwicklungen im Bereich des Versicherungswesens beschäftigt:

Notz: … Das Problem ist, dass Sie mit diesen Daten sehr exakte Profile über den körperlichen, aber auch über den psychischen Zustand einer Person erstellen können, und es gibt diverse Personen und Institutionen, die ein massives Interesse an solchen Daten haben: Krankenkassen, die Pharmaindustrie, Versicherungen, Arbeitgeber, Vermieter, Banken – alle wollen gerne wissen, wie wahrscheinlich es ist, dass ich krank werde oder eben nicht krank werde. Und man sollte ein Interesse daran haben, diese Daten zu schützen. …

Und wie gesagt, es ist diese Problematik: Der technische Fortschritt und die Rechenleistung, die Sie heute haben, ermöglichen eben eine Gesamterfassbarkeit und Auswertung unseres Lebens in einer Form, wie sie nie vorstellbar war. Und deswegen muss die Politik jetzt eben sozusagen Schranken schaffen, um den Datenschutz herzustellen, denn wenn sie ihn in der digitalen Welt verlieren, den Datenschutz, dann verlieren sie ihn im gesamten Leben, dann ist die Privatsphäre von vorgestern.

In den Radionachrichten wird von Notz ferner damit zitiert, dass Versicherungen bereits jetzt aktiv in sozialen Netzwerken nach Gesundheitsangaben suchen (hier lässt sich z.B. daran denken, dass jemand ein Foto mit Zigarette veröffentlicht, oder dass er darüber berichtet, dass er krank ist und nicht zur Arbeit gehen kann etc.).

II. Die Selbstbetroffenheit der Nutzer

Auf der anderen Seite haben die netzpolitisch engagierten Player im Jahr 2013 – dem Jahr der NSA-, GCHQ-, BND- etc. -Enthüllungen – die frustrierende Erkenntnis gewonnen, dass Überwachung nicht unmittelbar fühlbar ist. Der „Aufschrei“ über die flächendeckende Überwachung ist bisher weitgehend ausgeblieben. Als Schlussfolgerung haben Markus Beckedahl in seinem Talk mit dem Titel „Der Kampf der Netzneutralität“ und Constanze Kurz in einem Interview gestern (beide auf dem Chaos Communication Congress #30c3, Link für das Interview von Constanze Kurz habe ich leider nicht) wieder einmal hervorgehoben, dass es in der Zukunft wichtig sein wird, unseren Mitbürgern Beispiele der unmittelbaren persönlichen Betroffenheit zu präsentieren, um ihnen die Massivität der ungebremst fortgeführten Eingriffe zu verdeutlichen (s. z.B. hier).

Ein solches Beispiel bietet auch das Interview mit von Notz im Deutschlandradio Kultur, in dem er einen Bogen zu aktuellen Tarifen von Versicherungen schlägt. So berichtet er davon, dass – ähnlich wie bei aktuellen Versicherungsmodellen für Autofahrer – derzeit Versicherungsnehmern, die über ihre gesundheitlich relevanten Gewohnheiten Auskunft geben, „bessere“ Tarife angeboten werden – und dementsprechend auf lange Sicht die übrigen Versicherungsnehmener, die ihre Daten nicht zur Verfügung stellen wollen, weil sie grundsätzlich dagegen sind, oder weil sie vielleicht besonders ungesund leben, nur schlechte bzw. teurere Tarife erhalten werden:

Argumentiert wird ja bei der Selbstvermessung immer mit der Freiwilligkeit. Es wird gesagt, ja, die Leute machen das ja freiwillig. Tatsächlich ist es aber so, dass natürlich, wenn Versicherungen erst mal auf den Trichter kommen, dass Leute das freiwillig machen, dann kriegen eben diejenigen, die dokumentieren, was sie tun, trinken, essen, rauchen, eben gute Tarife, und die anderen nicht – heißt, wenn Sie nicht dokumentieren, dass Sie nicht rauchen, dann rauchen Sie eben für die Versicherung, und dann bezahlen Sie einen dementsprechend höheren Tarif. …

Und gegen diese Geschäftspraktiken, die sich dort jetzt sehr konkret anbahnen und die unmittelbar vor der Tür stehen, muss jetzt gehandelt werden und eben nicht erst in vier Jahren oder fünf Jahren. Es ist eben kein Science-Fiction, worüber wir hier reden, sondern es sind ganz reale Fakten, mit denen wir uns auseinandersetzen müssen.

Die Analyse von von Notz ist meines Erachtens nach richtig. Es ist ein klassisches Beispiel von persönlicher Betroffenheit – allerdings mit dem „Zuckerl“ der Freiwilligkeit. Von Notz sollte allerdings noch einen Schritt weiter denken und die Erfahrungen aus anderen Bereichen beachten: In Zeiten von Big Data müssen Versicherungen nur die ihnen vorliegenden, öffentlich bei Facebook etc. verfügbaren und von den Versicherungeneingekauften Daten miteinander kombinieren, um selbst über Leute, die selbst einen solchen „freiwilligen“ Tarif mit „freiwilliger“ Übermittlung von Daten (bewusst oder unbewusst) nicht gewählt haben, eine Menge zu erfahren.

Beispielsweise könnte bei einem Versicherungsnehmer [Beispiele ohne statistische Belege],

  • deren Freunde und Bekannte überwiegend rauchen, eine hohe Wahrscheinlichkeit bestehen, dass diese Person auch raucht,
  • deren Freunde und Bekannte überwiegend wenig Sport treiben, eine hohe Wahrscheinlichkeit bestehen, dass diese Person auch wenig Sport treibt,
  • deren Freunde und Bekannt überwiegend (gefährlichen) Wintersport treibt, eine hohe Wahrscheinlichkeit bestehen, dass diese Person auch (gefährlichen) Wintersport treibt,
  • deren Freunde und Bekannte überwiegend einen rasanten Fahrstil pflegen, eine hohe Wahrscheinlichkeit bestehen, dass diese Person ebenfalls rasant fährt oder sich im Fahrzeug mit den rasanten Fahrern befindet und dadurch zu Schaden kommt,
  • etc.

Die „Freiwilligkeit“ dürfte daher derzeit nur dazu dienen, ausreichend Daten zu sammeln, um später Vorhersagen über die Risiken auch bei Menschen machen zu können, über die (bisher) keine Daten vorliegen. Wer sich an Scoring erinnert fühlt, hat Recht.

III. Gesetzlicher Änderungsbedarf und Vorschläge

Von Notz spricht sich dafür aus, dass Versicherungen ein solches Vorgehen bereits jetzt (und nicht erst in der nächsten Legislaturperiode) untersagt wird. Es bleibt zu hoffen, dass die Grünen entsprechende Vorschläge in den Bundestag (und die Landtage – beispielsweise sind die Grünen in Badem-Württemberg und Hessen an der Landesregierung beteiligt, und es gibt umfassende Landesdatenschutzgesetze) einbringen werden.

1. Derzeitige gesetzliche Regelungen zu Gesundheitsdaten

Eine Möglichkeit wäre eine entsprechende Klarstellung von § 3 Abs. 9 BDSG (Regelung zu besonders sensitiven Daten), der derzeit noch lautet:

(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Ergänzt wird § 3 Abs. 9 BDSG durch eine Regelung zur Einwilligung in § 4a Abs. 3 BDSG:

(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.

Und weiter durch Regelungen zur Erlaubnis der Nutzung von Gesundheitsdaten ohne Einwilligung in § 28 Abs. 6-9 BDSG, die hier nicht zitiert werden sollen (Gesetzestext hier), interessant ist aber insbesondere Abs. 8:

(8) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.

2. Änderungsvorschläge

Einfach ins Unreine gedacht (!) – hier lassen sich sicherlich auch andere Formulierungen finden – könnte man folgende Ergänzungen in § 3 Abs. 9 BDSG, 4a BDSG und § 28 BDSG vornehmen:

§ 3 Abs. 9 BDSG: Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Zu den Angaben über die Gesundheit gehören auch Angaben, die allein oder in ihrer Gesamtheit oder in Verbindung mit anderen Angaben Rückschlüsse auf Umstände erlauben, die mit der Gesundheit in Zusammenhang stehen.

§ 4a Abs. 3 BDSG: Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. Die Einwilligung in die Nutzung von Daten Dritter, insbesondere nach § 3 Abs. 9 Satz 2 BDSG zur Bestimmung von Angaben über die Gesundheit des Betroffenen ist unzulässig.

In § 28 Abs. 8 BDSG könnte man einen Satz 3 ergänzen:

Die Verwendung von Daten Dritter, insbesondere nach § 3 Abs. 9 Satz 2 BDSG, zur Bestimmung von Angaben über die Gesundheit des Betroffenen ist unzulässig.

Ein weiterer Ansatz (nicht nur für dieses Problem) wäre, in § 3 BDSG zu definieren, wann Daten (wie in § 28 Abs. 6 Nr. 2 BDSG aufgegriffen) öffentlich gemacht sind. Man könnte eine neuen Absatz 12 anfügen:

§ 3 Abs. 12 BDSG: Daten werden durch den Betroffenen öffentlich gemacht, wenn er diese bewusst einem unbestimmten und unbestimmbaren Personenkreis zugänglich gemacht hat.

Möglicherweise könnte man das zusätzlich mit § 35 BDSG (Löschung) verzahnen, so dass der Betroffene die Möglichkeit hat, einmal öffentlich gemachte Daten auch wieder zu entfernen, und damit auch die Rechtsfolge des § 28 Abs. 6 Nr. 2 BDSG aufzuheben. Im Hinblick auf ein möglicherweise bald eingeführtes „Recht auf Vergessenwerden“ wäre dies ohnehin geboten.

Wir dürfen gespannt sein, welche Vorschläge von Notz und die Grünen demnächst präsentieren. Da SPD (ich denke z.B. an Lars Klingbeil) und CDU (ich denke z.B. an Dorothee Bär) sich auch mit dem Thema Datenschutz profilieren wollen (zumindest kleine Teile von SPD/CSU) könnte sogar ein parteiübergreifender Ansatz erfolgen …

IV. Weitere Beispiele für Selbstbetroffenheit?

Welche weiteren Beispiele für Selbstbetroffenheit fallen Euch ein? Ergänzungen und Vorschläge bitte in den Kommentaren.

 

(Update am 02.01.2013: Kleine sprachliche Fehler)