Der Sachverhalt:
Ein Unternehmen (eine Versicherung) versandte Schreiben an Versicherungsnehmer, in denen diese gebeten wurden, die Sozialversicherungsnummer bekannt zu geben, damit diese Kunden „eindeutig identifiziert werden können.“
Die Datenschutzbehörde nahm diese zum Anlass nach einer Meldung durch eine betroffene Person, die von der Versicherung dieses Schreiben erhielt, die Versicherung zu einer Stellungnahme aufzufordern.
Die Stellungnahme:
Die Versicherung erläuterte, dass sie u.a. Lebens- und Unfallversicherungen anbiete und diese Zwecke sind in unmittelbaren Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten. Bei der Sparte Lebensversicherung ist die Verwendung notwendig, damit man diese mit den übermittelten Listen über die verstorbenen Personen abgleichen könne. Im Bereich der Unfallversicherung basiert der gesamte Datenaustausch im Gesundheitsbereich über das Kennzeichen der Sozialversicherungsnummer. Überdies sei man gem. FM-GwG verpflichtet, die Identität zweifelsfrei festzustellen.
Die Entscheidung der Datenschutzbehörde (vom 28.06.2017) als „Empfehlung“:
V** AG möge von der Verwendung der Sozialversicherungsnummer zur eindeutigen Identifizierung von Versicherungsnehmern außerhalb von sozialversicherungsrechtlichen Sachverhalten absehen.
Die Grundlage der Empfehlung der Datenschutzbehörde:
1. Die Sozialversicherungsnummer ist ohne Zweifel ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an dem der Versicherte ein schutzwürdiges Geheimhaltungsinteresse hat. […]
2. § 31 Abs. 4 ASVG gibt den Zweck der Sozialversicherungsnummer klar vor. Demnach darf diese nur zur Verwaltung personenbezogener Daten im Rahmen der der Sozialversicherung gesetzlich übertragenen Aufgaben verwendet werden. Auch § 460d ASVG hält fest, dass die Versicherungsnummer nach § 31 Abs. 4 Z 1 ASVG in der elektronischen Datenverarbeitung für Zwecke der Sozialversicherung und des Arbeitsmarktservices verwendet werden kann. Die zitierten Bestimmungen des ASVG sind in diesem Zusammenhang als die spezielleren Normen (lex specialis) im Vergleich zu § 6 FM-GwG anzusehen. § 6 FM-GwG verlangt zwar, die Identität eines Kunden festzustellen, normiert jedoch, dass dies bei natürlichen Personen etwa „durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen [hat]“ (§ 6 Abs. 2 Z 1 FM-GwG). Auf die Sozialversicherungsnummer wird hingegen nicht Bezug genommen.
3. Auch nach der Rechtsprechung der Datenschutzbehörde darf die Sozialversicherungsnummer nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der Datenschutzbehörde und der ehemaligen Datenschutzkommission bereits wiederholt als unzulässig erachtet (vgl. dazu bspw. die Empfehlung vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014).
4. Soweit die V** AG im Rahmen der Lebens- bzw. Unfallversicherung und damit in tatsächlichem Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten tätig wird, ist die Verwendung der Sozialversicherungsnummer daher dann nicht zu beanstanden, wenn dies für den Verkehr mit Sozialversicherungsträgern erforderlich ist (etwa zu Abrechnungszwecken).
Wird die V** AG jedoch in anderen Bereichen bzw. Versicherungszweigen tätig, wo dieser Zusammenhang nicht gegeben ist, so ist die Verwendung der Sozialversicherungsnummer nicht zulässig bzw. entspräche deren dortige Verwendung jener als allgemeinem Identifikator. Ist die Verwendung bereits gesetzlich nicht erlaubt, so kann dieser Mangel auch nicht durch eine Zustimmung im Einzelfall saniert werden.
Fazit:
1. Die Datenschutzbehörde hat wiederholt ausgesprochen, dass die
Sozialversicherungsnummer außerhalb des sozialversicherungsrechtlichen Kontextes (z.B. Abrechnung bei Lebens- und Unfallversicherung) nicht zulässigerweise verarbeitet werden
darf. Eine andere Verwendung derselben ist daher rechtswidrig.
2. Auch nach der DSGVO wird sich daran nichts ändern, insbes. da die DSGVO festlegt, dass „auch […]
Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“ als
Gesundheitsdaten und damit Daten besonderer Kategorie iSd Art 9 DSGVO sind, die besonderen Bestimmungen in der Verarbeitung der Daten
unterliegen.
3. Wenn die DSGVO mit 25.05.2018 in Kraft tritt, werden nur die potentiellen Sanktionen sehr viel schwerwiegender, da die Geldbußen auf das 800-fache (20 Mio € oder 4 % des Jahresumsatzes, was immer höher ist) ansteigen.
Kommentar schreiben
Franz Berthold (Donnerstag, 12 April 2018 14:32)
Aus welchem Artikel bzw. aus welcher Formulierung in der DSGVO ist die nachfolgend zitierte Interpretation zweifelsfrei abzuleiten?
Auch nach der DSGVO wird sich daran nichts ändern, insbes. da die DSGVO festlegt, dass „auch […] Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“ als Gesundheitsdaten und damit Daten besonderer Kategorie iSd Art 9 DSGVO sind, die besonderen Bestimmungen in der Verarbeitung der Daten unterliegen.