§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und
- dem Begehren der betroffenen Person stattgegeben wurde oder
- die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt; der Verantwortliche informiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.
(2) Entscheidungen nach Absatz 1 dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 beruhen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
Kommentar
§ 37 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.
Die Vorschrift ist speziell auf die Verhältnisse der Versicherungswirtschaft zugeschnitten und beinhaltet Privilegierungen zugunsten von Versicherern.
Absatz 1 gestattet die automatisierte Einzelentscheidung über die Fälle gemäß Artikel 22 Absatz 2 Buchstaben a und c DSGVO hinaus, sofern die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und die Voraussetzungen von Nummer 1 oder Nummer 2 vorliegen. Nach Artikel 22 Absatz 2 Buchstabe b DSGVO ist es den Mitgliedstaaten vorbehalten, neben Artikel 22 Absatz 2 Buchstabe a und c DSGVO weitere Tatbestände zu schaffen, in denen automatisierte Entscheidungen im Einzelfall zulässig sind. Davon hat der deutsche Gesetzgeber mit der Vorschrift Gebrauch gemacht. Auf derselben datenschutzrechtlichen Grundlage beruht § 35a VwVfG, wonach der Erlass von Verwaltungsakten in vollautomatisierten Verwaltungsverfahren ermöglicht wird (BT Drs. 18/11325, S. 106).
Anders als Artikel 22 Absatz 2 Buchstabe a DSGVO es voraussetzt, ist für Absatz 1 ein Vertragsverhältnis zwischen der von der automatisierten Entscheidung betroffenen Person und dem Verantwortlichen (z. B. Versicherer) nicht Voraussetzung. Ausreichend ist vielmehr eine automatisierte Entscheidung bei der Leistungserbringung nach einem Versicherungsvertrag.
Voraussetzung von Absatz 1 Nummer 1 ist eine stattgebende Entscheidung, d. h. eine Entscheidung zugunsten der von der Datenverarbeitung betroffenen Person. Danach bleiben die nach alter Rechtslage zulässigen automatisierten Einzelentscheidungen im Rahmen sonstiger Rechtsverhältnisse außerhalb von Verträgen weiterhin möglich (vgl. § 6a Absatz 2 Nummer 1 BDSG a. F.). Nach Absatz 1 Nummer 1 ist z. B. die automatisierte Schadensregulierung zwischen der Kfz-Haftpflichtversicherung des Schädigers und dem Geschädigten möglich. Da die Vorschrift voraussetzt, dass dem Begehren des Anspruchstellers, der gleichzeitig datenschutzrechtlich die betroffene Person ist, entsprochen wird, greift die Vorschrift in allen Fällen nicht ein, in denen nur eine teilweise Regulierung des Schadens erfolgt.
Absatz 1 Nummer 2 hat Entgeltregelungen für Heilbehandlungen zum Gegenstand und bezieht sich damit auf Private Krankenversicherungen. Diesen wird gestattet, automatisierte Entscheidungen über Versicherungsleistungen bei der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen vorzunehmen. Anders als nach Nummer 1 ist nach Nummer 2 auch dann eine automatisierte Entscheidung zulässig, wenn dem Begehren der Antragsteller nicht vollen Umfangs entsprochen wird, was der bisherigen Regelung nach § 6a Absatz 2 Nummer 2 BDSG a. F. entspricht. Notwendig ist, dass der Verantwortliche angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft. Hierzu zählen das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung. Der Verantwortliche hat die betroffene Person über die Rechte zu informieren (vgl. auch Artikel 22 Absatz 3 DSGVO)
Von der Beantragung von Leistungen für die eigene Person ist der Fall zu unterscheiden, in dem ein Versicherungsnehmer für einen mitversicherten Angehörigen Leistungen beantragt. Für die automatisierte Verarbeitung der Daten des Angehörigen bedarf es einer Rechtsgrundlage gemäß Artikel 6 Absatz 1 DSGVO aber keiner Ausnahme vom grundsätzlichen Verbot der automatisierten Entscheidung im Einzelfall, denn gegenüber dem Dritten (Angehörigen) ergeht in diesen Fällen keine Entscheidung, sondern nur gegenüber dem Versicherungsnehmer.
Nach Absatz 2 Satz 1 ist es Versicherungsunternehmen gestattet, im Rahmen automatisierter Entscheidungen nach Absatz 1 Gesundheitsdaten im Sinne von Artikel 4 Nummer 15 DSGVO zu verarbeiten. Diese Ausnahme wird dem praktischen Bedürfnis gerecht, die automatisierte Abrechnung von Leistungsansprüchen durch die Private Krankenversicherung zu ermöglichen. Rechtsgrundlage für Absatz 2 ist Artikel 22 Absatz 4 i. V. m. Artikel 9 Absatz 2 Buchstabe g DSGVO; bezahlbarer und funktionsfähiger Krankenversicherungsschutz in der Privaten Krankenversicherung ist als gewichtiges Interesse des Gemeinwohls anerkannt: Dabei spielt die effiziente Leistungsbearbeitung im Massenverfahren eine Rolle, die den Einsatz von automatisierten Verfahren voraussetzt.
Absatz 2 Satz 2 verweist auf § 22 Absatz 2 Satz 2, wodurch dem Verhältnismäßigkeitsprinzip und der Wesensgehaltsgarantie entsprochen werden soll (vgl. Artikel 9 Absatz 2 Buchstabe g DSGVO).