Ein Artikel von Ann-Christin Schilausky, Leiterin Geschäftsbereich „Versorgungsordnungen bAV/bKV“ in der Rechtsanwaltskanzlei Guse, Kanzlei für betriebliche Versorgung
Für viele Unternehmen wird die betriebliche Krankenversicherung (bKV) immer mehr zu einem wichtigen Instrument. Als zusätzlicher Baustein stellt sie einen wertvollen Benefit dar, der einerseits Bindung und Zufriedenheit der Angestellten fördert und andererseits auch zur Gesundheitsförderung beiträgt und ggf. Kosten für die Unternehmen senken kann. Gleichzeitig bietet die bKV den Mitarbeitenden Zugang zu einem umfangreichen Versicherungsschutz, der über die Leistungen einer gesetzlichen Krankenversicherung hinausgeht. Diesen Aufwärtstrend bestätigen auch unsere kanzleiinternen Auswertungen, die zuletzt einen Zuwachs an bKV-Versorgungsordnungen von ca. 150% in den letzten 24 Monaten verzeichnet haben.
Opting-out contra Datenschutz?
Für die Beratungspraxis der VermittlerInnen sind schlanke Arbeits- und Beratungsprozesse erforderlich, um eine zügige und unkomplizierte Implementierung der betrieblichen Krankenversicherung zu gewährleisten. Sogenannte Opting-out-Systeme sind dafür die erste Wahl. Das bedeutet, alle Mitarbeitenden werden durch den Arbeitgeber unter Nennung der Stammdaten der Mitarbeitenden zur bKV angemeldet. Wer die betriebliche Krankenversicherung dann nicht möchte, kann innerhalb einer Frist widersprechen. Das Verfahren gewährleistet eine hohe Teilnahmequote, da nicht jeder Mitarbeitende seine ausdrückliche Zustimmung erteilen muss. Diese automatische Teilnahme bietet aber gleichzeitig eine datenschutzrechtliche Angriffsfläche, weil personenbezogene Daten verarbeitet werden, ohne dass zuvor eine ausdrückliche Einwilligung der Mitarbeitenden eingeholt wurde. In Gesprächen mit VermittlerInnen zeigt sich, dass vermehrt nach „wasserdichten“ und zugleich schlanken Lösungsmöglichkeiten gefragt wird – häufig weil der Datenschutzbeauftragte des Arbeitgebers kurzfristig Bedenken äußert.
Das sagt die DSGVO
Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an Datenschutz (z. B. Erhebung, Verarbeitung und Weitergabe), Datensicherheit und Transparenz. Bei Datenschutzverstößen drohen empfindliche Strafen für Unternehmen. Die Weitergabe, Speicherung und Verarbeitung von Daten durch Dritte ist grundsätzlich verboten. Eine rechtmäßige Verarbeitung ist nur unter bestimmten Bedingungen möglich; diese nennt Art. 6 DSGVO. Die einfachste Lösung ist die Einwilligung (s. Art. 6 Abs. 1 Satz 1 a) der betroffenen Person. Die Einwilligung würde voraussetzen, dass die Mitarbeitenden konkret informiert wurden und freiwillig ausdrücklich eingewilligt haben. Ein passives „Schweigen“ reicht dafür nicht aus. Genau dies erfolgt aber beim Opting-out. Die Mitarbeitenden werden vorher nicht ausdrücklich nach einer Einwilligung zur Datenweitergabe oder einer Zustimmung zum Versicherungsabschluss gefragt.
Vertragliche Notwendigkeit zur Datenverarbeitung
Art. 6 Abs. 1 Satz 1 b) DSGVO kennt aber noch eine andere Lösung. Gemäß Art. 6 Abs. 1 Satz 1 b) DSGVO ist die Verarbeitung rechtmäßig, wenn die Weitergabe der Daten einer betroffenen Person für die Erfüllung eines Vertrages erforderlich ist. Wichtig ist hier die Definition der Erforderlichkeit. Es reicht dabei in der Regel nicht aus, dass lediglich eine irgendwie geartete Verbindung zu einer vertraglichen Vereinbarung besteht. Die Erforderlichkeit hängt also von den spezifischen Umständen der jeweiligen Fallkonstellation ab. Erforderlich kann die Weitergabe der Stammdaten der Mitarbeitenden durch den Arbeitgeber zum Beispiel deswegen sein, weil dieser zuvor seinen Mitarbeitenden im Rahmen einer Gesamtzusage (Versorgungsordnung) arbeitsrechtlich eine bKV versprochen hat. Diese arbeitsrechtliche Zusage kann er ohne die Weitergabe der Stammdaten seiner Mitarbeitenden nicht erfüllen. Die Weitergabe der Daten kann dann nach Art. 6 Abs. 1 Satz 1 b) DSGVO bzw. § 26 Abs. 4 BDSG gerechtfertigt sein.
Insgesamt lässt sich sagen, dass das Opting-out-System in der betrieblichen Krankenversicherung unter gewissen Voraussetzungen datenschutzkonform umgesetzt werden kann. Insbesondere wenn die Verarbeitung der personenbezogenen Daten zur Abwicklung des Vertrages erforderlich ist. Es ist jedoch wichtig, dass Mitarbeitende rechtzeitig und umfassend über die Verarbeitung informiert werden.
Versicherer regeln Einwilligung direkt
Geht es dann später im Rahmen der Leistungserbringung durch den Krankenversicherer um Gesundheitsdaten der Mitarbeitenden, so fragt der Versicherer selbst noch einmal nach der ausdrücklichen Einwilligung. Hier ist dann die oben aufgezeigte Lösung über Art. 6 Abs. 1 Satz 1 b) DSGVO nicht mehr möglich, aber auch nicht notwendig, denn die Krankenversicherer haben dafür ihre eingespielten Wege der Zustimmung durch die versicherten Personen. Hier kann man auch diejenigen Mitarbeitenden beruhigen, die befürchten, dass der Arbeitgeber möglicherweise ihre Gesundheitsdaten einsehen könnte. Die eingespielten Verwaltungswege der Versicherer lassen dies nicht zu.
Lesen Sie auch: „Sagen Sie, wie ist es mit dem Datenschutz in der bAV-Beratung?“
Diesen Beitrag lesen Sie auch in AssCompact 05/2025 und in unserem ePaper.
Ann-Christin Schilausky 
- Anmelden, um Kommentare verfassen zu können
