

- Startseite
- Versicherungen
-
Versicherungen sollen Kunden-Daten ausgetauscht haben

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (NRW) hat wegen eines rechtswidrigen Austauschs personenbezogener Daten Untersuchungen gegen zehn Versicherungsunternehmen eingeleitet. Um welche Gesellschaften aus dem Bundesland es sich handelt, ist bisher unbekannt.
Fall reicht weit über NRW hinaus
Die Unternehmen hätten aber nach einer Kontaktaufnahme den rechtswidrigen Austausch abgestellt. Dennoch ist die Prüfung noch nicht abgeschlossen. Bei Datenschutzverstößen können die Behörden Bußgelder verhängen.
„Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kunden in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, berichtet die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde laut der Beauftragten eine gemeinsame, koordinierte Prüfung gestartet.
Auch Daten von Minderjährigen betroffen
Zum Austausch der Daten nutzten die Versicherer einen geschlossenen E-Mailverteiler, auf dem meist mehrere Beschäftigte der beteiligten Unternehmen registriert waren, heißt es in der Mitteilung der Landesdatenschutzbeauftragten. Betroffen waren demnach fast ausschließlich Versicherungsfälle in der Auslandsreisekrankenversicherung.
Weiter heißt es: „Über diesen Verteiler wurden auch Gesundheitsdaten wie etwa medizinische Diagnosen sowie Daten minderjähriger Personen ausgetauscht. So gingen die Daten auch an Versicherungen, die gar keinen Kontakt mit den betroffenen Personen hatten. Auch fehlten sonstige Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte.“

Hallo, Herr Kaiser!
Datenschutzkonformer Austausch über potenzielle Betrugsfälle sei möglich
Gayk kritisiert die Unternehmen: „Die Nutzung des E-Mailverteilers erstaunt umso mehr, als es eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit gibt, sich datenschutzkonform über potenzielle Betrugsfälle auszutauschen“.
Dieses „HIS“ genannte System kenne klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichere Betroffenenrechte und sehe Löschfristen vor. Auch sei eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehörten nicht dazu.
Die Landesdatenschutzbeauftragte nimmt nach eigener Aussage an, dass die Versicherer sich zunächst eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht haben. „Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mailverteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können“, so Gayk.
„Das Ziel, Versicherungsbetrug aufzudecken, ist legitim. Das nützt am Ende allen Kunden, die sonst durch Betrug entstandene Kosten in Form erhöhter Prämien zu tragen haben. Aber nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird“, sagt die NRW-Datenschutzbeauftragte.