Versicherern wird illegaler Datenaustausch vorgeworfen

Bildquelle: fernando zhiminaicela/Pixabay
Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen hat Untersuchungen gegen zehn Versicherer im Zusammenhang mit dem unzulässigen Austausch personenbezogener Daten eingeleitet. Konkret sollen die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kunden in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen. Es handelt sich um Gesellschaften mit Sitz in zehn Bundesländern sowie im europäischen Ausland.
Die Unternehmen nutzten für den Datenaustausch einen geschlossenen E-Mail-Verteiler, auf dem häufig mehrere Mitarbeitende der beteiligten Unternehmen registriert waren. Im Fokus standen vor allem Fälle aus der Auslandsreisekrankenversicherung. Über den Verteiler wurden auch sensible Gesundheitsdaten, wie medizinische Diagnosen, sowie Daten minderjähriger Personen weitergegeben. Dabei erhielten auch Versicherer Zugriff auf Informationen, die keinen direkten Kontakt zu den Betroffenen hatten. Zudem fehlten angemessene Maßnahmen zum Schutz der Daten oder zur Wahrung der Rechte der betroffenen Personen.
Landesdatenschutzbeauftragte Bettina Gayk kritisierte den Einsatz des E-Mail-Verteilers, da bereits ein etabliertes und datenschutzkonformes System namens HIS (Hinweis- und Informationssystem) existiert, das in Zusammenarbeit mit Datenschutzbehörden entwickelt wurde. Dieses System verfügt über klare Regelungen für Abfragen, Ein- und Austragungen, schützt die Rechte der Betroffenen und definiert Löschfristen. Zudem sei genau festgelegt, welche personenbezogenen Daten verarbeitet werden dürfen. Hochsensible Gesundheitsdaten gehören ausdrücklich nicht dazu.
Weil die betroffenen Gesellschaften in zehn Bundesländern sowie im europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet.
Die Datenschutzbeauftragte glaubt, dass die Versicherer den E-Mail-Verteiler zunächst dazu genutzt haben, abstrakte Betrugsmuster zu analysieren und ausgetauscht zu haben. „Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mailverteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können“, erläutert Gayk.
Die betroffenen Unternehmen in Nordrhein-Westfalen wurden kontaktiert und man habe den unzulässigen Datenaustausch gestoppt. Die Prüfung der Vorfälle sei allerdings noch nicht abgeschlossen.
Gayk betonte, dass das Ziel, Versicherungsbetrug aufzudecken, grundsätzlich legitim sei, da es langfristig allen Versicherungsnehmern zugutekomme. Die Privatsphäre der Betroffenen dürfe dabei nicht verletzt werden. „Nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird.“
Die Namen der im Fall involvierten Versicherer sind nicht bekannt.
Autor: VW-Redaktion