Die Landesdatenschutzbeauftragte in Nordrhein-Westfalen (NRW) hat Untersuchungen gegen zehn Versicherer aus NRW eingeleitet. Der Verdacht: Sie haben personenbezogene Gesundheitsdaten ausgetauscht.
„Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kundinnen und Kunden in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Das geht aus einer Mitteilung der Behörde hervor. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, hat sie eine gemeinsame koordinierte Prüfung gestartet.
Die Versicherer sollen sich gegenseitig über Versicherungsfälle in der Auslandsreisekrankenversicherung informiert haben, so Gayk. Um etwa Gesundheitsdaten wie medizinische Diagnosen und Daten minderjähriger Personen auszutauschen, sollen sie einen geschlossenen E-Mail-Verteiler genutzt haben. Für diesen waren wohl mehrere Beschäftigte der beteiligten Firmen registriert.
Auf diese Weise erhielten auch Personen Zugang zu diesen Daten, die keinen Kontakt mit den betroffenen Personen hatten. Auch auf sonstige Vorkehrungen zum Schutz der Informationen und der Betroffenenrechte haben die Versicherer anscheinend verzichtet.
„Die Nutzung des E-Mail-Verteilers erstaunt umso mehr, als es eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit gibt, sich datenschutzkonform über potenzielle Betrugsfälle auszutauschen“, kritisiert Gayk die Unternehmen. In diesem System gibt es laut Gayk klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen. Auch Löschfristen seien vorgegeben. Es sei auch eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehörten nicht dazu, so die Datenschützerin in der Stellungnahme.
Gayk vermutet, dass die Versicherer sich zunächst „eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht“ hätten. „Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mail-Verteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können“, erklärt sie.
Die Landesbeauftragte hat die zehn nordrhein-westfälischen Unternehmen kontaktiert. Die Firmen haben laut Gayk den rechtswidrigen Austausch beendet. Die Prüfung der Behörde sei aktuell aber noch nicht abgeschlossen, heißt es.
„Das Ziel, Versicherungsbetrug aufzudecken, ist legitim. Das nützt am Ende allen Kundinnen und Kunden, die sonst durch Betrug entstandene Kosten in Form höherer Prämien tragen müssen. Aber nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird“, so Gayk.
Angaben, um welche Versicherer es sich konkret handelt, machte die Behörde in dem Statement nicht.
