Mehrere Versicherungsunternehmen haben unter der Hand persönliche Daten von Versicherten ausgetauscht, ohne dass eine DSGVO-Grundlage dafür existiert. Ziel war die Betrugsprävention bei Auslandskrankenversicherungen, aber die Umsetzung war illegal, und es gab sogar ein legales Instrument für diesen Abgleich. Inzwischen hat die Landesdatenschutzbeauftragte in NRW Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet und die Prüfung in anderen Bundesländern sowie im europäischen Ausland angestoßen. Die Praxis des freifliegenden Datenaustauschs "per E-Mail" wurde für NRW inzwischen beendet.
Anzeige
Geheimes Datenkartell der Versicherer
Diverse Versicherungsunternehmen aus Deutschland und dem europäischen Ausland haben unter der Hand ihr eigenes "Betrugspräventionssystem" auf recht hemdsärmelige Art geschaffen. Dazu wurden zwischen ca. 30 Versicherern Daten von Versicherten von Auslandskrankenversicherungen untereinander geteilt.
Der Austausch der Daten erfolgte zwischen den Versichere überr einen geschlossenen E-Mailverteiler, auf dem meist mehrere Beschäftigte der beteiligten Unternehmen registriert waren.
Vom Datenaustausch waren fast ausschließlich Versicherungsfälle in der Auslandsreisekrankenversicherung betroffen. Dabei ergeben sich brisante Details, denn es gab nicht nur keine DSGVO-Grundlage, auf der die Versichertendaten geteilt werden durften.
In den per Verteiler herumgeschickten persönlichen Daten befanden sich auch Gesundheitsdaten wie etwa medizinische Diagnosen sowie Daten minderjähriger Personen. Durch den breiten Verteiler gingen die Daten auch an Versicherungen, die gar keinen Kontakt mit den betroffenen Personen hatten. Auch fehlten sonstige Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte, schreibt die Landesdatenschutzbeauftragte von NRW.
Anzeige
Es gibt eine offizielle Lösung
Wer jetzt argumentiert, die DSGVO behindert und verhindert eine Betrugsbekämpfung, den liegt falsch. Frau Gayk, Landesdatenschutzbeauftragte von NRW, sagt: "Die Nutzung des E-Mailverteilers erstaunt umso mehr, als es eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit gibt, sich datenschutzkonform über potentielle Betrugsfälle auszutauschen. Dieses HIS genannte System kennt klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor. Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu."
Es gibt aber eine Theorie, denn die Landesdatenschutzbeauftragte nimmt an, dass die beteiligten Versicherer sich zunächst eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht haben. "Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mailverteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können", erläutert Gayk. Also das alte Spiel, etwas beginnt klein und unter dem Radar und wächst sich zu einer großen Geschichte aus, die dann auffliegt.
Untersuchung gegen beteiligte Unternehmen
"Das Ziel, Versicherungsbetrug aufzudecken, ist legitim. Das nützt am Ende allen Kunden und Kundinnen, die sonst durch Betrug entstandene Kosten in Form erhöhter Prämien zu tragen haben." sagt Gayk. "Aber nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird."
Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen wegen eines rechtswidrigen Austauschs personenbezogener Daten eingeleitet. In diesen zehn Unternehmen wurde der DSGVO-widrige Austausch von Versichertendaten inzwischen beendet.
Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Die Prüfung ist noch nicht abgeschlossen.
Anzeige
Was für ein Timing.. dazu passt auch dieser Blogeintrag von Fefe:
https://blog.fefe.de/?ts=996e0b4a
Nur ein paar Stichworte: Dienstleister Alles Lægehus… Arztpraxen… Ransomware, die sich gerade durch die Praxen wühlt… Gesundheitsdaten… 100.000+ Betroffene
Läuft!
Ach, die E-Mail-Übertragung der Patientendaten ist doch sicher verschlüsselt und wird jetzt noch besser, wie man auch bei Fefe nachlesen kann: https://blog.fefe.de/?ts=996e217e
Und hier hat jeder Arzt und jede Apotheke eine E-Mail-Adresse, über die man einfach z. B. die Medikamentenliste und andere Daten bequem austauschen kann …
Völlig überraschend, also wenn man sehr naiv durchs Leben geht. Wurde hier in anderweitigen Kommentaren als absolut unmöglich und Verschwörungstheorie bezeichnet, wenn man auf solche Schattendatenhaltungen und Folgen daraus hingeweisen hatte, wenn mal wieder jemand "nichts zu verbergen" hatte, nun denn…
Wie wurde das Kartell aufgedeckt? Da muss es einen Maulwurf geben oder?
Wer mit Versicherungen zu tun hat, weiß, dass es vordergründig schön ausschaut (papertechnisch), dahinter tun sich Abgründe auf.
Ich habe meine PKV heute ergänzend angeschrieben und mal freundlichst nachgefragt, ob ich auch Geschädigter dieses Kartells bin.
Wundern tut mich da nix mehr.
Welche Versicherungen sind denn beteiligt?
Die Primärquelle gibt es hier: LDI NRW (die hat Günter weggelassen :-) )