Datenkartell aufgeflogen: Versicherer teilen persönliche Versichertendaten

Mehrere Versicherungsunternehmen haben unter der Hand persönliche Daten von Versicherten ausgetauscht, ohne dass eine DSGVO-Grundlage dafür existiert. Ziel war die Betrugsprävention bei Auslandskrankenversicherungen, aber die Umsetzung war illegal, und es gab sogar ein legales Instrument für diesen Abgleich. Inzwischen hat die Landesdatenschutzbeauftragte in NRW Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet und die Prüfung in anderen Bundesländern sowie im europäischen Ausland angestoßen. Die Praxis des freifliegenden Datenaustauschs "per E-Mail" wurde für NRW inzwischen beendet.

Geheimes Datenkartell der Versicherer

Diverse Versicherungsunternehmen aus Deutschland und dem europäischen Ausland haben unter der Hand ihr eigenes "Betrugspräventionssystem" auf recht hemdsärmelige Art geschaffen. Dazu wurden zwischen ca. 30 Versicherern Daten von Versicherten von Auslandskrankenversicherungen untereinander geteilt.

Der Austausch der Daten erfolgte zwischen den Versichere überr einen geschlossenen E-Mailverteiler, auf dem meist mehrere Beschäftigte der beteiligten Unternehmen registriert waren.

Vom Datenaustausch waren fast ausschließlich Versicherungsfälle in der Auslandsreisekrankenversicherung betroffen. Dabei ergeben sich brisante Details, denn es gab nicht nur keine DSGVO-Grundlage, auf der die Versichertendaten geteilt werden durften.

In den per Verteiler herumgeschickten persönlichen Daten befanden sich auch Gesundheitsdaten wie etwa medizinische Diagnosen sowie Daten minderjähriger Personen. Durch den breiten Verteiler gingen die Daten auch an Versicherungen, die gar keinen Kontakt mit den betroffenen Personen hatten. Auch fehlten sonstige Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte, schreibt die Landesdatenschutzbeauftragte von NRW.

Es gibt eine offizielle Lösung

Wer jetzt argumentiert, die DSGVO behindert und verhindert eine Betrugsbekämpfung, den liegt falsch. Frau Gayk, Landesdatenschutzbeauftragte von NRW, sagt: "Die Nutzung des E-Mailverteilers erstaunt umso mehr, als es eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit gibt, sich datenschutzkonform über potentielle Betrugsfälle auszutauschen. Dieses HIS genannte System kennt klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor. Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu."

Es gibt aber eine Theorie, denn die Landesdatenschutzbeauftragte nimmt an, dass die beteiligten Versicherer sich zunächst eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht haben. "Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mailverteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können", erläutert Gayk. Also das alte Spiel, etwas beginnt klein und unter dem Radar und wächst sich zu einer großen Geschichte aus, die dann auffliegt.

Untersuchung gegen beteiligte Unternehmen

"Das Ziel, Versicherungsbetrug aufzudecken, ist legitim. Das nützt am Ende allen Kunden und Kundinnen, die sonst durch Betrug entstandene Kosten in Form erhöhter Prämien zu tragen haben." sagt  Gayk.  "Aber nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird."

Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen wegen eines rechtswidrigen Austauschs personenbezogener Daten eingeleitet. In diesen zehn Unternehmen wurde der DSGVO-widrige Austausch von Versichertendaten inzwischen beendet.

Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Die Prüfung ist noch nicht abgeschlossen.