Die Landesdatenschutzbeauftragte in NRW hat gegen zehn Versicherungsunternehmen Untersuchungen eingeleitet. Der Vorwurf: rechtswidriger Austausch hochsensibler Kundendaten – darunter auch Gesundheitsdaten und Informationen Minderjähriger.
Ein gravierender Datenschutzskandal erschüttert die Versicherungsbranche in Nordrhein-Westfalen. Wie die Landesdatenschutzbeauftragte Bettina Gayk mitteilt, haben zehn Versicherungsunternehmen personenbezogene Daten in der Auslandsreisekrankenversicherung unerlaubt miteinander geteilt. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kunden ausgetauscht, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, so Gayk. Der rechtswidrige Austausch wurde über einen geschlossenen E-Mailverteiler organisiert, an dem meist mehrere Beschäftigte der Unternehmen beteiligt waren.
Besonders brisant: Über den Verteiler wurden nicht nur allgemeine Kundendaten, sondern auch hochsensible Gesundheitsdaten sowie Informationen Minderjähriger weitergegeben. Diese Daten erreichten sogar Unternehmen, die keinerlei Kontakt zu den betroffenen Personen hatten. Datenschutzvorkehrungen oder Maßnahmen zur Wahrung der Betroffenenrechte fehlten völlig.
Dabei gibt es im Versicherungssektor bereits seit Jahren ein datenschutzkonformes System, das den Austausch bei Betrugsfällen regelt. „Dieses HIS genannte System kennt klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor“, kritisiert Gayk. Sie zeigt sich erstaunt, dass stattdessen ein ungesicherter E-Mailverteiler genutzt wurde.
Die Untersuchung gegen die zehn betroffenen Unternehmen aus Nordrhein-Westfalen ist noch nicht abgeschlossen. Der rechtswidrige Austausch konnte jedoch bereits gestoppt werden.
Der PKV-Verband betonte in einer Stellungnahme, dass die Ermittlungen „offenbar gegen einzelne Mitgliedsunternehmen“ gerichtet seien und der Verband selbst nicht beteiligt sei. „Weil wir kein Verfahrensbeteiligter sind, können wir auch keinerlei inhaltliche Bewertung abgeben. Ohnehin sind öffentliche Stellungnahmen zu laufenden Ermittlungsverfahren generell nicht angebracht.“
Für Bettina Gayk steht fest: „Das Ziel, Versicherungsbetrug aufzudecken, ist legitim. Aber nicht jeder Zweck heiligt die Mittel – schon gar nicht, wenn dabei die Privatsphäre unbescholtener Versicherungsnehmer gravierend verletzt wird.“
Update: Der vorletzte Abschnitt mit dem Statement des PKV-Verbands wurde nachträglich eingefügt.