„Datenkartell“ in der Versicherungsbranche
Die Landesdatenschutzbeauftragte in Nordrhein-Westfalen (LDI NRW) hat laut einer Mitteilung vom 22.01.2025 Untersuchungen aufgrund eines massiven Datenschutzerstoßes gestartet. In der Versicherungsbranche soll ein „Datenkartell“ bestehend aus fast 30 Unternehmen personenbezogene Daten, darunter auch Gesundheitsdaten, über einen geschlossenen E-Mailverteiler ausgetauscht haben. Zehn dieser Unternehmen sind in NRW ansässig. Konkret sollen Daten von Auslandskrankenversicherten ausgetauscht worden seien, um Betrug aufzudecken und illegale Verhaltensmuster zu identifizieren.
Datenaustausch zur Betrugsaufdeckung
Grund der Ermittlungen soll der rechtswidrige Austausch von personenbezogenen Daten über einen geschlossenen E-Mailverteiler sein. In der Regel hätten mehrere Mitarbeiter des jeweilige Unternehmens Zugriff auf diesen gehabt. Vorrangig ginge es um Versicherte in der Auslandsreisekrankenversicherung, wobei die geteilten Informationen unter anderem medizinische Diagnosen und Informationen minderjähriger Personen umfasst haben sollen. Dies habe dazu geführt, dass auch Versicherungsunternehmen Daten von Personen erhalten hätten, zu denen gar keine direkten Kundenbeziehungen bestanden habe. Die Aufsichtsbehörde kritisiert zudem das Fehlen grundlegender Schutzmaßnahmen und die Möglichkeit der Geltendmachung von Betroffenenrechten.
Zielsetzung vs. Datenschutz
Die Versicherer rechtfertigen den Austausch mit der Absicht, Betrugsfälle erkennen und präventive Maßnahmen entwickeln zu wollen. Tatsächlich ist dies ein legitimes Anliegen, das sowohl den Unternehmen als auch den Versicherten zugutekommt, erklärt die LDI NRW. Dennoch sei der Zweck allein nicht ausreichend, um eine derart weitreichende Verarbeitung personenbezogener Daten zu legitimieren. Gesundheitsdaten sind nämlich nach Art. 9 Datenschutzgrundverordnung (DSGVO) besonders geschützt und laut der LDI NRW können auch unbescholtene Versicherungsnehmer betroffen sein.
Alternative Systeme: Der datenschutzkonforme Weg war bekannt
Die LDI NRW, Bettina Gayk, wundert sich in ihrer Pressemitteilung über das Vorgehen der Versicherungen. Bereits seit Jahren existiere mit dem „HIS-System“ (Hinweis- und Informationssystem) eine Lösung, die von der Versicherungsbranche in Zusammenarbeit mit Datenschutzaufsichtsbehörden entwickelt wurde. Dieses System erlaube es, sich rechtmäßig über potenzielle Betrugsfälle auszutauschen. Das HIS-System zeichnet sich durch „klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen [aus], sichert Betroffenenrechte und sieht Löschfristen vor“, so die LDI NRW. Auch regle es unmissverständlich, dass hochsensible Gesundheitsdaten nicht verarbeitet werden dürfen.
Deshalb geht die LDI NRW davon aus, „dass die Versicherer sich zunächst eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht haben“. Sie vermutet, dass sich im Laufe der Jahre daraus mehr entwickelt hat und irgendwann ein Austausch über konkrete Verdachtsfälle stattgefunden hat.
Untersuchungen der Datenschutzbehörden
Die insgesamt 30 Versicherungsunternehmen säßen in zehn verschiedenen Bundesländern und auch im EU-Ausland. Deshalb hat die LDI NRW in Zusammenarbeit mit den weiteren deutschen und europäischen Aufsichtsbehörden eine koordinierte Prüfung begonnen. Für die zehn Unternehmen aus NRW ist sie in diesem Zusammenhang selbst zuständig. Sie habe mittlerweile zu diesen Kontakt aufnehmen und den Datenschutzverstoß stoppen können. Allerdings dauere die Prüfung noch an.
Fazit
Der Skandal über das „Datenkartell“ in der Versicherungsbranche ist ein Lehrstück dafür, wie sorgsam der Umgang mit personenbezogenen Daten sein muss – insbesondere in Branchen, die mit besonders geschützten Gesundheitsdaten arbeiten. Unternehmen, die auf unsichere oder rechtswidrige Verfahren zurückgreifen, riskieren nicht nur Bußgelder und Schadensersatzklagen, sondern auch das Vertrauen ihrer Kunden. Auch zeigt der Fall, dass in der Regel datenschutzkonforme Lösungen existieren, um Unternehmensinteressen zu befriedigen. Bei der Identifizierung solcher hilft eine maßgeschneiderte Rechtsberatung durch einen Externen Datenschutzbeauftragten.