Datenkartell aufgedeckt
23.01.2025
Bettina Gayk, Landesdatenschutzbeauftragte NRW / Foto: © LDI NRW / Caroline Seidel
Die Landesdatenschutzbeauftragte in NRW hat Untersuchungen gegen zehn Versicherungsunternehmen in Nordrhein-Westfalen eingeleitet wegen eines rechtswidrigen Austauschs personenbezogener Daten. „Konkret haben die Unternehmen gemeinsam mit knapp 30 weiteren Versicherern Daten von Kunden in der Auslandsreisekrankenversicherung untereinander geteilt, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen“, erläutert die Landesdatenschutzbeauftragte, Bettina Gayk. Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet.
Zum Austausch der Daten nutzten die Versicherer einen geschlossenen E-Mailverteiler, auf dem meist mehrere Beschäftigte der beteiligten Unternehmen registriert waren. Betroffen waren fast ausschließlich Versicherungsfälle in der Auslandsreisekrankenversicherung. Über diesen Verteiler wurden auch Gesundheitsdaten wie etwa medizinische Diagnosen sowie Daten minderjähriger Personen ausgetauscht. So gingen die Daten auch an Versicherungen, die gar keinen Kontakt mit den betroffenen Personen hatten. Auch fehlten sonstige Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte.
„Die Nutzung des E-Mailverteilers erstaunt umso mehr, als es eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit gibt, sich datenschutzkonform über potentielle Betrugsfälle auszutauschen“, kritisiert Gayk die Unternehmen. „Dieses „HIS“ genannte System kennt klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor. Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu.
Die Landesdatenschutzbeauftragte nimmt an, dass die Versicherer sich zunächst eher abstrakt und unabhängig von konkreten Fällen über Betrugsmuster ausgetauscht haben. „Wir gehen davon aus, dass über die Jahre hinweg dann jedoch mehr daraus wurde und die Unternehmen den Weg über den E-Mailverteiler genutzt haben, um sich auch über konkrete Verdachtsfälle austauschen zu können“, erläutert Gayk.
Die Landesbeauftragte hat die zehn nordrhein-westfälischen Unternehmen kontaktiert und konnte den rechtswidrigen Austausch abstellen. Die Prüfung ist noch nicht abgeschlossen. (mho)
„Wirtschaftswarntag“: BVK ruft zur Demonstration auf
