Die Landesdatenschutzbeauftragte hat Untersuchungen gegen zehn Versicherungen in Nordrhein-Westfalen eingeleitet. Die Unternehmen hätten gemeinsam mit knapp 30 weiteren Versicherern Daten von Kundinnen und Kunden in der Auslandsreisekrankenversicherung auf rechtswidrige Weise untereinander geteilt, erklärte Bettina Gayk am Mittwoch in Düsseldorf. Über einen E-Mailverteiler seien unter anderem Gesundheitsdaten wie medizinische Diagnosen und Daten Minderjähriger ausgetauscht worden.
Über den Verteiler seien die Daten auch an Versicherungen gegangen, die gar keinen Kontakt mit den betroffenen Personen hatten, hieß es. Dabei habe es an Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte gefehlt. Es sei bei dem Austausch darum gegangen, Betrugsfälle aufzudecken und Betrugsmuster zu erkennen. Doch die Art des Austauschs personenbezogener Daten sei rechtswidrig gewesen. „Das Ziel, Versicherungsbetrug aufzudecken, ist legitim“, sagte Gayk. „Aber nicht jeder Zweck heiligt die Mittel.“
Sie betonte, es gebe eine mit den Datenschutzaufsichtsbehörden abgestimmte, seit Jahren im Versicherungssektor etablierte Möglichkeit, sich datenschutzkonform über potenzielle Betrugsfälle auszutauschen. Dieses HIS-System habe klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichere Betroffenenrechte und gebe Löschfristen vor, betonte sie. „Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu.“
Da die Versicherungsunternehmen in zehn Bundesländern und dem europäischen Ausland ansässig seien, wurde laut der NRW-Datenschutzbeauftragten eine gemeinsame koordinierte Prüfung gestartet. Die zehn Unternehmen in NRW seien kontaktiert worden und hätten den rechtswidrigen Austausch abgestellt. Die Prüfung sei noch nicht abgeschlossen.
