Versicherungen und Datenschutz: Unzulässiger Austausch von Kundendaten aufgedeckt
In Nordrhein-Westfalen (NRW) wurde ein bedeutender Datenschutzverstoß in der Versicherungsbranche aufgedeckt. Zehn Versicherungsunternehmen aus NRW und fast 30 weitere aus anderen Bundesländern sowie dem europäischen Ausland sollen personenbezogene Daten ihrer Kunden rechtswidrig ausgetauscht haben. Dieser Austausch betraf vor allem sensible Gesundheitsdaten von Kunden der Auslandsreisekrankenversicherung.
Hintergrund des Datenaustauschs
Die betroffenen Versicherungsunternehmen nutzten einen geschlossenen E-Mail-Verteiler, über den sie Informationen teilten. Dieser Verteiler war so eingerichtet, dass mehrere Mitarbeiter der beteiligten Unternehmen Zugriff hatten. Über diesen Kanal wurden nicht nur allgemeine Daten, sondern auch sensible Gesundheitsinformationen wie medizinische Diagnosen sowie Daten von minderjährigen Kunden ausgetauscht. Problematisch dabei ist, dass diese Daten auch an Versicherungen gelangten, die keine direkte Kundenbeziehung zu den betroffenen Personen hatten.
Ziel des Austauschs: Betrugsprävention
Die Versicherer gaben an, durch den Datenaustausch Betrugsfälle aufdecken und Betrugsmuster erkennen zu wollen. Zwar ist die Aufdeckung von Versicherungsbetrug ein legitimes Anliegen, jedoch müssen dabei die Datenschutzrechte der Kunden gewahrt bleiben. In diesem Fall wurden jedoch grundlegende Schutzmaßnahmen vernachlässigt, und die Rechte der betroffenen Personen wurden nicht ausreichend berücksichtigt.
Alternative: Das HIS-System
Erstaunlich ist, dass es bereits seit Jahren ein mit den Datenschutzaufsichtsbehörden abgestimmtes System gibt, das einen datenschutzkonformen Austausch über potenzielle Betrugsfälle ermöglicht: das Hinweis- und Informationssystem (HIS). Dieses System verfügt über klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert die Rechte der Betroffenen und sieht Löschfristen vor. Zudem ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu.
Reaktion der Datenschutzbehörden
Aufgrund des rechtswidrigen Datenaustauschs hat die Landesdatenschutzbeauftragte von NRW, Bettina Gayk, Untersuchungen gegen die beteiligten Unternehmen eingeleitet. Da die betroffenen Versicherer in zehn Bundesländern und dem europäischen Ausland ansässig sind, wurde eine gemeinsame koordinierte Prüfung gestartet. Die Landesdatenschutzbeauftragte hat die zehn nordrhein-westfälischen Unternehmen kontaktiert und konnte den rechtswidrigen Austausch abstellen. Die Prüfung ist jedoch noch nicht abgeschlossen.
Der Vorfall zeigt, wie wichtig der Schutz personenbezogener Daten ist, insbesondere wenn es sich um sensible Gesundheitsinformationen handelt. Unternehmen müssen sicherstellen, dass sie datenschutzkonforme Wege nutzen, um ihre legitimen Interessen zu verfolgen. Der Einsatz unsicherer oder rechtswidriger Verfahren kann nicht nur zu Bußgeldern und Schadensersatzklagen führen, sondern auch das Vertrauen der Kunden nachhaltig schädigen. Es ist daher unerlässlich, bestehende, datenschutzkonforme Systeme wie das HIS zu nutzen und die Privatsphäre der Kunden zu respektieren.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
