Whitebird
Mehrere Versicherer sollen illegal Daten ausgetauscht haben
Laut der Landesdatenschutzbeauftragten von NRW haben mehrere Versicherungsunternehmen rechtswidrig Gesundheitsdaten per E-Mail ausgetauscht.
Marc Stöckel
23. Januar 2025, 9:21 Uhr
Zehn Versicherungsunternehmen aus Nordrhein-Westfalen sollen rechtswidrig personenbezogene Daten ausgetauscht haben. Ziel des Datenaustausches war es, Betrugsfälle aufzudecken – vor allem solche, die mit Auslandsreisekrankenversicherungen in Verbindung stehen. Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) von NRW, hat Untersuchungen eingeleitet und spricht von einem "Datenkartell".
In einer Mitteilung der LDI heißt es, der Austausch sei über einen geschlossenen E-Mail-Verteiler erfolgt. Darüber seien meist mehrere Beschäftigte der beteiligten Unternehmen adressiert worden. Zu den übermittelten Daten zählen den Angaben nach auch solche von Minderjährigen sowie Gesundheitsdaten, einschließlich medizinischer Diagnosen.
Teilweise seien diese Daten über den E-Mail-Verteiler auch an Versicherungen übermittelt worden, die gar nicht mit den betroffenen Personen in Kontakt standen. Obendrein war der Datenaustausch wohl nicht auf die zehn Versicherer aus NRW beschränkt. 30 weitere Versicherungsunternehmen aus anderen Bundesländern und dem europäischen Ausland sollen beteiligt gewesen sein.
Privatsphäre der Versicherten missachtet
Gayk kritisiert, dass für den per E-Mail erfolgten Datenaustausch keinerlei Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte getroffen wurden. Dabei gibt es seit Jahren eine im Versicherungssektor etablierte Möglichkeit zum datenschutzkonformen Austausch über mögliche Betrugsfälle.
Dieses HIS (Hinweis- und Informationssystem der Versicherungswirtschaft) genannte System kenne "klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor. Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu", schreibt die LDI von NRW.
Das Ziel, Versicherungsbetrug aufzudecken, sei zwar legitim, "aber nicht jeder Zweck heiligt die Mittel". Dies gelte insbesondere dann, wenn die Privatsphäre unbescholtener Versicherungsnehmer verletzt wird.
Bei den zehn Unternehmen aus NRW konnte der rechtswidrige Datenaustausch bereits abgestellt werden. Die Untersuchungen des Vorfalls dauern jedoch noch an. Auch die übrigen beteiligten Unternehmen außerhalb von NRW dürften Probleme bekommen. Der Mitteilung zufolge wurde eine gemeinsam koordinierte Prüfung gestartet.
quelle: golem.de
Laut der Landesdatenschutzbeauftragten von NRW haben mehrere Versicherungsunternehmen rechtswidrig Gesundheitsdaten per E-Mail ausgetauscht.
Marc Stöckel
23. Januar 2025, 9:21 Uhr
Zehn Versicherungsunternehmen aus Nordrhein-Westfalen sollen rechtswidrig personenbezogene Daten ausgetauscht haben. Ziel des Datenaustausches war es, Betrugsfälle aufzudecken – vor allem solche, die mit Auslandsreisekrankenversicherungen in Verbindung stehen. Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) von NRW, hat Untersuchungen eingeleitet und spricht von einem "Datenkartell".
In einer Mitteilung der LDI heißt es, der Austausch sei über einen geschlossenen E-Mail-Verteiler erfolgt. Darüber seien meist mehrere Beschäftigte der beteiligten Unternehmen adressiert worden. Zu den übermittelten Daten zählen den Angaben nach auch solche von Minderjährigen sowie Gesundheitsdaten, einschließlich medizinischer Diagnosen.
Teilweise seien diese Daten über den E-Mail-Verteiler auch an Versicherungen übermittelt worden, die gar nicht mit den betroffenen Personen in Kontakt standen. Obendrein war der Datenaustausch wohl nicht auf die zehn Versicherer aus NRW beschränkt. 30 weitere Versicherungsunternehmen aus anderen Bundesländern und dem europäischen Ausland sollen beteiligt gewesen sein.
Privatsphäre der Versicherten missachtet
Gayk kritisiert, dass für den per E-Mail erfolgten Datenaustausch keinerlei Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte getroffen wurden. Dabei gibt es seit Jahren eine im Versicherungssektor etablierte Möglichkeit zum datenschutzkonformen Austausch über mögliche Betrugsfälle.
Dieses HIS (Hinweis- und Informationssystem der Versicherungswirtschaft) genannte System kenne "klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, sichert Betroffenenrechte und sieht Löschfristen vor. Auch ist eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu", schreibt die LDI von NRW.
Das Ziel, Versicherungsbetrug aufzudecken, sei zwar legitim, "aber nicht jeder Zweck heiligt die Mittel". Dies gelte insbesondere dann, wenn die Privatsphäre unbescholtener Versicherungsnehmer verletzt wird.
Bei den zehn Unternehmen aus NRW konnte der rechtswidrige Datenaustausch bereits abgestellt werden. Die Untersuchungen des Vorfalls dauern jedoch noch an. Auch die übrigen beteiligten Unternehmen außerhalb von NRW dürften Probleme bekommen. Der Mitteilung zufolge wurde eine gemeinsam koordinierte Prüfung gestartet.
quelle: golem.de
