Drucksache 17/13000
10.4
134 –
–
–– 134
Datenschutz in der Versicherungswirtschaft
Im Berichtszeitraum konnten wesentliche Verbesserungen
beim Datenschutz in der Versicherungswirtschaft erreicht
werden.
Über viele Jahre musste ich in meinen Tätigkeitsberichten
feststellen, dass dringend notwendige Verbesserungen
beim Datenschutz in der Versicherungswirtschaft auf sich
warten lassen und die Gespräche zwischen den Datenschutzaufsichtsbehörden und dem Gesamtverband der
Deutschen Versicherungswirtschaft (GDV) nur langsam
vorankommen (vgl. 22. TB Nr. 3.4.7, 23. TB Nr. 10.7).
Erfreulicherweise kann ich nun gleich zu mehreren Punkten über eine erfolgreiche Erhöhung des Datenschutzniveaus bei der Verarbeitung personenbezogener Daten
durch Versicherungsunternehmen berichten.
Mit einer neuen Einwilligungs- und Schweigepflichtentbindungserklärung für die Erhebung und Verwendung
von Gesundheitsdaten, der Entwicklung von Verhaltensregeln für den Umgang mit personenbezogenen Daten
nach § 38a BDSG sowie mit der Umstellung des Hinweis- und Informationssystems (HIS) auf eine neue rechtliche Grundlage wurden fundamentale Voraussetzungen
für eine datenschutzgerechte Datenverarbeitung in der
Versicherungswirtschaft geschaffen.
Neue Einwilligungs- und Schweigepflichtentbindungserklärung
Für die Erhebung, Verarbeitung und Nutzung von Gesundheitsdaten durch Versicherungen ist weder im Bundesdatenschutzgesetz noch im Versicherungsvertragsgesetz eine Rechtsgrundlage enthalten. Aus diesem Grund
bedarf es stets einer datenschutzrechtlichen Einwilligung
des Versicherungsnehmers sowie einer Schweigepflichtentbindungserklärung. Die von den Versicherungsunternehmen bisher verwendete Musterklausel genügte schon
seit langem nicht mehr den gesetzlichen Anforderungen
des § 4a BDSG und entsprach auch nicht den Vorgaben,
die das Bundesverfassungsgericht in einem Beschluss
vom 23. Oktober 2006 für eine wirksame Schweigepflichtentbindungserklärung gemacht hat (vgl. 21. TB
Nr. 9.6).
In langwierigen und zähen Verhandlungen haben sich die
Datenschutzaufsichtsbehörden und der GDV gemeinsam bemüht, die Einwilligungs- und Schweigepflichtentbindungserklärungen nicht nur gesetzeskonform, sondern auch transparenter zu gestalten. Erst im Jahr 2011
konnte Einigung über eine neue Mustererklärung erzielt
werden, die bei einwilligungsbedürftigen Datenerhebungs- und -verwendungsprozessen einzuholen ist. Nach
den entsprechenden Anwendungshinweisen ist die Klausel zudem in regelmäßigen Abständen vom GDV und den
Aufsichtsbehörden gemeinsam zu überarbeiten, um aktuelle Entwicklungen der Datenverarbeitung und gesetzli-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
che Änderungen zu berücksichtigen. Der Düsseldorfer
Kreis, ein Koordinierungsgremium aller Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich,
hat diese Mustererklärung mit Beschluss vom 17. Januar
2012 (s. Anlage 8) gebilligt und veröffentlicht.
Die neue Mustererklärung wird flankiert durch Verhaltensregeln für den Umgang mit personenbezogenen Daten in der Versicherungswirtschaft (s. u.).
Hinweis- und Informationssystem (HIS)
Im 23. TB (Nr. 10.7) habe ich bereits über die vom GDV
geplante Neukonzeption eines Hinweis- und Informationssystems (HIS) berichtet, die das alte Warnsystem
„Uniwagnis“ ablösen und dazu beitragen sollte, einen datenschutzrechtswidrigen Zustand (vgl. 21. TB Nr. 9.5) zu
beenden. Die Umstellung ist im Berichtszeitraum abgeschlossen worden. Am 1. April 2011 hat die Versicherungswirtschaft für die verschiedenen Versicherungssparten das in enger Abstimmung zwischen dem GDV und
der AG Versicherungswirtschaft des Düsseldorfer Kreises
entwickelte Hinweis- und Informationssystem (HIS) in
Betrieb genommen, das als Auskunftei von der Firma informa Insurance Risk and Fraud Prevention GmbH in Baden-Baden betrieben wird.
Das HIS dient der Risikobeurteilung im Antragsfall, zur
Sachverhaltsaufklärung bei der Leistungsprüfung sowie
der Bekämpfung von Versicherungsmissbrauch. Rechtsgrundlagen sind § 28 Absatz 1 Nummer 2 BDSG für die
Einmeldung personenbezogener Daten in das System und
§ 29 BDSG für die geschäftsmäßige Erhebung und Speicherung zum Zweck der Übermittlung. Liegen festgelegte
Kriterien vor, werden in das System Auffälligkeiten aus
Versicherungsfällen eingemeldet, z. B. atypische Schadenshäufigkeiten, besondere Schadensfolgen oder erschwerte
Risiken.
Die Versicherungsunternehmen können Informationen
zur Risikoprüfung im Antragsbereich und zur Schadensfallprüfung im Leistungsbereich im automatisierten Verfahren abrufen. Sämtliche Abfragen werden protokolliert
und stichprobenartig überprüft. Antrags- und Leistungsbereich sowie die einzelnen Versicherungssparten sind
streng voneinander getrennt. Besondere Arten von personenbezogenen Daten, wie z. B. Gesundheitsdaten, werden nicht an das HIS gemeldet.
Die Betroffenen werden von der Versicherung über die
Einmeldung ihrer Daten benachrichtigt. Dadurch können
sie frühzeitig bei der Auskunftei einen Antrag auf Selbstauskunft stellen, wenn sie Einzelheiten über die zu ihrer
Person gespeicherten Daten wissen wollen.
Die zuständige baden-württembergische Datenschutzaufsichtsbehörde hat sich vor der Inbetriebnahme des Systems davon überzeugt, dass HIS den datenschutzrechtlichen Anforderungen Rechnung trägt.