Drucksache 17/13000
240 –
–
–– 240
Deutscher Bundestag – 17. Wahlperiode
24
Sollen Gesundheitsdaten an den Rückversicherer des Rückversicherers übermittelt werden,
ist eine spezielle Einwilligung zu prüfen.
25
Für die Kumulkontrolle ist eine Schweigepflichtentbindung erforderlich, da nach § 203 StGB
geschützte Daten weitergegeben werden, jedoch keine Gesundheitsdaten.
26
Die Unterrichtungspflicht des Erstversicherers ersetzt die anderenfalls von den Datenschutzbehörden geforderte ausführliche Erklärung entsprechend dem Baustein 2.1. zur Erhebung von
Gesundheitsdaten bei Dritten. Zu unterrichten ist über die konkret übermittelten Daten, den
Zweck der Übermittlung und den Empfänger der Daten.
27
Da keine einwilligungsbedürftigen besonderen Arten personenbezogener Daten nach § 3
Abs. 9 BDSG (Gesundheitsdaten) an das HIS gemeldet werden, betrifft die Schweigepflichtentbindung nur die nach § 203 StGB geschützten Daten, hier etwa die Tatsache, dass ein Versicherungsvertrag besteht.
Da nur die Sparten Unfall und Leben von § 203 Abs. 1 Nr. 6 StGB erfasst werden und mit dem
HIS arbeiten, ist der Passus für die anderen Sparten zu streichen. Im Fall der Nutzung ist die
Information des Versicherungsnehmers über das Hinweis- und Informationssystem dann in anderer Weise sicherzustellen. Soweit Gesundheitsdaten im Leistungsfall im Rahmen der Detailanfrage ausgetauscht werden, gelten die Einwilligungserklärungen unter 2.1.
28
Ein berechtigtes Interesse für die Abfrage zum Zweck der Risiko- und Leistungsprüfung ist
stets gegeben mit Ausnahme des Erlebensfalls in der Lebensversicherung.
29
Durch die Formulierung „an den jeweiligen Betreiber“ sowie die Aufnahme von „derzeit“ im
ersten Satz des erläuternden Textes wird deutlich gemacht, dass sich der Betreiber des HIS
ändern kann. Die Schweigepflichtentbindungserklärung soll auch künftige Betreiber erfassen.
30
Der Passus ist zu streichen, wenn eine Speicherung von Antragsdaten bei Nichtzustandekommen des Vertrags nicht erfolgt.
Daten über nicht zustande gekommene Verträge sind bei dem Versicherungsunternehmen spätestens drei Jahre gerechnet vom Ende des Kalenderjahres nach Antragstellung zu löschen.
Auch im Hinweis- und Informationssystem werden diese Daten entsprechend gelöscht.
Gesetzliche Aufbewahrungspflichten oder -befugnisse bleiben hiervon unberührt. Werden
Schadensersatzansprüche gegen das Unternehmen geltend gemacht oder bei Prüfungen durch
Behörden kann sich eine längere Aufbewahrung auch aus § 28 Abs. 6 Nr. 3 BDSG rechtfertigen.
31
Es zählt das Datum der Unterschrift im Antrag.
32
Die Nutzung ist nur zu eigenen Zwecken des Versicherers zulässig. Die Übermittlung an ein
anderes Unternehmen ist nur auf der Basis einer von diesem einzuholenden Einwilligung/Schweigepflichtentbindung nach Ziffer 2.1. zulässig.
Seite 12 von 12
BfDI 24. Tätigkeitsbericht 2011-2012