In den letzten Tagen sorgt eine Nachricht aus Nordrhein-Westfalen für Aufsehen: Mehrere Versicherungsunternehmen sollen illegal Gesundheitsdaten ihrer Kunden per E-Mail ausgetauscht haben, um Betrug aufzudecken. Doch was genau ist passiert und was bedeutet das für uns als Verbraucher? Wir klären auf, was wir über den Vorfall wissen und was Sie darüber denken sollten.

Worum geht es genau?

Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen hat offiziell Ermittlungen eingeleitet, nachdem herauskam, dass rund zehn Versicherungsunternehmen Kundendaten, darunter auch sensible Gesundheitsdaten, untereinander per E-Mail geteilt haben. Und das nicht etwa in einer sicheren und rechtlich abgesicherten Weise, sondern über einen sogenannten „E-Mail-Verteiler“, bei dem mehrere Mitarbeitende der beteiligten Unternehmen Zugriff hatten.

Zu den geteilten Informationen gehörten unter anderem medizinische Diagnosen und auch Daten von minderjährigen Versicherten. Ein zusätzlicher Schock: Es sollen nicht nur Unternehmen aus Nordrhein-Westfalen betroffen sein, sondern auch Versicherer aus anderen Bundesländern und dem Ausland, was eine groß angelegte Untersuchung der Behörden erforderlich machte.

Warum ist das ein Problem?

Die Absicht der Versicherer war klar: Sie wollten Betrugsfälle aufdecken und verhindern, dass kriminelle Machenschaften innerhalb des Versicherungssystems unentdeckt bleiben. Aber hier liegt der Haken: Der Weg, den die Unternehmen gewählt haben, ist alles andere als datenschutzkonform. Es gibt schon längst etablierte Verfahren, bei denen Versicherungen Informationen über Betrugsverdächtige sicher und rechtlich abgesichert austauschen können. Warum also dieser riskante Schritt?

Laut Bettina Gayk, der Datenschutzbeauftragten, ist es besonders erstaunlich, dass dieser Datenaustausch über E-Mails erfolgte, obwohl längst andere Lösungen vorhanden sind, um solche Informationen datenschutzkonform zu teilen. Der Vorwurf wiegt schwer: Trotz der legitimen Absicht, Betrug zu verhindern, wurde hier die Privatsphäre unschuldiger Versicherter missachtet. Denn auch wenn ein Versicherungsbetrug aufgedeckt wird, dürfen die Rechte und der Schutz der betroffenen Personen nicht leichtfertig auf der Strecke bleiben.

Was passiert nun?

Der Skandal hat bereits Konsequenzen. Die zuständigen Datenschutzbehörden haben die betroffenen Unternehmen kontaktiert und den illegalen Austausch von Daten gestoppt. Aber das Verfahren ist noch nicht abgeschlossen. Es bleibt abzuwarten, ob und in welcher Höhe Bußgelder gegen die Versicherer verhängt werden. Denn die Weitergabe solcher sensiblen Daten ohne rechtliche Grundlage ist nicht nur ein Verstoß gegen den Datenschutz, sondern kann auch das Vertrauen der Versicherten in die Branche massiv schädigen.

Die Grenze zwischen Betrugsbekämpfung und Datenschutzverletzung

Es ist gut, dass die Behörden einschreiten, aber dieser Fall wirft ein weiteres Licht auf die Mängel, die in vielen Bereichen des Datenschutzes noch bestehen. Wir haben es hier mit einem „Nicht-Fehler“ zu tun – es war nicht einfach Unwissenheit, sondern eine bewusste Entscheidung, einen riskanten Weg zu gehen, um ein Ziel zu erreichen. Natürlich ist der Wunsch nach Betrugsbekämpfung verständlich, aber die Art und Weise, wie hier vorgegangen wurde, ist schlichtweg fahrlässig. Wir dürfen nicht vergessen, dass es nicht nur um Zahlen auf einem Papier geht, sondern um das Vertrauen der Menschen, die ihren Versicherungen ihre intimsten Daten anvertrauen. Ein solches Verhalten von großen Unternehmen ist eine Grenzüberschreitung, die nicht ohne Konsequenzen bleiben sollte.

Zum Newsletter anmelden

und immer aktuell im Datenschutz informiert.