Umgang von Versicherungskonzernen mit sensiblen Kundendaten
der Abgeordneten Jan Korte, Nicole Gohlke, Ulla Jelpke, Jens Petermann, Dr. Petra Sitte, Frank Tempel und der Fraktion DIE LINKE.
Vorbemerkung
In seinem 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010 stellte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) einmal mehr fest, dass „die Verbesserung des Datenschutzes bei Versicherungsunternehmen […] nur langsam voran“ kommt. Bereits mehrfach musste der BfDI massive datenschutzrechtliche Bedenken unter anderem gegen das Hinweis- und Informationssystem (HIS) der Versicherungswirtschaft, das der Risikoprüfung und Aufdeckung bzw. Verhinderung von Versicherungsbetrug dient, thematisieren (vgl. hierzu 22. Tätigkeitsbericht Nummer 4.4.7 und 23. Tätigkeitsbericht Nummer 10.7). Der HIS-Neukonzeption, deren Beratungen zwischen den dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) und den Datenschutzaufsichtsbehörden bei Redaktionsschluss des 23. Tätigkeitsberichtes noch nicht abgeschlossen waren, hätten die Datenschutzaufsichtsbehörden nach Darstellung des BfDI nicht zustimmen können und Nachbesserungen gefordert sowie wesentliche datenschutzrechtliche Anforderungen formuliert (vgl. 23. Tätigkeitsbericht, S. 117).
Medienberichten zufolge erhielt die Redaktion von „SPIEGEL ONLINE“ Mitte August 2012 ein anonymes Schreiben, das unter anderem polizeiliche und staatsanwaltschaftliche Ermittlungsakten, Papiere der Dresdner Bank über verschiedenste Konten und deren Verfügungsberechtigte oder auch Asylbescheinigungen beinhaltete – alle Schriftstücke enthielten sowohl die Klarnamen von Beteiligten als auch jene von unbeteiligten Personen. Wie sich herausstellte, stammten die Unterlagen aus dem Datensystem des Allianz Versicherungskonzerns, der diese an einen externen Ermittler weiterreichte, um Fälle von Versicherungsbetrug aufzudecken. Laut dem Konzern wurde die Zusammenarbeit mit der Detektei bereits 2011 aufgekündigt. Ob diese die ihr zugesandten sensiblen Datensätze daraufhin ordnungsgemäß vernichtete, wurde offenbar nicht kontrolliert.
Dass Versicherungen Unmengen von Daten sensibelster Art besitzen und speichern, ist nichts Neues. Jedoch stellt sich nun die Frage, ob sie in der Lage sind, den sachgemäßen Umgang mit den Daten zu gewährleisten. Der aktuelle Vorfall ist dabei nur einer von vielen. So waren bereits in den Jahren 2009 und 2010 rund 39 000 Datensätze von Kundinnen und Kunden des Finanzvertriebes AWD an den Norddeutschen Rundfunk gelangt.
Dass Versicherungen in begründeten Betrugsfällen Privatermittler beauftragen, sei völlig in Ordnung, sagte Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. Laut Dr. Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, dürfen Daten jedoch nur im Einzelfall weitergegeben werden, etwa im Verdachtsfall von Versicherungsbetrug. Laut der Allianz kommt dies bei 1 000 von rund 3,3 Millionen Schadensfällen im Jahr vor.
Im Falle einer Datenweitergabe an Externe gelangen die Privatermittler jedoch in den Besitz von hochsensiblen und umfangreichen Informationen. Die Detekteien erhalten beispielsweise alle den Fall betreffenden Ermittlungsakten von der Polizei und vom Staatsanwalt. Auch die Zeugenaussagen, die dabei getätigt wurden, werden den Ermittlern zur Verfügung gestellt. So haben sie nicht nur Einsicht in die Privatsphäre des Versicherungsnehmers, sondern auch in die von völlig Unbeteiligten. Was schließlich passiert, wenn die externen Ermittler nicht ordnungsgemäß mit den Daten umgehen und ihre Auftraggeber offenbar versäumen, dies zu gewährleisten, zeigt der Fall des Datenlecks bei der Allianz. Nun stellt sich die Frage, inwieweit der Gesetzgeber hier aktiv werden kann und muss.
Wir fragen die Bundesregierung:
Fragen17
Wurde die im 23. Tätigkeitsbericht des BfDI erwähnte Neufassung der Einwilligungs- und Schweigepflichtentbindungserklärung beschlossen und umgesetzt?
Wenn ja, wann, und mit welchem Inhalt geschah dies?
Wenn nein, warum nicht, und wann rechnet die Bundesregierung mit einem Zustandekommen?
Wurden nach Kenntnis der Bundesregierung die Verhandlungen zwischen dem GDV und den Datenschutzaufsichtsbehörden über das neue HIS mittlerweile abgeschlossen?
Wenn ja, wann war das?
Wenn nein, warum nicht?
Wurden die datenschutzrechtlichen Bedingungen der Datenschutzaufsichtsbehörden im neuen HIS berücksichtigt?
a) Wenn ja, in welcher Form?
– Wurde das neue HIS als Auskunftei auf der Grundlage von § 29 des Bundesdatenschutzgesetzes (BDSG) ausgestaltet?
– Wurde sichergestellt, dass Einmeldungen in die Auskunftei nur bei Vorliegen einer Rechtsvorschrift und nicht auf der Grundlage von Einwilligungserklärungen erfolgen dürfen?
– Wurde im HIS geregelt, dass die gespeicherten Daten nur bei Vorliegen eines berechtigten Interesses abgefragt werden dürfen?
– Wurde im HIS geregelt, wie größtmögliche Transparenz für die Versicherungsnehmer und sonstige Betroffene hergestellt wird, und wenn ja, in welcher Form?
– Sieht die Neufassung des HIS vor, dass die Einmeldekriterien ständig zu evaluieren sind?
– Wurde eine Ombudsstelle eingerichtet, die bei versicherungsrechtlichen Zweifelsfragen eingeschaltet werden kann und diese Fragen klärt?
– Sind die Versicherer durch die HIS-Neufassung dazu verpflichtet, strenge Compliance-Regelungen einzuhalten, und wenn ja, welche sind dies?
b) Wenn nein, warum nicht?
Welche Daten – neben den zur Aufnahme notwendigen – ihrer Versicherungsnehmerinnen und -nehmer dürfen Versicherungskonzerne auf welcher gesetzlichen Grundlage wie speichern?
Wer hat auf die bei Versicherungskonzernen gespeicherten sensiblen Kundendaten Zugriff?
Auf welcher gesetzlichen Grundlage und mit welcher Begründung haben Versicherungskonzerne Zugriff auf die gesamten zur Versicherungsnehmerin beziehungsweise zum Versicherungsnehmer gehörenden polizeilichen und staatsanwaltlichen Akten?
Auf welche Daten welcher Behörden und Institutionen haben Versicherungen mit welcher Begründung im Falle des Auftritts eines Schadens Zugriff?
Ist der Bundesregierung bekannt, in wie vielen und welchen Fällen Versicherungskonzerne jährlich Detekteien beauftragen und dabei mit sensiblen Kundendaten ausstatten?
Welche Schlussfolgerungen zieht die Bundesregierung aus der Tatsache, dass der GDV ein externes Unternehmen mit der Führung des neuen HIS beauftragt hat?
Auf welcher gesetzlichen Grundlage ist es den Versicherungen unter welchen Voraussetzungen erlaubt, Daten ihrer Kundinnen und Kunden an externe Dienstleister weiterzugeben?
Welche Voraussetzungen müssen für die Annahme eines konkreten Verdachtes eines Versicherungsbetruges und somit für die Erlaubnis einer Datenweitergabe an Dritte durch Versicherungskonzerne vorliegen?
Wie beurteilt die Bundesregierung die Tatsache, dass es Versicherungen vor dem Hintergrund der Weitergabe höchsensibler Daten ihrer Kundinnen und Kunden gestattet ist, externe Ermittler zu beauftragen?
Hält die Bundesregierung die Praxis der Versicherungskonzerne – vor dem Hintergrund des Allianz-Vorfalles – für gerechtfertigt?
Wenn ja, mit welcher Begründung?
Wenn nein, warum nicht?
Gibt es bei der Weitergabe von Daten durch Versicherungskonzerne Regelungen hinsichtlich Daten, die unter keinen Umständen an Dritte weitergegeben werden dürfen?
Wenn ja, welche Regelungen sind das, und welche Art von Daten ist davon betroffen?
Ist der Bundesregierung bekannt, ob die Versicherungsnehmerinnen und -nehmer im Falle einer Datenweitergabe an Dritte informiert werden müssen, informiert werden oder eine Einwilligung erteilen müssen?
Ist der Bundesregierung bekannt, ob und wie Versicherungskonzerne die Arbeit der von ihnen beauftragen externen Dienstleister kontrollieren bzw. kontrollieren können?
Welche Regelungen gelten für die durch Versicherungskonzerne beauftragten Dritten hinsichtlich Datenverarbeitung, Datenaufbewahrung und Datenvernichtung?