Vom 18. Oktober 2012
Deutscher Bundestag Drucksache 17/11122
17. Wahlperiode 18. 10. 2012
Kleine Anfrage
der Abgeordneten Jan Korte, Nicole Gohlke, Ulla Jelpke, Jens Petermann,
Dr. Petra Sitte, Frank Tempel und der Fraktion DIE LINKE.
Umgang von Versicherungskonzernen mit sensiblen Kundendaten
In seinem 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010
stellte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
(BfDI) einmal mehr fest, dass „die Verbesserung des Datenschutzes bei Versi-
cherungsunternehmen […] nur langsam voran“ kommt. Bereits mehrfach
musste der BfDI massive datenschutzrechtliche Bedenken unter anderem gegen
das Hinweis- und Informationssystem (HIS) der Versicherungswirtschaft, das
der Risikoprüfung und Aufdeckung bzw. Verhinderung von Versicherungs-
betrug dient, thematisieren (vgl. hierzu 22. Tätigkeitsbericht Nummer 4.4.7 und
23. Tätigkeitsbericht Nummer 10.7). Der HIS-Neukonzeption, deren Beratun-
gen zwischen den dem Gesamtverband der Deutschen Versicherungswirtschaft
(GDV) und den Datenschutzaufsichtsbehörden bei Redaktionsschluss des
23. Tätigkeitsberichtes noch nicht abgeschlossen waren, hätten die Datenschutz-
aufsichtsbehörden nach Darstellung des BfDI nicht zustimmen können und
Nachbesserungen gefordert sowie wesentliche datenschutzrechtliche Anforde-
rungen formuliert (vgl. 23. Tätigkeitsbericht, S. 117).
Medienberichten zufolge erhielt die Redaktion von „SPIEGEL ONLINE“ Mitte
August 2012 ein anonymes Schreiben, das unter anderem polizeiliche und
staatsanwaltschaftliche Ermittlungsakten, Papiere der Dresdner Bank über ver-
schiedenste Konten und deren Verfügungsberechtigte oder auch Asylbeschei-
nigungen beinhaltete – alle Schriftstücke enthielten sowohl die Klarnamen von
Beteiligten als auch jene von unbeteiligten Personen. Wie sich herausstellte,
stammten die Unterlagen aus dem Datensystem des Allianz Versicherungskon-
zerns, der diese an einen externen Ermittler weiterreichte, um Fälle von Ver-
sicherungsbetrug aufzudecken. Laut dem Konzern wurde die Zusammenarbeit
mit der Detektei bereits 2011 aufgekündigt. Ob diese die ihr zugesandten sensiblen
Datensätze daraufhin ordnungsgemäß vernichtete, wurde offenbar nicht kontrol-
liert.
Dass Versicherungen Unmengen von Daten sensibelster Art besitzen und spei-
chern, ist nichts Neues. Jedoch stellt sich nun die Frage, ob sie in der Lage sind,
den sachgemäßen Umgang mit den Daten zu gewährleisten. Der aktuelle Vorfall
ist dabei nur einer von vielen. So waren bereits in den Jahren 2009 und 2010
rund 39 000 Datensätze von Kundinnen und Kunden des Finanzvertriebes AWD
an den Norddeutschen Rundfunk gelangt.
Dass Versicherungen in begründeten Betrugsfällen Privatermittler beauftragen,
sei völlig in Ordnung, sagte Thomas Kranig, Präsident des Bayerischen Landes-
amtes für Datenschutzaufsicht. Laut Dr. Thilo Weichert, Datenschutzbeauftragter
des Landes Schleswig-Holstein, dürfen Daten jedoch nur im Einzelfall weiter-
Drucksache 17/11122 – 2 – Deutscher Bundestag – 17. Wahlperiode
geben werden, etwa im Verdachtsfall von Versicherungsbetrug. Laut der Allianz
kommt dies bei 1 000 von rund 3,3 Millionen Schadensfällen im Jahr vor.
Im Falle einer Datenweitergabe an Externe gelangen die Privatermittler jedoch
in den Besitz von hochsensiblen und umfangreichen Informationen. Die Detek-
teien erhalten beispielsweise alle den Fall betreffenden Ermittlungsakten von
der Polizei und vom Staatsanwalt. Auch die Zeugenaussagen, die dabei getätigt
wurden, werden den Ermittlern zur Verfügung gestellt. So haben sie nicht nur
Einsicht in die Privatsphäre des Versicherungsnehmers, sondern auch in die von
völlig Unbeteiligten. Was schließlich passiert, wenn die externen Ermittler nicht
ordnungsgemäß mit den Daten umgehen und ihre Auftraggeber offenbar versäu-
men, dies zu gewährleisten, zeigt der Fall des Datenlecks bei der Allianz. Nun
stellt sich die Frage, inwieweit der Gesetzgeber hier aktiv werden kann und
muss.
Wir fragen die Bundesregierung:
1. Wurde die im 23. Tätigkeitsbericht des BfDI erwähnte Neufassung der Ein-
willigungs- und Schweigepflichtentbindungserklärung beschlossen und um-
gesetzt?
Wenn ja, wann, und mit welchem Inhalt geschah dies?
Wenn nein, warum nicht, und wann rechnet die Bundesregierung mit einem
Zustandekommen?
2. Wurden nach Kenntnis der Bundesregierung die Verhandlungen zwischen
dem GDV und den Datenschutzaufsichtsbehörden über das neue HIS mittler-
weile abgeschlossen?
Wenn ja, wann war das?
Wenn nein, warum nicht?
3. Wurden die datenschutzrechtlichen Bedingungen der Datenschutzaufsichts-
behörden im neuen HIS berücksichtigt?
a) Wenn ja, in welcher Form?
– Wurde das neue HIS als Auskunftei auf der Grundlage von § 29 des
Bundesdatenschutzgesetzes (BDSG) ausgestaltet?
– Wurde sichergestellt, dass Einmeldungen in die Auskunftei nur bei
Vorliegen einer Rechtsvorschrift und nicht auf der Grundlage von Ein-
willigungserklärungen erfolgen dürfen?
– Wurde im HIS geregelt, dass die gespeicherten Daten nur bei Vorliegen
eines berechtigten Interesses abgefragt werden dürfen?
– Wurde im HIS geregelt, wie größtmögliche Transparenz für die Ver-
sicherungsnehmer und sonstige Betroffene hergestellt wird, und wenn
ja, in welcher Form?
– Sieht die Neufassung des HIS vor, dass die Einmeldekriterien ständig
zu evaluieren sind?
– Wurde eine Ombudsstelle eingerichtet, die bei versicherungsrechtlichen
Zweifelsfragen eingeschaltet werden kann und diese Fragen klärt?
– Sind die Versicherer durch die HIS-Neufassung dazu verpflichtet,
strenge Compliance-Regelungen einzuhalten, und wenn ja, welche sind
dies?
b) Wenn nein, warum nicht?
4. Welche Daten – neben den zur Aufnahme notwendigen – ihrer Versiche-
rungsnehmerinnen und -nehmer dürfen Versicherungskonzerne auf welcher
gesetzlichen Grundlage wie speichern?
Deutscher Bundestag – 17. Wahlperiode – 3 – Drucksache 17/11122
5. Wer hat auf die bei Versicherungskonzernen gespeicherten sensiblen Kun-
dendaten Zugriff?
6. Auf welcher gesetzlichen Grundlage und mit welcher Begründung haben
Versicherungskonzerne Zugriff auf die gesamten zur Versicherungsnehme-
rin bzw. zum Versicherungsnehmer gehörenden polizeilichen und
staatsanwaltlichen Akten?
7. Auf welche Daten welcher Behörden und Institutionen haben Versicherun-
gen mit welcher Begründung im Falle des Auftritts eines Schadens Zugriff?
8. Ist der Bundesregierung bekannt, in wie vielen und welchen Fällen Versi-
cherungskonzerne jährlich Detekteien beauftragen und dabei mit sensiblen
Kundendaten ausstatten?
9. Welche Schlussfolgerungen zieht die Bundesregierung aus der Tatsache,
dass der GDV ein externes Unternehmen mit der Führung des neuen HIS
beauftragt hat?
10. Auf welcher gesetzlichen Grundlage ist es den Versicherungen unter wel-
chen Voraussetzungen erlaubt, Daten ihrer Kundinnen und Kunden an
externe Dienstleister weiterzugeben?
11. Welche Voraussetzungen müssen für die Annahme eines konkreten
Verdachtes eines Versicherungsbetruges und somit für die Erlaubnis einer
Datenweitergabe an Dritte durch Versicherungskonzerne vorliegen?
12. Wie beurteilt die Bundesregierung die Tatsache, dass es Versicherungen vor
dem Hintergrund der Weitergabe höchstsensibler Daten ihrer Kundinnen
und Kunden gestattet ist, externe Ermittler zu beauftragen?
13. Hält die Bundesregierung die Praxis der Versicherungskonzerne – vor dem
Hintergrund des Allianz-Vorfalles – für gerechtfertigt?
Wenn ja, mit welcher Begründung?
Wenn nein, warum nicht?
14. Gibt es bei der Weitergabe von Daten durch Versicherungskonzerne Rege-
lungen hinsichtlich Daten, die unter keinen Umständen an Dritte weiterge-
geben werden dürfen?
Wenn ja, welche Regelungen sind das, und welche Art von Daten ist davon
betroffen?
15. Ist der Bundesregierung bekannt, ob die Versicherungsnehmerinnen und
- nehmer im Falle einer Datenweitergabe an Dritte informiert werden
müssen, informiert werden oder eine Einwilligung erteilen müssen?
16. Ist der Bundesregierung bekannt, ob und wie Versicherungskonzerne die
Arbeit der von ihnen beauftragen externen Dienstleister kontrollieren bzw.
kontrollieren können?
17. Welche Regelungen gelten für die durch Versicherungskonzerne beauftrag-
ten Dritten hinsichtlich Datenverarbeitung, Datenaufbewahrung und Daten-
vernichtung?
Berlin, den 22. Oktober 2012
Dr. Gregor Gysi und Fraktion