Nein, es ist kein Witz! Die #Arag….

…schnüffelt den Leuten hinterher! Ich bekam vor ein paar Tagen den Makler-Newsletter, wo als kleine Randnotiz die Änderungen in der Antragspolitik standen. Es ist gut sowie richtig, dass Versicherungen – speziell Private Krankenversicherungen (PKV) – Interessenten im Rahmen rechtlich zulässiger Verfahren überprüfen, denn nur so sind saubere Kollektive sowie langfristig auskömmliche Prämien finanzierbar. Aber, und das ist ein großes aber, es muss sich um rechtlich sauberen Rahmen abspielen, woran ich schwere Zweifel hege.

Problem Arag – Hinweise aus einem PKV-Newsletter

Im Newsletter stand u. a. die u. g. Information. Der relevante Teil ist in rot markiert.

Es drängen sich kritische Fragen auf! Wie weit geht die Suche? Werden notfalls Fake-Profile bei Social Media Plattformen (z. B. Facebook) oder Dating-Seiten angelegt? Wie werden die Daten gespeichert? Wie kann man ein derartiges Profiling betreiben ohne dass es ein – zu Recht – verbotenes Profiling ist? Was ist, wenn der „recherchierende“ Mitarbeiter etwas falsch versteht? Welche Technik wird eingesetzt, etwa Gesichtserkennungs-Software wie Sie von einem gewissen CDU-Politiker wie Philip Amthor unterstütz wurde? Oder gleich Privatdetektive? ;)

Warum das wichtig ist, folgt im Absatz „Aufreger“. Aber erstmal ein Blick in die Datenschutzerklärung, denn dort müssen ja Konkretisierungen stehen.

Datenschutzerklärung der Arag Krankenversicherung

Holy fuck, das geht deutlich zu weit! Die Aufzählung ist nicht abschließend, d. h. die Arag PKV behält sich vor alle möglichen Quellen an zu zapfen. Auf die Seriösität oÄ wird dabei erstmal kein Bezug genommen. Zwar gehe ich davon aus, dass man GMV (gesunden Menschenverstand) walten lässt aber dennoch bleibt es ein unbeschränkter Raum, in dem gewühlt wird. Was z. B. wenn Dinge aus der Vergangenheit auftauchen, die verjährt sind? Oder Falschaussagen, die dem Antragssteller unbekannt waren bzw. sind, beispielsweise Abrechnungsdiagnosen? Oder üble Nachrede?

Besonders übel ist die Formulierung „zulässigerweise“, denn es gibt KEIN generelles Beweisverwertungsverbot in Deutschland. Dabei heißt es in der DSGVO, dass alles verboten ist, was nicht explizit erlaubt ist. Unterschieden wird zudem zwischen Beweiserhebungsverbot sowie Beweisverwertungsverbot. Was meint die Arag PKV denn? Wie weit geht sie? Meine Vermutung:

Man schreibt sowas nicht in Verträge, weil man es nicht so benutzen möchte!

Dass die ARAG PKV auch Informationen anderer Teile der Arag SE heranziehen möchte finde ich nicht gut! Ich weiß auch nicht in wiefern das aufgrund sog. chinesischen Mauern statthaft wäre. Meiner Kenntnis nach findet die Spartentrennung ja u. a. aus diesem Grund statt, damit es nicht geschieht. Zugeben muss ich aber, dass ein Datenschutzbeauftragter das besser beurteilen kann als ich. Über sachdienliche Hinweise würde ich mich freuen.

Der Knaller ist aber die Formulierung „oder von sonstigen Dritten (z. B. …)“, die mangels abschließender Aufzählung ein Jedermann sein kann. Die Putzkraft, der Privatdetektiv, die Ex-Frau etc. Hier sind der Fantasie keine Grenzen gesetzt.

Warum ärgere ich mich überhaupt?

Versicherungen, auch PKV, dürfen Anträge Kraft eigener Arroganz ablehnen. Sie müssen es nicht darlegen oder gar rechtlich begründen. Ein schlichtes „Nö, Du nich‘!“ genügt.

Das birgt für Interessenten wie Vermittler (egal ob Versicherungsmakler oder -agenten) erhebliche Risiken. Man könnte glauben einen sog. „glatten“ Antrag (d. h. ohne Nachbearbeitungsbedarf) an die Arag zu senden und es folgt eine Antragsablehnung. Warum? Das weiß dann vermutlich niemand. Könnte ja sein, dass der Sachbearbeiter den Antragssteller auf der letzten Facebook Session mit der eigenen Frau gesehen hat. Ja, das Beispiel ist albern aber es ist denkbar. Was, wenn die politische Gesinnung nicht passt? Was, wenn die sexuelle Orietierung nicht passt? Man mag es nicht glauben aber im 21. Jahrhundert kann es immer noch zu Problemen mit Versicherungen führen, wenn sich heraus stellt, dass der Antragssteller homosexuell ist! Was, wenn bei der Arag Profiling betrieben wird? Die Risiken sind endlos!

Den wahren Grund rausfinden kann man nicht obwohl es ein Recht auf Herausgabe der Daten in maschinenlesbarem Format gibt. Was aber, wenn die Daten nur kurzfristig gespeichert wurden? Oder wenn sie zwar synonymisiert aber dennoch rekonstruierbar sind? Kontrolle Fehlanzeige!

Dem Verständnis des Autors nach ist das Vorgehen der Arag rechtlich weder beanstandsfrei noch moralisch legitimierbar!

Liste der Datenschutzverstöße der Arag

In Summe können der Arag folgende Verstöße vorgeworfen werden:

• Verstoß gegen Datenminimierung
• Verstoß gegen zweckgebundene Verarbeitung bzw. zu weite Auslegung
• Zugriff auf zulässige Drittquellen unzureichend spezifiziert bzw. nicht eingegrenzt
• Verwendung von Suchmaschinendaten ohne Eingrenzung erlaubt Profiling
• Fehlende Information an den Betroffenen über erhobene Daten bzw. deren Verarbeitung (Art 14 DSGVO)
• Fehlende Auflistung der betroffenen Schutzgesetze (Verstoße gegen Art. 13 u. 14 I c DSGVO)

Und das sind nur die spontan gefundenen Punkte einer Fachgruppe, mit der ich den Sachverhalt auf Facebook diskutiert hatte. Wahrscheinlich ließen sich im Details noch weitere Punkte finden.

zu

Und was ist die Lösung?

Die ARAG hat aus meiner Sicht einige sehr gute PKV-Tarife, die manchmal passen; speziell, wenn man deren Nachteile kennt! Preissensible Kunden sollten eher woanders hingehen aber wer auf Leistung Wert legt, der wird sich zwangsweise mit der Arag auseinander setzen müssen. Jetzt gibt es im Sinne der Beantragung zwei Möglichkeiten:

1. Den Original-Antrag der Arag nehmen und die entsprechende Passage streichen. De jure ist das korrekt, könnte in der Praxis aber zu unangenehmen Schwierigkeiten führen. Sollte es in dem Zusammenhang Ärger geben, hilft oft nur noch der Gang zum Versicherungsberater und falls dieser nicht mehr weiter weiß, zum Fachanwalt für Versicherungsrecht. Kontakt gegenüber dem Vorstand, dem Datenschützer sowie ggf. dem LDB (Landesdatenschutzbeauftragten), sind ebenfalls sinnvoll, bevor man eine Klage beginnt.

2. Die Nutzung eines sogenannten Einheitsantrags, beispielsweise den von der Fondsfinanz. Wobei ich mir fast sicher bin, dass es bei anderen Einheitsanträgen ähnlich gehandhabt wird. Prüfen werde ich noch die Einheitsanträge von KV Werk (inkl. blaudirekt), IWV, Vialog, Verticus und Impuls. Ich vermute (!) aber, dass es dort ähnlich geregelt ist.

Obwohl ich kein Fan dieser Einheitsanträge bin, können Sie Vorteile bringen. Neben oft vereinfachten Gesundheitsfragen (gelegentlich sind die Abfragezeiträume kürzer als bei Originalanträgen) sticht in diesem Fall positiv hervor, dass diese komische Änderung der Arag hier keinen Einzug gefunden hat. Und da der CEO der Fondsfinanz Maklerservice GmbH Norbert Porazik Hinweise der Vermittler offen gegenüber steht, bin ich mir sicher, dass er diese Information an seine KV-Abteilung weiterleiten wird. Zumindest gilt das für die aktuellste Version, die ich heute am 19.06.2020 überprüft habe. ;)

Unabhängig davon werde ich über verschiedene Berufsverbände – zzt. erwäge ich den IGVM sowie den AfW – versuchen eine Stellungnahme der Arag zu erhalten.

Danksagung

Danken möchte ich meinen geschätzten Kollegen, gelistet in alphabetischer Reihenfolge, die mit mir im Diskurs zum o. g. Thema standen, teilweise durch Zitate bzw. Quellenangaben ergänzend.

• Sven Hennig, ein auf PKV spezialisierter Versicherungsmakler-Kollege
• Christian Müller, Versicherungsberater, Datenschutz Auditor und internationaler Consultant (Spitzname Charlie)
• Andreas Sutter, Head of Data Protection bei der disphere interactive GmbH

---

Sollte ich die Arag jetzt meiden?

Nein! Die Arag PKV ist eine der guten PKV, also die aktuellen Tarife der ARAG, wenn auch mit einem Beigeschmack bzgl. des anfangs zu niedrigen Beitrags. Aber auch wenn sie gut ist, muss man sich nicht jeden Mist bieten lassen. Bleiben Sie wachsam und geben Sie auf Ihre Daten acht. Und wenn Sie Hilfe benötigen, kontaktieren Sie mich oder die Kollegen. Sie können auch jetzt eine Anfrage zur Beratung für die PKV stellen. Einfach das Formular ausfüllen! Am besten jetzt! ;)