Ruf an: +49-(0)2273-9916215

Öffungszeiten: 17:00 – 00:00 Uhr dt. Zeit

Die Rufnummer wird weltweit ohne Mehrkosten für den Anrufer weitergeleitet.

Schreib mir eine E-Mail
Buch einen Termin

Gastbeitrag von Andreas Sutter, spezialisierter Datenschutzbeauftragter für das Versicherungswesen

Datenschutz

Alle Bürger in der EU haben das Grundrecht auf den Schutz ihrer personenbezogenen Daten.[1] Dieses Recht ist im deutschen Grundrechtekanon als Recht auf informationelle Selbstbestimmung verankert.[2] Die rechtliche Basis zum Schutz dieses Grundrechts bildet die europäische Datenschutzgrundverordnung (DSGVO) zusammen mit verschiedenen anderen Gesetzen, wie z.B. dem Bundesdatenschutzgesetz (BDSG).

Im Zuge der Anbahnung, Beantragung, Durchführung und Beendigung eines privaten Krankenversicherungsvertrages werden Ihre Daten in großer Menge und über sehr lange Zeiträume verarbeitet. Außerdem handelt sind die meisten dieser Daten durch die DSGVO als besonders sensibel eingestuft,[3] da aus dem Missbrauch von z.B. Gesundheitsdaten für die Betroffenen ein hoher Schaden entstehen kann. Das bedeutet, dass Ihre Daten im Rahmen der privaten Krankenversicherung sowohl einem hohen Risiko einer Datenschutzverletzung ausgesetzt sind als auch ein hoher Schaden aus der Verletzung des Datenschutzes entstehen kann. Kurzum: dem Datenschutz kommt in der privaten Krankenversicherung ein sehr hoher Stellenwert zu. Doch nicht in jedem Fall wird das von allen Beteiligten gebührend umgesetzt. Daher gilt es im Vorfeld, sich gut zu überlegen, wem Sie Ihre Daten anvertrauen.

Der Kreis der Behörden und Unternehmen, die Ihre Daten verarbeiten ist erwartungsgemäß groß:

  • Versicherungsvermittler
  • Versicherungsunternehmen
  • Dienstherr oder Arbeitgeber
  • Ärzte, Behandler, Apotheken, Kliniken
  • Digitale Dienstleister, wie z.B. für eine digitale Leistungsfallbearbeitung
  • Abrechnungsdienstleister, wie z.B. die privatärztliche Verrechnungsstelle
  • Behörden, wie z.B. das zuständige Ordnungsamt im Falle der Nichtzahlung von Pflegeversicherungsbeiträgen

In diesem Kapitel konzentrieren wir uns auf den Antragsprozess und die dort Beteiligten.

Ihre Rechte

Das Unternehmen, dass Ihre Daten verarbeitet, ist auch für die Einhaltung des Datenschutzes und der Grundprinzipien der DSGVO verantwortlich. Zu den Grundprinzipien gehört die Transparenz. Teil dieser Transparenzpflichten ist die Datenschutzinformation,[4] die in verständlicher Form und in klarer und einfacher Sprache[5] verdeutlichen soll, wie das verantwortliche Unternehmen Ihre Daten zu verarbeiten plant.

Anhand der Qualität dieser Information lassen sich Rückschlüsse auf die Qualität des Datenschutzkonzeptes ziehen. Dies gilt insbesondere für die Versicherungsvermittler. Eine unverständliche Sprache gepaart mit überflüssiger Prosa[6] lassen darauf schließen, dass der Vermittler hier einfach nur Datenschutzinformationen anderer Unternehmen kopiert hat, ohne sich über sein eigenes Konzept Gedanken gemacht zu haben. Ihr gutes Recht ist es, den Vermittler zu den in der Datenschutzinformation genannten Dinge zu befragen. Blindes Vertrauen ist hier fehl am Platz.

Sie haben auch das Recht, jederzeit von den Verantwortlichen Informationen darüber zu erhalten, die diese Ihre Daten nun tatsächlich verarbeiten.[7] Dabei können Sie auch eine Kopie aller Sie betreffenden Daten anfordern.[8] Für die Auskunftserteilung hat das verantwortliche Unternehmen einen Monat Zeit, Ihnen diese Informationen zu geben. An dieser Auskunft und der mehr oder weniger fristgerechten Informationserteilung lassen sich sehr schnell erkennen, wie es mit dem Datenschutz bestellt ist. Diese Information ist im Übrigen kostenfrei zu erteilen, und Ihr Recht ist nicht auf eine Auskunft pro Jahr beschränkt. Auch muss dafür noch kein Vertrag geschlossen sein. Sie können überall und zu jeder Zeit eine Anfrage stellen, wenn sie ahnen oder fürchten, dass bei einem Unternehmen Ihre personenbezogenen Daten verarbeitet werden.

Eine Besonderheit ist das Recht auf Vergessenwerden, sprich das Recht auf Löschung Ihrer Daten.[9] Grundsätzlich können Sie von jedem Unternehmen, dass Ihre Daten (unrechtmäßig) verarbeitet, verlangen, dass Ihre Daten gelöscht werden. Um welche Daten es sich handelt, können Sie ja mit der Auskunft nach Art. 15 DSGVO erfragen. Aber: das Unternehmen muss bzw. darf Ihre Daten dann nicht löschen, wenn es zur Verarbeitung rechtlich verpflichtet ist. Diese rechtlichen Verpflichtungen basieren meist auf dem Steuer-, Handels- und Versicherungsrecht. Das hat zur Folge, dass Ihre Daten, wenn sie denn einmal bei einem Unternehmen gelandet sind, häufig noch für viele Jahre dort verarbeitet werden müssen. Ein Grund mehr, sich im Vorfeld sehr gut zu überlegen, wem Sie Ihre Daten anvertrauen.

Einwilligung

Ihre Gesundheitsdaten, die im Zuge der Antragstellung erfragt werden, dürfen nur mit Ihrer ausdrücklichen Einwilligung[10] verarbeitet werden. Dies gilt sowohl für den Versicherer als auch für den Vermittler. Die Voraussetzungen für diese Einwilligung sind

  • Freiwilligkeit
  • Informiertheit
  • Widerrufsmöglichkeit

Die Freiwilligkeit ist hinsichtlich des Versicherers eingeschränkt, den dieses kann Ihren Antrag nur unter Beantwortung der Risikofragen prüfen. Dieses gilt aber nicht für den Vermittler. Dieser kann Ihren Antrag auch ohne Kenntnis Ihrer Gesundheitsdaten verarbeiten, in dem Sie Ihre Antworten ihm zum Beispiel in einem verschlossenen Umschlag zur Weiterleitung an den Versicherer geben, oder diese selbst direkt an den Versicherer schicken. Ob diese Art der Misstrauensbeurkundung Basis einer guten Geschäftsbeziehung mit dem Vermittler ist, steht auf einem anderen Blatt. Zum Vertrauen in den Vermittler gehört auch Vertrauen in seine Kompetenz im Bereich Datenschutz.

Die Freiwilligkeit der Einwilligung hat im Bereich der Schweigepflichtentbindung ebenfalls eine besondere Rolle. Hier befinden wir uns an der Schnittstelle zwischen Datenschutz- und Strafrecht (§203 StGB). Übrigens unterliegt der Versicherungsvertreter als Angehöriger des Krankenversicherers dieser besonderen Schweigepflicht, der Versicherungsmakler hingegen nicht. Das befreit beide aber nicht von möglichen strafrechtlichen Konsequenzen von Datenschutzverletzungen (§42 BDSG). Ihr Antrag muss in jedem Fall auch dann bearbeitet werden, wenn Sie Ihre Ärzte nicht von der Schweigepflicht entbinden. Von der pauschalen Erteilung der Schweigepflichtentbindung ist ohnehin eher abzuraten. Hintergrund ist der: Wenn Sie die Schweigepflichtentbindung nicht pauschal erteilen, bleibt es an Ihnen, wen Sie im konkreten Einzelfall von der Schweigepflicht entbinden. Empfänger und Zeitpunkt Ihrer Erklärung bleiben unter Ihrer Kontrolle – Sie behalten sozusagen die Datenhoheit. Eine pauschale Erteilung kann von Ihnen jederzeit ohne Angabe von Gründen widerrufen werden.

Kinderdatenschutz

Kinder zählen zu den Personenkreisen, die auch im Bereich Datenschutz besonders schutzbedürftig sind. In der privaten Krankenversicherung werden zwangsläufig sensible Daten von Kindern verarbeitet, wenn diese mitversichert werden sollen bzw. müssen.

Unumstritten ist, dass die Eltern als gesetzliche Vertreter diese Datenverarbeitung veranlassen dürfen und auch in die Verarbeitung einwilligen dürfen, wenn das Kind noch minderjährig ist. Die Ausnahme nach Art. 8 DSGVO trifft hier nicht zu.

Aus der gesetzlichen Vertretung ergibt sich jedoch auch eine besondere Sorgfaltspflicht. Es ist Ihre Verantwortung, die Daten nur in vertrauenswürdige Hände zu geben. Achten Sie dabei auf Risikominimierung.  Wenn Sie Daten an den Vermittler oder Versicherer versenden, schützen Sie die Vertraulichkeit beispielsweise durch die Ende-zu-Ende-Verschlüsselung der E-Mail. Telefax oder Messenger-Dienste stellen keine gesicherte Kommunikation dar. Eine besonders hohe Gefahr geht hier von WhatsApp oder Facebook aus. Das gilt grundsätzlich. Aber während Sie selbst die Risiken als erwachsene Person vielleicht eingehen mögen, so sollten Sie zum Schutz Ihrer Kinder Risiken unbedingt vermeiden oder wenigstens minimieren. Stellen Sie sich vor, dass die Risikovoranfrage Ihres Kindes unverschlüsselt sowie nicht anonymisiert weitergeleitet wird, wodurch es zu aktenkundigen Ablehnungen bei PKVUs kommt, die Ihnen Optionen für die Zukunft versperren. Wie würden Sie reagieren?

Vermittler mit Datenschutz-Kompetenz

Woran erkennen Sie einen Vermittler, der über ausreichende Kompetenz im Datenschutz verfügt? Dazu zunächst ein paar Killer-Kriterien. Wenn einer der folgenden Punkte zutrifft, dann sollten Sie Abstand von der Zusammenarbeit nehmen:

  • Der Vermittler kommuniziert per WhatsApp mit Ihnen.
  • Der Vermittler sendet unverschlüsselte Mails mit vertraulichen Daten.
  • Im Büro des Vermittlers sind Namen und Daten anderer Kunden sichtbar, z.B. durch Akten auf dem Schreibtisch oder Aktenordner-Beschriftungen.
  • Das Büro ist offensichtlich unzureichend gegen Feuer und/oder Einbruchdiebstahl gesichert.
  • Fremde Personen können. sich ohne Begleitung frei im Büro bewegen.
  • Bildschirme sind für Dritte einsehbar.
  • Telefongespräche mit vertraulichem Inhalt werden so geführt, dass andere mithören können.
  • Gespräche oder Online-Beratungen werden ohne Ihre Zustimmung aufgezeichnet.
  • Die Datenschutzinformation ist unzutreffend oder fehlt ganz.
  • Die Quelle Ihrer Daten ist nicht transparent.
  • Es ist nicht transparent, wer jeweils Ihre Daten erhält (insbesondere in Vertriebsorganisationen).
  • Sie erhalten Werbung oder Anrufe ohne Ihre Einwilligung.
  • Dem Vermittler fehlt es offensichtlich an Kompetenz im Umgang mit IT.
  • Der Vermittler spielt das Thema Datenschutz als nebensächlich oder als Behinderung seiner Arbeit herunter.
  • Der Vermittler ist nicht in der Lage, einfache Fragen zum Datenschutz fachlich korrekt zu beantworten.

Diese Liste ist nicht vollständig. Sie soll Ihnen einen Anhalt dafür geben, wo Alarm-Signale zu entdecken sind.

Einen Vermittler mit Datenschutz-Kompetenz erkennen Sie zum Beispiel daran:

  • Der Vermittler verfügt über ein schriftliches Datenschutzkonzept, dass er Ihnen auf Wunsch zu Verfügung stellt
  • Der Vermittlerbetrieb hat einen fachkundigen Datenschutzbeauftragten, oder wird von fachkundiger Stelle beraten
  • Er achtet auch in Kleinigkeiten auf Vertraulichkeit und Datensicherheit
  • Er weist Sie auf geschützte Kommunikationswege hin

Zusammengefasst: ein kompetenter Vermittler behandelt Ihre Daten treuhänderisch, sorgfältig und absolut zuverlässig.

Zusammenfassung

Ihre Daten im Bereich der privaten Krankenversicherung sind einem hohen Risiko ausgesetzt. Arbeiten Sie daher nur mit Vertragspartnern und Beratern, die sich dieser Tatsache bewusst sind und alle erforderlichen und angemessenen Maßnahmen ergreifen, Ihre Daten zu schützen. Hegen Sie nur den kleinsten Zweifel daran, dann suchen Sie sich einen Berater, die diese Verantwortung ernst nehmen. Bei dem Schutz der Daten Ihrer Familie und Ihrer eigenen Person dürfen und sollten Sie keine Kompromisse eingehen.

Ende des Gastbeitrags

Eine gute Beratung spart dir Zeit und…

Ruf an: +49-02273-9916215
Schreib mir eine E-Mail
Buch einen Termin

…bringt dir bessere Ergebnisse! Probier es aus, am besten jetzt!

Beratung gewünscht?

Bitte gib an, wie Du angesprochen werden willst.
Bitte die Telefonnummer eingeben, unter der Du am besten erreichbar ist.
Bitte gib zuerst deinen Vornamen an, dann deinen Nachnamen.
Hier die Nachricht tippen. Danke.
Bestätigung der Pflichtangaben *
Die AGB, Datenschutzerklärung etc. habe ich zur Kenntnis genommen. Quelle: https://die-finanzpruefer.de/impressum-datenschutz/

Quellen

[1] Art. 8 EU-GrCh https://dejure.org/gesetze/GRCh/8.html

[2] BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/1983/12/rs19831215_1bvr020983.html

[3] Art. 9 DSGVO https://dsgvo-gesetz.de/art-9-dsgvo/

[4] Art. 13 https://dejure.org/gesetze/DSGVO/13.html iVm Art 14 DSGVO https://dejure.org/gesetze/DSGVO/14.html

[5] Art. 12 Abs. 1 DSGVO https://dejure.org/gesetze/DSGVO/12.html

[6] „Wir nehmen den Schutz Ihrer Daten besonders ernst“ – Das erinnert an die Erwähnung von Pünktlichkeit im Arbeitszeugnis.

[7] Art. 15 DSGVO https://dejure.org/gesetze/DSGVO/15.html

[8] 2019-07-26 OLG Köln Az.: 20 U 75/18) https://openjur.de/u/2177719.html

[9] Art. 17 DSGVO https://dejure.org/gesetze/DSGVO/17.html

[10] Art. 9 Abs. 2 lit. a DSGVO https://dejure.org/gesetze/DSGVO/9.html