rating service  security service privacy service
 
2009/02/02 Privatversicherungen verwenden illegal sensible Daten
Zentrales Informationssystem des Verbandes der Versicherungsunternehmen Österreichs (ZIS) gefährdet Datenschutz von Versicherten - Informationsverbundsystem der Versicherungswirtschaft prangert "unerwünschte" Kunden an - vergleichbarer Rechtsbruch führt in anderen EU-Ländern zu hohen Geldstrafen - Prangerlisten als Wegbereiter zur Scoringgesellschaft - Löschungsrecht der Betroffenen

Neben dem Banken- und Finanzbereich hat auch Österreichs Versicherungswirtschaft eine  "Schwarze Liste" unerwünschter Kunden. Eine Entscheidung der DSK zeigt einen erschreckend bedenkenlosen Umgang mit sensiblen Daten der Kunden.


Zentrales Informationssystem (ZIS)

Das Zentrale Informationssystem ist eine Einrichtung der österreichischen Versicherungswirtschaft, welche - nach eigener Definition - der Verhinderung und Bekämpfung des Versicherungsmissbrauchs und Versicherungsbetruges dienen soll. Betreiber ist der "Verband der Versicherungsunternehmen Österreichs (VVO)", für die Daten verantwortlich sind die jeweiligen Versicherungsunternehmen, die die Betroffenen eintragen. Es handelt sich um ein Informationsverbundsystem, wie es von der "Warnliste der Banken" bekannt ist.

Um die Übermittlung personenbezogener Daten in einen rechtlichen Rahmen zu gießen, enthalten Versicherungsverträge Klauseln, die die Versicherung zur Übermittlung persönlicher Daten ermächtigen. Von der Datenübermittlung umfasst sind Personenidentifikationsdaten (Name, Geburtsdatum, Adresse) und sogenannte Versicherungsfalldaten. Was unter "Versicherungsfalldaten" zu verstehen ist, ist völlig unbestimmt. Enthalten ist alles, was dem Zweck "der Verhinderung und Bekämpfung des Versicherungsmissbrauchs und Versicherungsbetruges" dienen soll. Das kann von einer angeblichen Verletzung einer Informationspflicht bis zum tatsächlichen Versicherungsbetrug reichen.

Dadurch werden besonders zu Kranken- und Lebensversicherungen sensible Daten in diesem zentralen Informationssystem verarbeitet. Die Folgen einer Aufnahme im ZIS können für den Betroffenen genauso gravierend sein, wie Einträge in die "schwarzen" Banklisten. Von der Ablehnung eines Versicherungsabschlusses, über erhöhte Prämien bis zur Verweigerung der Leistungspflicht durch einen Versicherer reichen die Nachteile.


Übermittlung von Gesundheitsdaten und Verletzung der Auskunftspflicht

Grundsätzlich soll die Berechtigung der Versicherungen vor gerichtlich festgestelltem Versicherungsbetrug zu warnen nicht bestritten werden, dazu gibt es jedoch staatliche Register und die Strafverfolgung. Ein konkreter Fall zeigt den rechtswidrigen und sorglosen Umgang mit sensiblen Daten.

Der Betroffene richtete wegen des Zentralen Informationssystems ein Auskunftsbegehren an ein Versicherungsunternehmen. Die Versicherung gab dann neben den Polizzen-Nummern zu aktiven und historischen Versicherungsverträgen auch bekannt, dass medizinische Daten, nämlich seine gesamte "gesundheitliche" Geschichte gespeichert seien. Angaben zu Empfängern der Daten enthielt das Auskunftsschreiben nicht.

Auf ein weiteres Schreiben hin, gab die Versicherung bekannt, dass eine Verletzung der Anzeigepflicht medizinischer Befunde ausschlaggebend für den Rücktritt der Versicherung von einer Kapitallebensversicherung gewesen war und sie führte aus, welche Daten zu diesem Anlass im ZIS verarbeitet wurden.

Wie der Betroffene später im Zuge der Ablehnung eines Abschlusses einer privaten Krankenversicherung bei einer anderen Versicherung feststellen musste, waren die erteilten Auskünfte der Versicherung nicht vollständig gewesen. Die Versicherung hatte die sensiblen Daten zu jener medizinischen Diagnose, die Anlass für den Vertragsrücktritt gewesen waren, an die andere Versicherung übermittelt.


Rechtswidriger Umgang mit sensiblen Daten

Die medizinischen Diagnosedaten wurden ohne Zustimmung durch den Versicherungsnehmer an die andere Versicherung übermittelt. Schon wegen der fehlenden Ermächtigung ist das Vorgehen rechtswidrig. In Griechenland hat ein nahezu identer Fall zur Verhängung einer Geldstrafe im fünfstelligen Eurobereich geführt, nicht so in Österreich.

Grundsätzlich muss festgestellt werden, dass die Formulierung "Übermittlung von Versicherungsfalldaten" keinesfalls die Weitergabe von sensiblen Daten erlaubt. Nach §9 DSG 2000 dürfen sensible Daten nur mit ausdrücklicher Zustimmung des Betroffenen weiter gegeben werden.

Selbst bei der Übermittlung nicht-sensibler Daten ist die Zulässigkeit in Frage zu stellen. Mehrfach wurde höchstgerichtlich bereits judiziert, dass eine Bestimmung in allgemeinen Geschäftsbedingungen, durch die der Kunde der Übermittlung personenbezogener Daten zustimmt, so transparent sein muss, dass sie die Tragweite der Einwilligung erkennen lässt (OGH 4Ob28/01y; 6Ob16/01y; 4Ob221/06p).


Privates Straf- und Gesundheitsregister?

Vom leichtfertigen und rechtswidrigen Umgang mit sensiblen Daten aus dem Gesundheitsbereich abgesehen, ist das ZIS auch aus anderen Gründen problematisch. Letztendlich betreibt eine Gruppe privater Unternehmungen nichts anderes als ein "privates Straf- und Prangerregister". Ziel ist es Personen aufgrund eines früheren Verhaltens von Dienstleistungen auszuschließen.

Selbst für den Fall, dass es Betroffenen gelingt, trotz ZIS-Eintrag eine Versicherung zu bekommen, können die Konsequenzen unangenehm sein. Aufgrund alter Eintragungen verweigern Versicherungen immer wieder Leistungen.

Das Register ist auch durchaus entbehrlich. Für strafrechtlich relevante Verhaltensweisen gibt es ein Strafregister, dessen Einsicht beschränkt ist. Alleine die Tatsache, dass ein Versicherungsnehmer sich gegenüber einer Unternehmung aus der Versicherungswirtschaft einmal "unerwünscht" verhalten hat, ist kein ausreichender Grund ihn von Leistungen einer ganzen Branche auszuschließen. Falls kein Versicherungsfall vorliegt, braucht die Versicherung ohnedies nicht zu zahlen - derartige Entscheidungen sollten aber auf fallbezogenen Gründen basieren und nicht auf Grund einer Stigmatisierung wegen früherer Verhaltensweisen.


Prangerlisten als Wegbereiter zur Scoringgesellschaft

Dateien zur Verarbeitung strafrechtlich relevanter Tatbestände sollten alleine in der Hand staatlicher Strafverfolgungsbehörden mit gesetzlichen Einschaurechten bleiben. Die Führung privater "Prangerlisten" die Personen wegen früherer Verhaltensweisen stigmatisieren, ist jedenfalls abzulehnen. Machen solche Beispiele Schule könnte sich jede Branche eine private „Warnliste“ zulegen: Lästige Patienten, renitente Arbeitgeber, penible Mieter oder kritische Konsumenten, aufmüpfige Telekomkunden. Die Liste der "berechtigten" Warnlisten wäre beliebig lang. Jeder, der sich aus Sicht der Betreiber "unbotmäßig" verhält muss dann den Ausschluss von bestimmten Leistungen und Lebensbereichen riskieren.

Es entsteht eine Zwei-Klassen-Gesellschaft der VALIDs, die immer alle Vorgaben der Unternehmen befolgen und die IN-VALIDs, die auf Gewährleistungs- und Datenschutzrechte pochen, auf individuelle Freiheit und persönliche Gestaltung ihrer Lebensbereiche.


Löschung möglich

Das ZIS stellt, vergleichbar den Listen von Wirtschaftsauskunftsdiensten eine öffentliche Liste dar. Es ist daher nach der jüngsten OGH-Entscheidung (6 Ob 195/08g) auch aus dieser Liste eine Löschung möglich. Mitglieder der ARGE DATEN erhalten auf Wunsch rechtliche Beratung und Unterstützung.

mehr --> Bescheid K121.278_0018-DSK_2007
Archiv --> Übermittlung der Einkommensdaten von Steuerbehörde zu Versiche...
Archiv --> Rechtswidrige Datenschutzklauseln in Lebensversicherungsverträgen
Archiv --> Versicherungsrechtliche Diskriminierung auf Grund des Geschlec...
Archiv --> Himmlische Section Control - UNIQA präsentiert KFZ-Überwachung...

- DVR - DSK - Cloud Computing - Vorratsspeicherung - hacking - RFID - social media - Web 2.0 - Österreichisches Datenschutzgesetz - DSG 2000 - Identität - phishing - data security - data protection law - Austria - Vienna - internet
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVOwebmaster