Welche Art von personenbezogenen Daten wird normalerweise im Versicherungssektor verarbeitet und wie kritisch sind die Verarbeitungen?

Mindestens zwei wichtige Ereignisse in der Beziehung zwischen Versicherung und Versicherten erfordern die Erhebung und Auswertung umfassender Datensätze.

Der Bedarf an detaillierten Informationen entsteht erstmals bei der Beantragung einer Versicherung: Der Versicherer hat ein großes Interesse daran, sowohl wirtschaftliche als auch rechtliche Pflichten zu erfüllen, die sich bei gesetzlichen Krankenversicherungen aus gesetzlichen Bestimmungen und / oder den Versicherungsbedingungen ergeben können. Die privaten Krankenversicherer müssen sicherstellen, dass sich die Risiken, die neue Versicherte in die Versicherungsgemeinschaft einbringen, in den individuellen Versicherungsbedingungen widerspiegeln, damit Neueinsteiger nicht zu einer Belastung für die Versicherungsgemeinschaft werden. Dies kann zuverlässig nur durch aussagekräftige Informationen über den Gesundheitszustand der Person gewährleistet werden.

Das Misstrauen, das sich aus den naturgemäß gegensätzlichen Interessen der (potenziellen) Versicherten und des Versicherers ergibt, verstärkt den Wunsch des Versicherers, Gesundheitsdokumente direkt von Gesundheitsfachleuten wie Ärzten oder Krankenhäusern anzufordern.

Die Einbeziehung von Dritten in die Prüfung der gesundheitlichen Situation der Person kann auch im Schadensfall als notwendig erachtet werden. Es sind verschiedene Mittel und Technologien denkbar, die es dem Versicherer ermöglichen, das Vorliegen und / oder die Schwere des vom Versicherten geltend gemachten Schadensfalls zu überprüfen.

Welche Gesetze und Bestimmungen zum Schutz der Privatsphäre müssen im Versicherungssektor beachtet werden?

Mehrere nationale Gesetze wie das VVG (für private Versicherer) und das SGB V (für gesetzliche Krankenversicherer) regeln die Erhebung und den Austausch personenbezogener Daten zwischen Betroffenen und Versicherern sowie zwischen Versicherern und Ärzten. Solche Gesetze gelten als Sonderregelungen gegenüber den originären Datenschutzbestimmungen der DSGVO oder dem Bundesdatenschutzgesetz, die sich auf einer abstrakteren Ebene mit der Verarbeitung von Gesundheitsdaten befassen. Wenn in Spezialvorschriften Zustimmungserfordernisse festgelegt sind, gelten in der Regel die entsprechenden Zustimmungserfordernisse/-bedingungen der DSGVO.

Folglich müssen die Versicherer bei der Beurteilung der Zulässigkeit von Datenverarbeitungen über den Versicherten die gesamte Gesetzeslandschaft berücksichtigen.

Welche Compliance-Risiken sind zu beachten und worauf haben Aufsichtsbehörden und Gerichte ihr Augenmerk gerichtet?

Werden Daten zum Versicherten nicht rechtskonform verarbeitet, kann dies starke persönliche Auswirkungen auf dessen Leben haben. Dies wäre z.B. der Fall, wenn ihm auf Basis von Daten zu Vorerkrankungen der Bezug von Versicherungsleistungen verwehrt wird.

Vor diesem Hintergrund war die Datenverarbeitung im Versicherungsbereich bereits Gegenstand verschiedener Behördenstellungnahmen und Gerichtsurteile.