Datenschutz

HanseMerkur speichert nach Versicherungsantrag rechtswidrig Daten beim HIS und muss sie wieder löschen

Es war März 2014 und ich entschied mich, dass eine Berufsunfähigkeitsversicherung für mich eine gute Sache sei. Daher sprach ich mit einigen Versicherungen und stellte auch Anträge. Darunter: Die HanseMerkur. Nun liest man als datenschutzaffiner Mensch ja die Datenschutzbestimmungen genau durch. Darunter stand dann auch, dass sich die HanseMerkur vorbehält, Einträge beim HIS (Hinweis- und Informationssystem der Versicherungswirtschaft) vorzunehmen und fordert dafür eine Schweigepflichtsentbindung.

Auszug aus der HanseMerkur “Schlusserklärung” zum Vertrag

Das HIS, das muss man wissen, ist eine “Gemeinsame Warn- und Hinweisdatenbank der im Gesamtverband der Deutschen Versicherungswirtschaft (GDV) organisierten Versicherungsunternehmen.” (Wikiepdia) Kurz gesagt heißt das: Passt einem Versicherer irgendetwas bei seinem Kunden nicht, werden hier Einträge getätigt, damit man bei einer anderen Versicherung auch bloß keinen Vertrag mehr bekommen kann.

Man muss dazu sagen, dass diese Warnungen nicht sehr konkret sind und keinen Hinweis darauf geben, welche Gründe wirklich zu dem Eintrag geführt haben. Es wird eine so genannte “Erschwernis” eingetragen. Was die tatsächliche “Erschwernis” ist bleibt unklar. Und so passiert es ganz schnell, dass man auf dieser Blacklist der Versicherungen landet und so keine Versicherung mehr bekommt! Dabei kann es sehr wohl sein, dass der neue Versicherer die “Erschwernis”, wenn sie denn wüsste was genau diese Erschwernis war, gar nicht so bewerten würde. Aber man steht ja auf einer Blacklist und da ist es doch besser, einen Vertrag einfach mal pauschal abzulehnen. Sicher ist die Mutter der Porzellankiste. Das HIS ist also nicht unbedingt die tollste Sache. Auch für unbescholtene Versicherte.

Speicherung trotz Widerspruch. Interesse der Versicherung überwiegt?

Nun habe ich die Versicherungsbedingungen ja ausführlich gelesen und mich informiert. Daher strich ich zum Einen den oben genannten Passus im Vertrag und schrieb zusätzlich unter “Nebenabreden”:

Die Datenweitergabe an das HIS wird nicht gestattet.

Aus dem VersicherungsANTRAG, Nebenabreden (PDF)

Dieser Hinweis wurde geflissentlich ignoriert. Sehr wahrscheinlich führten angegebene Vorerkrankungen dazu, dass man mir keinen Vertrag für eine BU geben wollte. Und das heißt nun für mich: Ein Eintrag “Erschwernis” in der Kategorie “Leben”. Folge: So wird mir keine Versicherung aus dem Bereich “Leben” mehr einen Vertrag geben. Das ist schon eine Ungeheuerlichkeit.

Das ist, by the way, ein Grund, warum ich eine vollständige Absicherung von Berufsunfähigkeit durch den Staat fordere. Denn nicht jeder ist in der komfortablen Situation sich absichern zu können. Die Einen können es sich einfach nicht leisten, die Anderen werden wegen vermeintlich zu hohen Risiken abgelehnt, wie wir es hier sehen. Mich haben 5 Versicherungen abgelehnt. Dann habe ich aufgegeben. Die lächerliche Erwerbsunfähigkeitsrente reicht auf jeden Fall weder zum Leben noch zum Sterben. Ein klarer Fall von “unverschuldet in Not geraten”, was in unserer sozialen Marktwirtschaft doch abgesichert sein sollte?

Da die HanseMerkur verpflichtet ist, mich über einen HIS-Eintrag in Kenntnis zu setzen, erhielt ich einen Brief mit folgendem Inhalt:

HIS Einmeldung

Sehr geehrter Herr Benter,
im Zusammenhang mit der Bearbeitung Ihres Antrags / Ihres Leistungsfalles haben wir Ihre Daten, insbesondere Name, Anschrift, Geburtsdatum sowie Angaben zum Risiko, zur Versicherungssummen bzw. Rentenhöhen oder zu Häufigkeit und Besonderheiten von Versicherungsfällen an das Hinweis- und Informationssystem (HIS) gegeben, welches von der Insurance Risk+Fraud Prevention GmbH, Rheinstraße 99, 76532 Bade-Baden, unterhalten wird.

Zweck des durch das HIS ermöglichten Informationsaustausches ist die Unterstützung der Risikobeurteilung bei Versicherungsanträgen, der Sachverhaltsaufklärung bei Versicherungsfällen unter Rückgriff auf frühere Leistungsfälle sowie die Bekämpfung von Versicherungsmissbrauch. Die Daten werden daher zu einem späteren Zeitpunkt, wenn Sie einen Versicherungsantrag stellen oder einem Versicherer einen Leistungsfall melden, von dem jeweiligen Versicherer abgefragt und genutzt werden. Weitere Informationen erhalten Sie unter www.informa-irfp.de

Mit freundlichen Grüßen,
HanseMerkur Lebensversicherung AG

Gezeichnet von Holger Ehses und Gerhard Krebs.

Brief der HanseMErkur vom 12. Juni 2014 (PDF)

Umgehend legte ich bei der HanseMerkur Widerspruch gegen den HIS Eintrag ein, verwies auf meinen Widerspruch in den Nebenabreden des Vertrags und forderte die sofortige Löschung:

Betreff: Unverzügliche Löschung von Daten beim HIS und bei der HanseMerkur

Sehr geehrte Damen und Herren,,
in Ihrem Schreiben vom 12. Juni 2014 informierten Sie mich über die Weitergabe von Daten an das HIS (Hinweis- und Informationssystem). In den Vertragsunterlagen wurde meinerseits jedoch der Abschnitt über die Weitergabe von Daten an das HIS gestrichen. Zusätzlich ist unter “Besondere Vereinbarungen” folgendes vermerkt “Die Datenweitergabe an das HIS wird nicht gestattet”.

Ich weise darauf hin, dass Sie mit der Weitergabe bereits einen Verstoß gegen das BSDG (Bundesdatenschutzgesetz) begangen haben. Ich weise Sie an, das HIS unverzüglich aufzufordern, die Übermittelten Daten zu löschen, da für die Übermittlung und Speicherung die Rechtsgrundlage fehlt. Ich setzte hierfür eine Frist von 14 Tagen, d.h. bis zum 11. Juli 2014 und bitte um schriftliche Bestätigung. Ich behalte mir Rechtsschritte bezüglich des bereits erfolgten Verstoßes gegen das BDSG vor.

Ich weise zudem darauf hin, dass im Vertrag auch die Speicherung von Personenbezogenen Daten sowie Gesundheitsdaten meinerseits, bei nicht zu Stande kommenden des Vertrages, untersagt wurde. Da dieser Fall eingetreten ist, weise ich die HanseMerkur an, die genannten Daten zu löschen. Auch hierfür setze ich eine Frist von 14 Tagen, also zum 11. Juni 2014, und bitte um schriftliche Bestätigung der erfolgten Löschung.

Mit freundlichen Grüßen,
M. Benter

Mein Schreiben vom 27.06.14 an die HanseMerkur (PDF)

Es antwortete der Datenschutzbeauftragte der HanseMerkur, der doch glatt behauptete, die Interessen der Versicherung würden meinen Interessen an Datenschutz überwiegen:

Auch ohne erteilte Einwilligung kann eine Übermittlung [an das HIS] im Wege der Interessenabwägung erfolgen. Dies ist zulässig, wenn keine überwiegenden schutzwürdigen Interessen des Betroffenen, also Ihre, vorhanden sind.

Brief der HanseMerkur vom 14.07.2014 (PDF)

Der HIS Eintrag bleibt wage

Natürlich wollte ich erst mal sehen, wie denn mein HIS-Eintrag nun aussieht. Daher stellte ich beim HIS auf Grundlage meiner Auskunftsrechte nach BSDG einen Antrag auf eine vollständige Information über die über mich gespeicherten Daten (Antrag auf Selbstauskunft als PDF). Und was soll man sagen, die Datenlage bleibt wage. Folgende Informationen sind in einem solchen Eintrag enthalten:

  • Das Stichwort “Erschwernis”
  • Das Meldegrunddatum
  • Die Meldende Stelle (also die Versicherung)
  • Die Sparte, die eines der Folgenden Kategorien enthalten kann: Kfz, Unfall, Rechtsschutz, Sach, Leben, Transport, Haftpflicht
  • Eine Vorgangs-ID
  • Eine Referenznummer der meldenden Stelle (sozusagen eine ID der meldenden Versicherungsgesellschaft).

Wer mal sehen möchte wie so was aussieht (ganzes PDF):

Vorgehen mit dem Hamburgischen Datenschutzbeauftragten und Sieg auf ganzer Linie

Nun schrieb ich also den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit an, der die Sache ganz anders sah: Er forderte die HanseMerkur auf, meine Daten umgehend zu löschen. Und das taten sie dann auch. Hier der entsprechende Brief:

Ihre Beschwerde gegen die Hanse Merkur Versicherungsgruppe

Sehr geehrter Herr Benter,
ich nehme Bezug auf Ihre uns vom schleswig-holsteinischen unabhängigen Landeszentrum für Datenschutz weitergeleitete Beschwerde gegen die Hanse Merkur Versicherungsgruppe vom 22.07.2014. Wie Ihnen bereits eine Kollegin mitgeteilt hat, hatten wir die Hanse Merkur zur Stellungnahme hinsichtlich des von Ihnen geschilderten Sachverhalts sowie zur Löschung Ihrer Daten aufgefordert.

Die Veranlassung der Löschung Ihrer Daten wurde uns nunmehr durch die Hanse Merkur am 29.09.2014 schriftlich angezeigt. Dies umfasst sowohl die Daten, welche bei der Hanse Merkur gespeichert sind, als auch die Daten, welche in der HIS Datenbank hinterlegt worden waren.

Darüber hinaus erklärte die Hanse Merkur uns gegenüber, dass in Zukunft nur noch Versicherungsanträge bearbeitet würden, die mit einer unveränderten und vollständigen Einwilligungs- und Schweigepflichtentbindungserklärung versehen sind.

Wir beachten die Angelegenheit damit als abgeschlossen.

Brief vom hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.10.2014 (PDF)

Sieg auf ganzer Linie würde ich dazu sagen

Mein Widerspruch war also gültig und mein Interesse am Schutz meiner Daten überwiegt. Das musste auch die HanseMerkur eingestehen. Dass man daraus nun schlussfolgert, Anträge mit derartigen Einschränkungen in der Einwilligungserklärung gar nicht mehr zu bearbeiten, ist jedoch höchst bedenklich. So ist der Versicherungsnehmer nun am Ende doch wieder der Leidtragende! Eine erneute Anfrage meinerseits an das HIS bestätigte übrigens, dass nun keine Einträge mehr vorlagen.

Schreibe eine Antwort