Risikovorprüfung – Nutzen von Gesundheitsdaten durch Krankenversicherer
Im 1. Teil unserer 2-teiligen Serie über die „Speicherung von Gesundheitsdaten bei Risikovorprüfungen“, haben wir das Prozedere einer üblichen Risikovorprüfung beschrieben. Ursächlich war ein konkreter Fall eines Kunden, für den wir eine Risikovorprüfung zu einer Krankenversicherung beim Deutschen Ring durchgeführt haben. Hier wurden alte Gesundheitsdaten vom Deutschen Ring für eine aktuelle Risikovorprüfung genutzt. Wir haben unsere Einschätzung der Situation detailliert argumentiert, dass der Krankenversicherer in diesem Fall die Datenspeicherung alter Daten ungerechtfertigt vorgenommen und genutzt hat. Dabei haben wir mögliche Antworten auf folgende Fragen gefunden:
- Wie sind Speicherung und Nutzung von Personen- und Gesundheitsdaten bei Krankenversicherungen geregelt ?
- Welche Bedeutung und welche Auswirkungen hat die Speicherung dieser Daten für potentielle Versicherungsnehmer ?
Hier lesen Sie den 1. Teil unserer Serie „Speicherung von Gesundheitsdaten bei Risikovorprüfungen“
In heutigen 2. Teil der Serie befassen wir uns mit folgenden Punkten:
- Verhaltensregeln für den Umgang mit Kundendaten durch Versicherer
- Code of Conduct (CoC) – Lücken und Imagewerbung
- Fehlende Chancengleichheit zwischen Kunde und Versicherer
Letztendlich machen wir klar, dass sich ein regulärer Antrag auf Krankenversicherungsschutz grundlegend von einer Risikovorprüfung im Hinblick auf Datenschutzregelungen unterscheidet. In der Folge machen wir darauf aufmerksam, dass die Versicherungsgesellschaften in Ihrem „Code of Conduct“ ausschließlich die Datenschutzregelungen bei offiziellen Anträgen manifestieren. Das Prozedere einer Risikovoranfrage bleibt im Code of Conduct jedoch gänzlich ungeregelt. Absicht oder nur ein Versehen ?
Verhaltensregeln für den Umgang mit Kundendaten durch Versicherer
Zur Speicherung und Nutzung von personenbezogener Daten gibt es seit 01.01.2013 den sogenannten „Code of Conduct“ (CoC). Hierzu haben sich Datenschutzbehörden, die Verbraucherzentralen und der Gesamtverband der deutschen Versicherungswirtschaft (GDV) über ein Regelwerk verständigt, dass den Umgang mit Personendaten bei Versicherungsgesellschaften manifestiert.
Für den Teil der reinen Personendaten (also eben nicht den besonders schützenswerten Gesundheitsdaten) ist der Code of Conduct für mich überflüssig, da bereits gesetzliche Bestimmungen die Nutzung von Personendaten regeln.
Musterklauseln für Speicherung und Nutzung von Gesundheitsdaten
Immerhin wurde der Umgang mit den Gesundheitsdaten einheitlich festgelegt. So wurden Klauseln für Anträge vereinbart, die der Versicherungsnehmer bei Antragstellung unterzeichnet. Mit diesen Klauseln willigt der Versicherungsnehmer ein, dass Gesundheitsdaten gespeichert und genutzt werden dürfen. Auch die Entbindung Dritter von der Schweigepflicht – z.B. Ärzte – werden in Anträgen zu privaten Krankenversicherungen durch die Unterzeichnung des Versicherungsnehmers genehmigt.
Code of Conduct mit offensichtlichen Lücken
Im Code of Conduct, im Versicherungsvertragsgesetz (VVG) und im Bundesdatenschutzgesetz scheint es jedoch keine klaren Regularien zu geben, wie mit der Erhebung, Speicherung und Nutzung von Gesundheitsdaten bei Risikovoranfragen bei Versicherungsgesellschaften zu verfahren ist, wenn keine ausdrückliche Ermächtigung der betroffenen Person vorliegt. Alle bekannten Quellen beziehen den Datenschutz auf den Vorgang zugrunde liegender Verträge bzw. Anträge.
Eine Risikovorprüfung findet jedoch in der Regel formfrei und ohne Unterschriften von Personen statt; außerhalb der reglementierten Antragsverfahren.
Code of Conduct nur Imagewerbung
Für mich ist der Code of Conduct daher nur eine „Imagewerbung“, welche den Versicherungskunden einen seriösen Umgang mit seinen Daten suggerieren soll. Hier werden unter dem medienwirksamen Deckmantel des Verbraucherschutzes Selbstverständlichkeiten hübsch verpackt, welche ausschließlich zum Vorteil für die Versicherer gereichen.
Keine Chancengleichheit zwischen Kunden und Versicherungen
Ein Versicherungskunde hat ein Interesse über eine private Krankenversicherung sein Kostenrisiko abzusichern. Versicherer bieten dafür Versicherungsschutz zu kalkulierten Prämien.
Unter anderem entscheiden Vorerkrankungen bei Krankenversicherungen darüber, wie groß das zu übernehmende Kostenrisiko für den Versicherer ist. Er muss also die Vorerkrankungen kennen und Gesundheitsdaten erheben, speichern und für die Risikoprüfung verwenden dürfen. Das ist legitim und nicht zu beanstanden. Immerhin müssen Versicherer in der Lage sein, das Versicherungsrisiko auch im Interesse der Versichertengemeinschaft zu kalkulieren und ablehnen zu können.
Wenn nun die Gesundheitsdaten derart relevant für das Ergebnis sind, ob ein Versicherungsschutz erlangt werden kann oder eben nicht, sind rechtliche Regularien zur Speicherung und Nutzung dieser Gesundheitsdaten existenziell wichtig. Diese Regularien müssen jedoch an der regelmäßigen Praxis orientiert sein. Beim offiziellen Antragsverfahren sind die Regeln per Gesetz klar und unmissverständlich. Der Code of Conduct hat darüber hinaus auch die Zustimmung zur Speicherung und Nutzung durch den Antragsteller (und der versicherten Person) über Antragsklauseln konkretisiert.
Beim regelmäßig genutzten Verfahren einer Risikovorprüfung fehlt es meiner Meinung nach jedoch an klaren Datenschutzbestimmungen.
Regelungen im Antragsverfahren müssen auch für Risikovorprüfung gelten
Für das Antragsverfahren sind die Regeln der Datenspeicherung und Nutzung also inzwischen klar definiert. Das Kernproblem ist die Erlaubnis zur Speicherung und Nutzung von Gesundheitsdaten, wenn eben ein Antrag nicht angenommen wird. Die entsprechende Klausel zur Speicherung und Nutzung sieht dabei wie folgt aus:
„Kommt der Vertrag mit Ihnen nicht zustande, speichert … (der Versicherer) … Ihre im Rahmen der Risikoprüfung erhobenen Gesundheitsdaten für den Fall, dass Sie erneut Versicherungsschutz beantragen. …(der Versicherer)… speichert Ihre Daten auch, um mögliche Anfragen weiterer Versicherungen beantworten zu können. Ihre Daten werden bei dem … (Versicherer) … bis zum Ende des dritten Kalenderjahres nach dem Jahr der Antragstellung gespeichert.
Ich willige ein, dass der … (Versicherer) … meine Gesundheitsdaten – wenn der Vertrag nicht zustande kommt – für einen Zeitraum von drei Jahren ab dem Ende des Kalenderjahres der Antragstellung zu den oben genannten Zwecken speichert und nutzt.“
Wichtig ist die Beachtung, dass es dabei immer um einen offiziell gestellten Versicherungsantrag geht.
Wenn im Antragsverfahren die Datenspeicherung und Nutzung auf 3 Jahre begrenzt wird, sollte das erst Recht für eine nicht ausdrücklich genehmigte Datenspeicherung – wie bei einer Risikovorprüfung – gelten, wenn die Datenspeicherung überhaupt legitim sein sollte.
Ist sie regelwidrig, ist ein Kunde klar im Nachteil. Er ist verpflichtet seine Gesundheitsdaten nach den Erfordernissen der vorvertraglichen Anzeigepflichten anzugeben und per ärztliche Unterlagen zu dokumentieren. Dabei sind die Angaben gemäß Versicherungsvertragsgesetz (VVG) auf die konkreten Fragestellungen des Versicherungsantrages abzustellen. Wichtig sind hierbei die abgefragten Zeiträume. Liegt eine Vorerkrankung außerhalb des Abfragezeitraums und hat es in dieser Zeit auch keinerlei Beschwerden oder Behandlungen mehr gegeben, muss die Vorerkrankung nicht angegeben werden. Durch eine unbefristete Speicherung und Nutzung dieser Daten, wird die einschränkende Wirkung des Abfragezeitraums – z.B. bei einer späteren, wiederholten Risikovorprüfung – vom Versicherer ausgehebelt. Hier wird ein Kunde benachteiligt, obwohl er gesetzeskonform handelt.
Missstand mit weitrechenden Folgen
Ein Missstand, welcher beseitigt werden muss. Ansonsten erhält ein Kunde den gewünschten hochwertigen Versicherungsschutz nicht, der ihm nach strenger Auslegung aller Regularien eigentlich zustehen sollte. Hier betreiben PKV-Versicherer nach meiner Einschätzung Rosinenpickerei ohne gesetzliche Legitimation.
Solange heute Versicherer Millionenetats für Imagewerbung besitzen und mit Begriffen wie „Fairness“, „Transparenz“, „Augenhöhe“, „Vertrauen“ um sich werfen, um Kunden von der neuen Seriosität der Versicherungswirtschaft zu überzeugen, passt ein solch gravierender Missstand nicht ins Bild, dass die Versicherer gern von sich glaubhaft machen möchten.
Hallo, ist es Ihrer Meinung nach sinnvoll trotz „normaler“ Antragsstellung nach den 3 Jahren schriftlich die Datenlöschung zu erwirken? Oder kann man sich da auf den Datenschutz verlassen, da dies ja vertraglich geregelt ist. Wie würden Sie vorgehen? (Ich möchte ungern, dass ewig lang solch sensible Daten bei Versicherern „rumirren“.
Hallo Kai,
wenn Sie mit „normaler“ Antagstellung meinen, dass Ihr Antrag angenommen wurde und der Vertrag somit zustande kam, haben Sie kein Anrecht auf die Datenlöschung Ihrer Gesundheitsdaten. Diese sind verpflichtend auf Dauer gespeichert und dienen im Zweifel zum Nachweis bei Streitigkeiten hinsichtlich Ihrer Gesundheitsangaben.
Wenn Sie damit meinen, dass Ihr Antrag abgelehnt wurde und kein Vertrag zustande kam, dürfen Sie die Datenlöschung verlangen.
Auch ohne Löschungsverlangen, müssen die Versicherer die Gesundheitsdaten nach Ablauf der Fristen proaktiv löschen. Ob die Versicherer das auch machen, steht auf einem anderen Blatt. Dem Datenschutz sind die Versicherer selbstverständlich dabei trotzdem unterworfen.
Ich hoffe ich konnte Ihrer Frage damit beantworten.
Beste Grüße
Frank Rindermann
In unserem Unternehmen werden diese Daten (Interessentenanfragen ggfs. mit Risikoprüfung) nach bereits einem Jahr aufgrund des CoC gelöscht …
Sehr geehrter Herr Egal,
mir wäre es weniger egal gewesen, wenn Sie Ihre Unternehmen als positives Beispiel für die Branche hier genannt hätten, statt nur eine egal-site anzugeben.
Solche Kommentare helfen dann auch und sind weniger … egal 😉
Mit egalen Grüßen
Ihr Frank Rindermann
Pingback: Gesundheitsdaten bei Risikoprüfungen - Lücken im Gesetz ?