HIS – das Hinweis- und Informationssystem der Deutschen Versicherungswirtschaft – soll Versicherungsbetrug bekämpfen und „die Risikoprüfung effizient gestalten“. So jedenfalls der Gesamtverband der Deutschen Versicherungswirtschaft GDV. Nur blöd, wenn Ihre Daten dort rechtswidrig gespeichert werden.
„Verbrauchernah und transparent“ werde das HIS „als Auskunftei entsprechend den Maßgaben des Datenschutzgesetzes betrieben“, so der GDV. Schließlich sei das im Jahr 2011 aus der GDV Sonderwagnisdatei hervorgegangene HIS in enger Zusammenarbeit mit den Datenschutzbehörden entstanden. Wie transparent das HIS tatsächlich ist, können Sie leicht selbst herausfinden.
Wie transparent ist das HIS?
Hier habe ich eine kleine Testaufgabe für Sie. Bitte recherchieren Sie, wie lange im HIS Daten zu Ihrer Person gespeichert werden, wenn Sie einmal wegen des (auch versuchten) Abschlusses einer Berufsunfähigkeitsversicherung „eingemeldet“ wurden.
Gern gebe ich Ihnen dazu ein bisschen Hilfestellung. Vielleicht suchen Sie auf den folgenden Seiten?
- Erstmal bei Wikipedia gucken? (Und dann feststellen, dass der dortige Eintrag etwas verstaubt ist.)
- Beim aktuellen Betreiber des HIS, der informa Insurance Risk and Fraud Prevention GmbH, recherchieren? (Einem Tochterunternehmen von Bertelsmann, wodurch sich auch der E-Mail-Absender HIS-Office(et)Bertelsmann.de erklärt, von dem aus gelegentlich Anfragen beantwortet werden.)
- Beim GDV nachsehen, die sollten es wissen. (Vielleicht finden Sie die Antwort gar in der speziellen GDV-Broschüre „Das Hinweis- und Informationssystem der deutschen Versicherer (HIS) – Was es ist und was es leistet“ ?)
- Auf twitter fragen?
@MatthiasHelberg Können wir klären: Ja, Speicherfrist für LV im HIS beträgt 10 Jahre. Quelle: http://t.co/cLCZuhJtJ4 cc: @HubertMayer
— GDV Ihre Versicherer (@gdv_de) June 25, 2014
Wenn Sie also selbst recherchiert haben und als Antwort irgendetwas zwischen „vier Jahre“, „bis zu vier Jahre und 364 Tagen“ und “ Höchstspeicherdauer zehn Jahre“ gefunden haben, sind Sie auf der richtigen Fährte. Exakt wäre die Antwort vermutlich jedoch nicht. Und sie findet sich auch nicht in den oben genannten Quellen. Völlig transparent finden wir sie nur im Code of Conduct Datenschutz des GDV. Dort heißt es im Artikel 14 Absatz 2:
In allen Sparten wird der Datenbestand in jeweils zwei Datenpools getrennt verarbeitet: in einem Datenpool für die Abfrage zur Risikoprüfung im Antragsfall (A-Pool) und in einem Pool für die Abfrage zur Leistungsprüfung (L-Pool).
Und weiter im Absatz 7:
Die im HIS gespeicherten Daten werden spätestens am Ende des 4. Jahres nach dem Vorliegen der Voraussetzung für die Einmeldung gelöscht. Zu einer Verlängerung der Speicherdauer auf maximal 10 Jahre kommt es in der Lebensversicherung im Leistungsbereich oder bei erneuter Einmeldung innerhalb der regulären Speicherzeit gemäß Satz 1. Daten zu Anträgen, bei denen kein Vertrag zustande gekommen ist, werden im HIS spätestens am Ende des 3. Jahres nach dem Jahr der Antragstellung gelöscht.
Hätten Sie also im Jahr 2006 wegen des Abschlusses einer Berufsunfähigkeitsversicherung mit Erschwernis einen Eintrag bekommen, keinen weiteren Antrag gestellt und auch noch keinen Leistungsantrag gestellt, müsste Ihr Eintrag am 31.12.2010 gelöscht worden sein. Aber wurde er es tatsächlich?
Fehler im HIS – Folgen für den Kunden
Bevor nun unisono der Hinweis aus der Versicherungswirtschaft ertönt, kein HIS Eintrag führe zu einer Antrags-Ablehnung, bitte weiterlesen, liebe Feunde:
Ein Kunde, der tatsächlich im Jahr 2006 einen BU-Vertrag nur mit einer Erschwerniss angeboten bekommen hatte, wollte es in diesem Jahr neu mit einem BU-Aktionsantrag mit vereinfachter Gesundheitsprüfung versuchen. Alle Antragsfragen konnten risikomindernd beantwortet werden. Seit 2006 gab es keine weitere Antragsstellung und keinen Leistungsfall. Selbst wenn es damals einen HIS-Eintrag gegeben hätte, wäre dieser längst zu löschen gewesen. Was macht der neue Versicherer als erstes bei der Risikoprüfung? Eine HIS-Abfrage – und findet den Eintrag aus 2006. Das führt dazu, dass der Aktionsantrag mit den vereinfachten Gesundheitsfragen nicht mehr akzeptiert wird. Der Kunde müsse einen Antrag mit umfassenden Gesundheitsfragen ausfüllen und die damaligen Gründe für die Erschwernis erläutern – die vermutlich auch heute noch zu einer Erschwernis wie einem Leistungsausschluss führen würden. Der Kunde ist durch den fehlerhaften nicht gelöschten Eintrag klar benachteiligt und potentiell geschädigt: Denn ohne einen Treffer im HIS hätte der neue Versicherer den Antrag wohl anstandslos policiert.
„Die Betreiberin der HIS Datei hat somit rechtswidrig gehandelt.“
Nach meinem Verständnis wäre ich ein schlechter Versicherungsmakler, wenn wir eine solche Benachteiligung unserer Kunden einfach so hinnehmen würden. Also haben wir dafür gesorgt, dass der zuständige Datenschutzbeauftragte für das HIS, der Landesbeauftragte für den Datenschutz Baden-Württemberg, eine entsprechende Beschwerde erhielt.
Dessen Antwort vom 15.10.2014 (eine Kopie des Schreibens liegt hier vor) ist eindeutig:
„§ 35 Absatz 2 Satz 2 Nummer 4 des Bundesdatenschutzgesetzes schreibt vor, dass Wirtschaftsauskunfteien – dazu gehört auch das HIS – spätestens nach vier Jahren, beginnend mit dem Kalenderjahr, das auf die erstmalige Speicherung folgt, zu prüfen haben, ob die Voraussetzungen für eine Fortsetzung der Speicherung vorliegen. Dies wäre in Ihrem Fall der 31. Dezember 2010 gewesen. Für eine Fortsetzung der Speicherung gab es zu diesem Zeitpunkt keinen Grund. Die Betreiberin der HIS Datei hat somit rechtswidrig gehandelt. Wir haben sie darauf mit der gebotenen Deutlichkeit hingewiesen.“
Einzelfall oder Fehler im HIS -System?
Die ganze Brisanz dieses Falles offenbart sich durch die Stellungnahme der Informa gegenüber dem im Jahr 2006 einmeldenden Versicherer, der wiederum durch den Landesbeauftragten für den Datenschutz Baden-Württemberg zu einer Stellungnahme aufgefordert wurde. Im Schreiben vom 08.08.2014 (das hier vorliegt) zitiert der Versicherer Informa: Aufgrund des vorliegenden Vorgangs habe man festgestellt, dass man im HIS-System eine Abweichung zu Angaben in den aktuellen HIS-Anwendungshinweisen habe. Laut dieses Anwendungshinweises gelte in der Sparte Leben im A-Pool die übliche Speicherdauer von 4 Jahren + laufendes Kalenderjahr und im L-Pool 10 Jahre. Weiter wird Informa zitiert:
„Im HIS-System haben wir allerdings in der Sparte Leben einheitlich die ursprünglichen Fristen von 10 Jahren umgesetzt. Wir arbeiten mit Hochdruck daran, die Speicherfrist anzupassen.“
Zu Deutsch: Alte Eintragungen vor 2011 im Bereich Leben wurden anscheinend nicht differenziert, sondern pauschal mit einer 10 Jahres-Speicherfrist in das neue HIS übernommen. Ob das inzwischen wohl repariert ist, oder nach wie vor vielleicht zig tausende Betroffene rechtswidrig gespeichert sind?
Fazit zum Datenschutz und dem HIS
Ganz offensichtlich haben wir hier einen Fehler im HIS-System aufgedeckt, von dem vielleicht zig tausende Verbraucher betroffen sind – oder waren. Zwar wird man nie Fehler vollkommen vermeiden können. Und eine Datenmigration, also eine Umstellung von einem EDV-System auf ein anderes, ist eine ganz wunderbare Gelegenheit, Fehler zu erzeugen. Dass hier eine solche Fehlerquelle allerdings anscheindend immerhin seit 2011 unentdeckt blieb, ist unverständlich.
Einmal mehr sind wir bestätigt darin, zum Schutz unserer Kunden so vorsichtig wie möglich vorzugehen. Wer beispielsweise eine neue Berufsunfähigkeits- oder Risikolebensversicherung abschließen will und sich nicht sicher ist, ob es Eintragungen zu seiner Person im HIS gibt, sollte die Möglichkeit der kostenlosen Selbstauskunft nutzen – bevor ein Antrag gestellt wird.
Und einmal mehr freuen wir uns über jeden Versicherer, der grundsätzlich nicht mit dem HIS zusammen arbeitet.
Reaktionen:
und wieder so ein Fall… http://t.co/pBxdoX6vHu
— Sven Hennig (@online_pkv_de) October 22, 2014
Absolute Frechheit und ein waschechter Datenschutzskandal, @gdv_de!! Danke an Helberg Versicherungsmakler für die… http://t.co/sGtHti2lj2
— Wladimir Simonov (@honorarberater) October 22, 2014
Stehen Sie auch rechtswidrig auf der "schwarzen Liste" HIS?: http://t.co/jzPWFdYsbg
— Matthias Mühlichen (@liontec) October 22, 2014
Speichert die 'schwarze Liste' der Versicherer die Kunden- und Schadendaten rechtswidrig? http://t.co/tbRfkUXf2Z / @MatthiasHelberg
— H.Steup@MaklerTweet (@MaklerTweet) October 23, 2014
. Unendliche #HIS'ory Wer hat's gefunden? @MatthiasHelberg hat's gefunden. Wieder. http://t.co/JKmZ3c0lRu pic.twitter.com/uxLGsPqmYc
— Markus Rieksmeier (@rieksmeier) October 24, 2014
@MatthiasHelberg Gibt zu denken, Ihre Erfahrung mit dem HIS. Haben Sie mal Zeit für ein Gespräch?
— Dirk Fisser (@dirkfisser) October 24, 2014
@MatthiasHelberg Glückwunsch http://t.co/aLI6YGmNdf
— Oliver Mack (@zwischentuerme) October 24, 2014
HIS – Immer wieder Ärger mit der schwarzen Liste der Versicherer. @MatthiasHelberg fragt: Stehen Sie auch drauf? http://t.co/lIer0cWIBJ
— Kathrin Gotthold (@VerbraucherPost) October 24, 2014
Rechtswidrige Datenspeicherung in der “schwarzen Liste” der Versicherer? So kommen Sie an Ihre Daten http://t.co/QFsfq28IK2
— Sven Hennig (@online_pkv_de) October 28, 2014
Neue Osnabrücker Zeitung (NOZ) vom 30.10.2014:
http://t.co/4dpwxVtFa8 wirkt 11.000+ Pers. zu lange gespeichert http://t.co/MD4EH7Y8mr @MatthiasHelberg pic.twitter.com/debeYG2mxY
— Markus Rieksmeier (@rieksmeier) October 30, 2014
31.10.2014: GDV meldet Vollzug
Wir müssen in unserer Branche lernen, Fehlentwicklungen selber zu erkennen und abzustellen. Bevor es andere auf ihre Art und Weise tun.
— Matthias Helberg (@MatthiasHelberg) October 23, 2014
[contact-form-7]