“Wir spionieren Sie aus und natürlich nur zu Ihrem Besten”
Versicherer haben oftmals zu Unrecht einen schlechten Ruf. Da werden Leistungen zu recht nicht erbracht und der Versicherer ist dennoch “böse” und das ganz ohne Hintergrund. Heute schauen wir uns ein heikles Thema an, einen Sonderfall. Die Arag Krankenversicherung Spionage, oder besser den Vorwurf.
In den letzten Tagen gab es dann doch Gesprächsstoff. Ein Kollege hatte etwas entdeckt, was Ihnen stutzig machte. Walter Benda von den Finanzprüfern hatte einen Newsletter eines Maklerpools bekommen, in welchen einige “wichtige Informationen” zu einem Versicherer, der ARAG Krankenversicherung zu Lesen waren. Den Artikel dazu verlinke ich Ihnen am Ende dieses Beitrages ebenso.
Warum braucht der Versicherer Daten?
Das ist recht eindeutig und klar. Will der Versicherer einen Kunden versichern, so muss dieser eine ganze Reihe von Daten und Informationen liefern. Das ist auch völlig berechtigt und korrekt so. Nur wenn ein Versicherer im Rahmen der rechtlichen Möglichkeiten Informationen zu Kunden und Interessenten verarbeitet, nur dann kann dieser auch maßgeschneiderte Angebote erstellen und seine Leistung erfüllen. Dagegen ist absolut nichts einzuwenden und es muss auch so sein. Stellt also ein Kunde einen Antrag auf eine Kranken- oder Berufsunfähigkeitsversicherung, dann muss dieser Antrag geprüft werden. Daten, die hier notwendig sind, können zum Beispiel:
- Name und Anschrift
- Gesundheitsdaten
- Beruf, Ausbildung und aktuelle Tätigkeit
- Hobby- oder Freizeitaktivitäten
und einiges mehr sein. Um an diese Informationen zu kommen, gibt es Antragsformulare. In diesen fragt der Versicherer all das ab, was er für eine Antrags-/Annahmeentscheidung wissen will.
Wollen Sie diese Angaben nicht machen oder fragt Ihnen ein Unternehmen zu viel, dann entscheiden Sie sich dagegen und wählen einen anderen Versicherer. Soweit die Theorie.
So viel Daten wie nötig, so wenig wie möglich
Nicht erst seit Einführung der Datenschutzgrundverordnung (DSGVO) besteht die Verpflichtung, nur die Daten zu erheben welche zwingend nötig sind. Datensparsamkeit sollte immer und überall das erste Gebot sein und die Anzahl der Daten, die gesammelt werden sollten, beschränkt werden. Was ich nicht für eine Annahme oder die Abwicklung brauche, das sollte ich auch nicht speichern.
In einem Makler-Newsletter eines Pools fand sich nun folgender Hinweis, welcher anscheinend auf Abwicklungen und Erfahrungen beruht und damit als “Warnung” an die Makler verschickt wurde. Ob dieser auf schlechten Erfahrungen beruht ist nicht bekannt.
Arag Krankenversicherung Spionage – Recherche versus unerlaubtes Profiling?
Wir lesen nun also hier, der Antragsprüfer bzw. der Bearbeiter bei der ARAG googelt jeden Kunden und beschafft sich hiermit weitere Informationen über den Antrag HINAUS.
Diese Informationen können sich sowohl aus einer Internetseite des Unternehmen oder der selbstständigen Tätigkeit ergeben, aber genauso aus sozialen Netzwerken, Profilen bei Instagram, Facebook und dergleichen oder aus anderen “öffentlichen Quellen”.
Nun gibt es dabei einige Probleme. Zuerst fällt mir dann die Datensparsamkeit wieder ein. Auf der anderen Seite wissen wir alle, mancher möchte im Netz besser dastehen und “hübscht einige Infos etwas auf”. Auch Fake Profile, Berichte Dritter über eine Person oder dergleichen sind vielen sicher ein Begriff.
Stellen wir uns einen typischen Fall vor. Max Muster möchte einen Antrag bei der ARAG Krankenversicherung stellen und tut dieses auch. Nach Ankunft des Antrages bei dem Unternehmen öffnet der Mitarbeiter Google, Facebook und dergleichen und sucht erstmal das zusammen, was er über den (potentiellen) Kunden finden kann.
Alles wird gesammelt, aufgeschrieben und in der Kundenakte verarbeitet, sonst hätte man ja hier keinen Zugriff. Es entsteht also so nach und nach ein Kundenprofil mit Informationen, welche ausdrücklich nicht im Antrag abgefragt wurden und welche der Kunde auch sicher nicht für die Versicherung so dargestellt hat.
Wie weit geht die Recherche? Fakeprofile? Detektive?
Eine entscheidende Frage bleibt aber. Wie weit geht eine solche Suche? Was passiert zum Beispiel in sozialen Netzwerken, wo nur bestimmte Infos mit bestimmten Gruppen oder “Freunden” geteilt werden? Geht es soweit, dass hier Fakeprofile benutzt werden, oder möchte der Sachbearbeiter mit seinem privaten Facebook Profil dann mit dem Kunden “befreundet sein”?
Diese Fragen bleiben offen. Auch ist nicht geklärt, was genau dort an Informationen gesammelt wird. Was ist mit Hobbys oder alten Presseberichten, welche Sportarten beschreiben die der Kunde vielleicht gar nicht mehr betreibt?
Was, wenn jemand mal mit Alkohol am Steuer erwischt wurde oder ständig Bilder von exzessiven Feiern postet? Ist der dann ein “höheres Risiko” und wird nicht versichert?
Wie mein Kollege schon schrieb:
Zwar gehe ich davon aus, dass man GMV (gesunden Menschenverstand) walten lässt, aber dennoch bleibt es ein unbeschränkter Raum, in dem gewühlt wird. Was z. B. wenn Dinge aus der Vergangenheit auftauchen, die verjährt sind? Oder Falschaussagen, die dem Antragssteller unbekannt waren bzw. sind, beispielsweise Abrechnungsdiagnosen? Oder üble Nachrede?
Dazu hat die ARAG auch einen Passus in die Datenschutzerklärung eingebaut. In dem aktuellen Antrag der ARAG KV findet sich folgende Aussage:
Hier wird also nicht nur das verwendet, was Sie im Antrag angegeben und die ARAG damit offensichtlich erfragt hat. Auch Informationen der Tochter- und Mutterunternehmen werden genutzt, ebenso alles was (irgendwie) öffentlich zugänglich ist.
Nun bin ich kein Datenschutzexperte, aber ein komisches Gefühl bleibt. Wann ist eine Information öffentlich zugänglich? Was ist mit Bildern, Daten die Sie “Freunden” bei Facebook zur Verfügung stellen oder Informationen die in geschlossenen Gruppen und Foren geteilt und besprochen werden?
In der Datenschutzerklärung wird von “zulässigerweise” erhobenen Daten gesprochen. Was ich habe, kann ich dann auch verwerten. Ein generelles Verbot, dass solche Daten dann auch in einer Auseinandersetzung genutzt werden können gibt es so nicht.
Arag Krankenversicherung Spionage – Ablehnung auch ohne Grund?
Nehmen wir also an, Sie stellen einen Antrag an die ARAG und wollen sich versichern. Dort machen Sie alle Angaben die angefragt werden und können, Sie sind ja gesund, alle Fragen mit nein beantworten. Zack, Antrag eingereicht und die Police sollte nun bald kommen.
Doch was passiert? Statt der Police trudelt eine Ablehnung ein. Verwundert schauen Sie auf das Blatt Papier und vermuten eine Verwechslung, ein kleiner Fehler, kann ja mal passieren.
Doch STOP: Erinnern wir uns. Versicherer können einen Antrag jederzeit ablehnen. So, wie Sie als Person oder Unternehmen mit keinem ein Geschäft machen müssen (selbst wenn alles gut ist, nur ihm seine Nase nicht passt), so können auch Gesellschaften Anträge ohne Grund ablehnen.
Das könnte durchaus passieren und Sie wissen nicht warum.
Profiling ist genauso verboten, wie Diskriminierung und wer weiß schon welche Daten genutzt wurden um eine Entscheidung zu treffen und wie lange diese Daten wo gespeichert wurden?
Klar, einen Anspruch auf Auskunft für alles, was elektronisch verarbeitet ist und wurde, haben Sie. Nicht erst seit der DSGVO können Sie solche Infos anfordern und erfragen. Ist es aber nur kurzfristig gespeichert, schon wieder gelöscht oder nur eine persönliche Meinung des Bearbeiters, so werden Sie es nie herausfinden können. Dabei mag ich der ARAG gar nicht unterstellen, man würde Merkmale wie sexuelle Ausrichtung, politische Meinung oder dergleichen als Grund nehmen. Aber finden würde man diese im Netz bei einigen Antragstellern sicherlich. Doch nochmals auch hier der Hinweis:
Wie vertrauenswürdig ist so eine Quelle bei Tante Google? Wer hat welche Infos mit welchem Ziel ins Netz gestellt? Es gibt ganze Agenturen die beauftragt werden falsche oder kompromittierende Bilder und Infos aus dem Netz zu entfernen, weil der Ex, der Kollege oder Arbeitgeber mal etwas ins Netz gestellt hat?
Gab und gibt es Datenschutzverstöße der ARAG?
Nun, wie im Beitrag von dem Kollegen Benda schon angesprochen und in Gruppen diskutiert. Die Arag Krankenversicherung Spionage ist mehr als interessant. Spannend ist in jeden Fall zu prüfen, ob einer oder mehrere der folgenden Verstöße vorliegen. Das müssen aber Juristen oder Datenschutzexperten tun.
- Verstoß gegen Datenminimierung
- Verstoß gegen zweckgebundene Verarbeitung bzw. zu weite Auslegung
- Zugriff auf zulässige Drittquellen unzureichend spezifiziert bzw. nicht eingegrenzt
- Verwendung von Suchmaschinendaten ohne Eingrenzung erlaubt Profiling
- Fehlende Information an den Betroffenen über erhobene Daten bzw. deren Verarbeitung (Art 14 DSGVO)
- Fehlende Auflistung der betroffenen Schutzgesetze (Verstoße gegen Art. 13 u. 14 I c DSGVO)
Gibt es eine Lösung? Was sollten Sie tun?
Allein aufgrund einer solchen Datenschutzfrage wird ein Tarif eines Versicherers oder das Unternehmen selbst nicht schlecht. Die ARAG hat sich in den letzten Jahren bewegt und sich in Bezug auf Tarife und Unternehmen weiterentwickelt. Im Bereich der Krankenversicherung, gerade in Bezug auf den ARAG MEDBEST ist durchaus etwas passiert. Auch wenn ich hier in dem Tarif Patzer und Lücken sehe (die Analyse ist hier im Blog) kann und wird der Tarif oder Versicherer sicher bei einigen passen und/ oder sogar der richtige sein.
Arag Krankenversicherung Spionage – Lösung: einfach im Antrag streichen?
Natürlich können Sie in der Datenschutzerklärung den entsprechenden Teil streichen. Wenn dem so ist, dann sollten Sie das jedoch so deutlich und unmissverständlich tun, dass es direkt auffällt. Nur hinten in der Datenschutzerklärung einen Strich zu machen reicht m.E. nicht aus.
Ich befürchte, wird der Antrag dann bearbeitet und von vorn nach hinten durchgesehen, kann diese Streichung auch einmal übersehen werden. Dann ist ggf. die Erfassung und Suche nach Daten schon erfolgt und erst dann fällt der kleine Strich im Antrag auf.
Daher sollten Sie es direkt im Antrag sichtbar kommunizieren oder durch Ihren Berater machen lassen. Wichtig ist hier, der Hinweis muss ankommen, bevor der Antrag bearbeitet wird. Auf der Seite 5 wäre über den Datenschutzhinweisen genug Platz einer Nutzung von „Daten aus öffentlichen Quellen wie Google oder sozialen Netzwerken“ zu widersprechen.
Was passieren kann und wohl auch wird: Der Antrag wird so nicht bearbeitet oder es folgen Rückfragen. Daher sollten Sie sich sodann an einen Spezialisten wenden.
Weiterhin fordern Sie, falls Sie schon einen Antrag gestellt haben, einfach einmal eine Selbstauskunft der gespeicherten und verarbeiteten Daten an.
Einheitsantrag von Pools und Partnern?
Eine weitere Option sind so genannte Einheitsanträge. Diese sind durch Maklerpools oder Dienstleister geschaffen worden, damit es der Berater einfacher hat. Große Vertriebe wie MLP nutzen diese Einheitsanträge seit Jahren und schwören darauf. Ich halte diese für gefährlich und mit hohem Risiko in vielen Fällen verbunden und sehe hier nur in ganz wenigen Situationen einen Vorteil. Den gilt es dann abwägen und genau zu entschieden. Dazu aber einmal in einem anderen Beitrag mehr.
ARAG Krankenversicherung Spionage – Ich frage einmal an
Doch nun, erstmal Danke an den Kollegen Benda für den Anstoß, Danke an alle Kollegen die sich bei solchen Diskussionen rege beteiligen.
Hier noch der Link zum Artikel des Kollegen.
Arag Krankenversicherung spioniert Kunden und Interessenten aus
Das zeigt einmal mehr, viele denken im Sinne der Kunden und versuchen zu helfen.
Ich werde nun einmal die ARAG anfragen und um etwas mehr Erklärungen bitten. Hier die Antworten der ARAG.(meine eigenen Fragen in kursiv)
Sehr geehrter Herr Hennig,
gerne beantworten wir Ihnen die Fragen der ARAG KV:
- Welche Informationen aus öffentlichen Quellen (gem. Datenschutzerklärung) werden genutzt?
Z.B. Internetrecherche, Veröffentlichungen in der Presse, Angaben aus dem Bundesanzeiger, Registerportal, Bonitätsanfrage
- Werden auch Profile in sozialen Netzwerken genutzt und nutzen Mitarbeiter hierbei Ihre privaten Social Network Profile? (Die Frage zielt darauf ab, da bei Facebook zum Beispiel nur Informationen ersichtlich sind, wenn man angemeldet ist)
Es können auch Accounts in sozialen Netzwerken gesichtet werden. Grundvoraussetzung ist aber, dass diese frei zugänglich sind. Freie Facebookaccounts sind durchaus zugänglich, auch wenn der Nutzer selbst nicht angemeldet ist. Als Beispiel hier der Account von Frau Ilse Aigner oder auch von anderen Personen, die den Account nicht als „privat“ gesichert haben. Gleiches gilt z. B. für Instagram
Es werden keine „Freundschaftsanfragen“ gestellt, um von Account-Eigentümern eine Freischaltung zu erhalten. Das ist nicht zulässig.
- Was passiert bei einem BU Antrag, wenn ein gefährliches Hobby nicht angegeben wurde, dennoch bei der Suche im Netz oder Netzwerken solche Informationen gefunden werden?
Die ARAG Krankenversicherung bietet keine Berufsunfähigkeitsversicherung an und wir fragen auch keine Hobbys ab.
- Wie werden Informationen aus Google Suche, Presseartikeln oder Netzwerken gespeichert und verwendet?
Es erfolgt keine Speicherung der Daten.
- Werden gefundene Informationen bei einem BU Antrag (oder anderen Verträgen) zum Beispiel auch an die ARAG KV weitergegeben?
Die ARAG Krankenversicherung hat keinen Zugriff auf die Daten der anderen Sparten im Konzern. Wenn hier Informationen benötigt werden, werden diese über den Vetriebspartner und den Kunden mittels einer Nachbearbeitung zum Antrag angefordert.
Zur Klarstellung: Keine Gesellschaft des ARAG Konzerns bietet Berufsunfähigkeitsversicherungen an.
Den Antrag als pdf können Sie sich hier ansehen und herunterladen:
Das ist doch nichts neues. Das kenne ich so in der Form schon seit Jahren bei anderen Unternehmen.
Würde jemand anderes als der Versicherer bei so manchen Ablehnungen den wahren Grund erfahren, könnte es nicht nur wegen dem AGG ein Problem für den Versicherer geben.
Lieben Dank für die Erwähnung, sowie die weiterführenden Gedanken. Wenn ein Ergebnis vorliegt, bitte teilen. Ich bin gespannt, ob die ARAG den Fehler einräumt, korrigiert und auch allen Teilnehmern gleich kommunziert. Außerdem wäre es spannend zu wissen, was der Landesdatenschutzbeauftragte dazu sagt. Den sollte man aber erst kontaktieren, wenn die auf freundlichen Hinweis hin nicht reagieren.