Mit zweifelhaften Beziehungen zwischen Tippgebern und Versicherungen sorgte die Debeka bundesweit für Schlagzeilen. Der Vorwurf: Angestellte des Versicherers hätten jahrelang Adressen von Lehrern und anderen Beamten gekauft, um deren Kollegen eine private Krankenversicherung zu vermitteln.

Anzeige

Die Anschuldigungen alarmierten auch Edgar Wagner, den rheinland-westfälischen Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI). Im Dezember des letzten Jahres leitete Wagner ein Ordnungswidrigkeitsverfahren gegen den Debeka Krankenversicherungsverein a.G. ein. Auch Vorstände und Aufsichtsrat sollten sich wegen Aufsichtspflichtverletzungen verantworten.

Bußgeldverfahren einvernehmlich abgeschlossen

Doch heute konnte die Debeka eine Einstellung des Ordnungswidrigkeitsverfahrens bekannt geben. Im Gegenzug akzeptiert das Unternehmen eine Geldbuße von 1,3 Millionen Euro. „Mit der Beendigung des Verfahrens sind die gegen die Debeka erhobenen Vorwürfe von Aufsichtspflichtverletzungen im Bereich des Datenschutzes insgesamt aufgearbeitet“, heißt es in einem gleichlautenden Pressetext der Debeka und des Datenschutzbeauftragten. Weiterhin strafrechtlich verantworten müssen sich aber Mitarbeiter sowie Beschäftigte im öffentlichen Dienst.

Das Bußgeld ist das Höchste, welches bisher von einer Landesdatenschutzbehörde verhängt worden ist. Die Debeka erklärte sich zudem bereit, für 600.000 Euro eine Stiftungsprofessur für Datenschutz an der Universität Mainz einzurichten. Mit der Einigung verzichten beide Seiten auf ein Gerichtsverfahren und legen den Fall zu den Akten.

Datenschutzverletzungen „in einigen Fällen“ eingeräumt

In der Pressemeldung räumte die Versicherung ein, „dass in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka durch Informationen von Kollegen gewonnen wurden“. Einzelne Debeka-Mitarbeiter hätten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil ein Entgelt bezahlt. Damit hätten die Mitarbeiter sowohl gegen unternehmensinterne Vorgaben als auch gegen Datenschutzrecht verstoßen. Seit 2013 können derartige Delikte mit erheblichen Bußgeldern geahndet werden.

Durch die Akzeptanz des Bußgeldes kommt die Debeka mit einem blauen Auge davon. Bei der Höhe der Strafzahlung wurde positiv berücksichtigt, dass sich die Debeka zu einer umfassenden Kooperation mit der Datenschutzbehörde bereit erklärt hatte und die Stiftungsprofessur bezahlen will. Auch die Bereitschaft der Debeka, bei der Anwerbung neuer Kunden künftig die Einhaltung der Datenschutzvorschriften zu achten, wurde zugunsten des Versicherers gewertet.

BaFin hat Anforderungen an Tippgeber verschärft

Im Mai 2014 hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits bei der Debeka nach einer aufsichtsrechtlichen Prüfung organisatorische "Mängel im Umgang mit personenbezogenen Daten potenzieller Neukunden" festgestellt, aber keine Sanktionen verhängt. Die Finanzaufsicht hat daraufhin die Anforderungen an Tippgeber verschärft und mit der Konsultation 07/2014 konkretisiert, was Tippgebern zukünftig erlaubt ist und was nicht.

Anzeige

Klar ist: Das Tippgeber-System verstößt nicht gegen Datenschutz-Bestimmungen, sofern eine Weitergabe von Adressen über Tippgeber mit einer förmlichen Einwilligungserklärung jedes einzelnen Betroffenen erfolgt. Hierauf soll zukünftig strenger geachtet werden. Neben der Debeka gerieten auch andere Krankenversicherer in Verdacht, bei der Weitergabe von persönlichen Daten nicht ausreichend auf den Datenschutz zu achten.