Arag Krankenversicherung – wir spionieren Sie aus und natürlich nur zu Ihrem Besten

Sven Hennig

Versicherer haben oftmals zu Unrecht einen schlechten Ruf. Da werden Leistungen zu recht nicht erbracht und der Versicherer ist dennoch „böse“ und das ganz ohne Hintergrund. Doch manchmal…

In den letzten Tagen gab es dann doch Gesprächsstoff. Ein Kollege hatte etwas entdeckt, was Ihnen stutzig machte. Walter Benda von den Finanzprüfern hatte einen Newsletter eines Maklerpools bekommen, in welchen einige „wichtige Informationen“ zu einem Versicherer, der ARAG Krankenversicherung zu Lesen waren. Den Artikel dazu verlinke ich Ihnen am Ende dieses Beitrages ebenso.

Warum braucht der Versicherer Daten?

Das ist recht eindeutig und klar. Will der Versicherer einen Kunden versichern, so muss dieser eine ganze Reihe von Daten und Informationen liefern. Das ist auch völlig berechtigt und korrekt so. Nur wenn ein Versicherer im Rahmen der rechtlichen Möglichkeiten Informationen zu Kunden und Interessenten verarbeitet, nur dann kann dieser auch maßgeschneiderte Angebote erstellen und seine Leistung erfüllen. Dagegen ist absolut nichts einzuwenden und es muss auch so sein. Stellt also ein Kunde einen Antrag auf eine Kranken- oder Berufsunfähigkeitsversicherung, dann muss dieser Antrag geprüft werden. Daten, die hier notwendig sind, können zum Beispiel:

  • – Name und Anschrift

  • – Gesundheitsdaten

  • – Beruf, Ausbildung und aktuelle Tätigkeit

  • – Hobby- oder Freizeitaktivitäten

und einiges mehr sein. Um an diese Informationen zu kommen, gibt es Antragsformulare. In diesen fragt der Versicherer all das ab, was er für eine Antrags-/Annahmeentscheidung wissen will.

Wollen Sie diese Angaben nicht machen oder fragt Ihnen ein Unternehmen zu viel, dann entscheiden Sie sich dagegen und wählen einen anderen Versicherer. Soweit die Theorie.

So viel Daten wie nötig, so wenig wie möglich

Nicht erst seit Einführung der Datenschutzgrundverordnung (DSGVO) besteht die Verpflichtung, nur die Daten zu erheben welche zwingend nötig sind. Datensparsamkeit sollte immer und überall das erste Gebot sein und die Anzahl der Daten, die gesammelt werden sollten, beschränkt werden. Was ich nicht für eine Annahme oder die Abwicklung brauche, das sollte ich auch nicht speichern.

In einem Makler-Newsletter eines Pools fand sich nun folgender Hinweis, welcher anscheinend auf Abwicklungen und Erfahrungen beruht und damit als „Warnung“ an die Makler verschickt wurde. Ob dieser auf schlechten Erfahrungen beruht ist nicht bekannt.

Recherche versus unerlaubtes Profiling?

Wir lesen nun also hier, der Antragsprüfer bzw. der Bearbeiter bei der ARAG googelt jeden Kunden und beschafft sich hiermit weitere Informationen ÜBER DEN ANTRAG HINAUS.

Diese Informationen können sich sowohl aus einer Internetseite des Unternehmen oder der selbstständigen Tätigkeit ergeben, aber genauso aus sozialen Netzwerken, Profilen bei Instagram, Facebook und dergleichen oder aus anderen „öffentlichen Quellen“.

Nun gibt es dabei einige Probleme. Zuerst fällt mir dann die Datensparsamkeit wieder ein. Auf der anderen Seite wissen wir alle, mancher möchte im Netz besser dastehen und „hübscht einige Infos etwas auf“. Auch Fake Profile, Berichte Dritter über eine Person oder dergleichen sind vielen sicher ein Begriff.

Stellen wir uns einen typischen Fall vor. Max Muster möchte einen Antrag bei der ARAG Krankenversicherung stellen und tut dieses auch. Nach Ankunft des Antrages bei dem Unternehmen öffnet der Mitarbeiter Google, Facebook und dergleichen und sucht erstmal das zusammen, was er über den (potentiellen) Kunden finden kann.

Alles wird gesammelt, aufgeschrieben und in der Kundenakte verarbeitet, sonst hätte man ja hier keinen Zugriff. Es entsteht also so nach und nach ein Kundenprofil mit Informationen, welche ausdrücklich nicht im Antrag abgefragt wurden und welche der Kunde auch sicher nicht für die Versicherung so dargestellt hat.

Wie weit geht die Recherche? Fakeprofile? Detektive?

Eine entscheidende Frage bleibt aber. Wie weit geht eine solche Suche? Was passiert zum Beispiel in sozialen Netzwerken, wo nur bestimmte Infos mit bestimmten Gruppen oder „Freunden“ geteilt werden? Geht es soweit, dass hier Fakeprofile benutzt werden, oder möchte der Sachbearbeiter mit seinem privaten Facebook Profil dann mit dem Kunden „befreundet sein“?

Diese Fragen bleiben offen. Auch ist nicht geklärt, was genau dort an Informationen gesammelt wird. Was ist mit Hobbys oder alten Presseberichten, welche Sportarten beschreiben die der Kunde vielleicht gar nicht mehr betreibt?

Was, wenn jemand mal mit Alkohol am Steuer erwischt wurde oder ständig Bilder von exzessiven Feiern postet? Ist der dann ein „höheres Risiko“ und wird nicht versichert?

Wie mein Kollege schon schrieb:

Zwar gehe ich davon aus, dass man GMV (gesunden Menschenverstand) walten lässt, aber dennoch bleibt es ein unbeschränkter Raum, in dem gewühlt wird. Was z. B. wenn Dinge aus der Vergangenheit auftauchen, die verjährt sind? Oder Falschaussagen, die dem Antragssteller unbekannt waren bzw. sind, beispielsweise Abrechnungsdiagnosen? Oder üble Nachrede?

Dazu hat die ARAG auch einen Passus in die Datenschutzerklärung eingebaut. In dem aktuellen Antrag der ARAG KV findet sich folgende Aussage:

Hier wird also nicht nur das verwendet, was Sie im Antrag angegeben und die ARAG damit offensichtlich erfragt hat. Auch Informationen der Tochter- und Mutterunternehmen werden genutzt, ebenso alles was (irgendwie) öffentlich zugänglich ist.

Nun bin ich kein Datenschutzexperte, aber ein komisches Gefühl bleibt. Wann ist eine Information öffentlich zugänglich? Was ist mit Bildern, Daten die Sie „Freunden“ bei Facebook zur Verfügung stellen oder Informationen die in geschlossenen Gruppen und Foren geteilt und besprochen werden?

In der Datenschutzerklärung wird von „zulässigerweise“ erhobenen Daten gesprochen. Was ich habe, kann ich dann auch verwerten. Ein generelles Verbot, dass solche Daten dann auch in einer Auseinandersetzung genutzt werden können gibt es so nicht.

Ablehnung ohne Grund?

Nehmen wir also an, Sie stellen einen Antrag an die ARAG und wollen sich versichern. Dort machen Sie alle Angaben die angefragt werden und können, Sie sind ja gesund, alle Fragen mit nein beantworten. Zack, Antrag eingereicht und die Police sollte nun bald kommen.

Doch was passiert? Statt der Police trudelt eine Ablehnung ein. Verwundert schauen Sie auf das Blatt Papier und vermuten eine Verwechslung, ein kleiner Fehler, kann ja mal passieren.

Doch STOP: Erinnern wir uns. Versicherer können einen Antrag jederzeit ablehnen. So, wie Sie als Person oder Unternehmen mit keinem ein Geschäft machen müssen (selbst wenn alles gut ist, nur ihm seine Nase nicht passt), so können auch Gesellschaften Anträge ohne Grund ablehnen.

Das könnte durchaus passieren und Sie wissen nicht warum.

Profiling ist genauso verboten, wie Diskriminierung und wer weiß schon welche Daten genutzt wurden um eine Entscheidung zu treffen und wie lange diese Daten wo gespeichert wurden?

Klar, einen Anspruch auf Auskunft für alles, was elektronisch verarbeitet ist und wurde, haben Sie. Nicht erst seit der DSGVO können Sie solche Infos anfordern und erfragen. Ist es aber nur kurzfristig gespeichert, schon wieder gelöscht oder nur eine persönliche Meinung des Bearbeiters, so werden Sie es nie herausfinden können. Dabei mag ich der ARAG gar nicht unterstellen, man würde Merkmale wie sexuelle Ausrichtung, politische Meinung oder dergleichen als Grund nehmen. Aber finden würde man diese im Netz bei einigen Antragstellern sicherlich. Doch nochmals auch hier der Hinweis:

Wie vertrauenswürdig ist so eine Quelle bei Tante Google? Wer hat welche Infos mit welchem Ziel ins Netz gestellt? Es gibt ganze Agenturen die beauftragt werden falsche oder kompromittierende Bilder und Infos aus dem Netz zu entfernen, weil der Ex, der Kollege oder Arbeitgeber mal etwas ins Netz gestellt hat?

Gab und gibt es Datenschutzverstöße der ARAG?

Nun, wie im Beitrag von dem Kollegen Benda schon angesprochen und in Gruppen diskutiert. Spannend ist in jeden Fall zu prüfen, ob einer oder mehrere der folgenden Verstöße vorliegen. Das müssen aber Juristen oder Datenschutzexperten tun.

  • Verstoß gegen Datenminimierung

  • Verstoß gegen zweckgebundene Verarbeitung bzw. zu weite Auslegung

  • Zugriff auf zulässige Drittquellen unzureichend spezifiziert bzw. nicht eingegrenzt

  • Verwendung von Suchmaschinendaten ohne Eingrenzung erlaubt Profiling

  • Fehlende Information an den Betroffenen über erhobene Daten bzw. deren Verarbeitung (Art 14 DSGVO)

  • Fehlende Auflistung der betroffenen Schutzgesetze (Verstoße gegen Art. 13 u. 14 I c DSGVO)

Gibt es eine Lösung? Was sollten Sie tun?

Allein aufgrund einer solchen Datenschutzfrage wird ein Tarif eines Versicherers oder das Unternehmen selbst nicht schlecht. Die ARAG hat sich in den letzten Jahren bewegt und sich in Bezug auf Tarife und Unternehmen weiterentwickelt. Im Bereich der Krankenversicherung, gerade in Bezug auf den ARAG MEDBEST ist durchaus etwas passiert. Auch wenn ich hier in dem Tarif Patzer und Lücken sehe (die Analyse ist leider immer noch nicht online, erscheint aber dann hier im Blog) kann und wird der Tarif oder Versicherer sicher bei einigen passen und/ oder sogar der richtige sein.

Einfach im Antrag streichen?

Natürlich können Sie in der Datenschutzerklärung den entsprechenden Teil streichen. Wenn dem so ist, dann sollten Sie das jedoch so deutlich und unmissverständlich tun, dass es direkt auffällt. Nur hinten in der Datenschutzerklärung einen Strich zu machen reicht m.E. nicht aus.

Ich befürchte, wird der Antrag dann bearbeitet und von vorn nach hinten durchgesehen, kann diese Streichung auch einmal übersehen werden. Dann ist ggf. die Erfassung und Suche nach Daten schon erfolgt und erst dann fällt der kleine Strich im Antrag auf.

Daher sollten Sie es direkt im Antrag sichtbar kommunizieren oder durch Ihren Berater machen lassen. Wichtig ist hier, der Hinweis muss ankommen bevor der Antrag bearbeitet wird. Auf der Seite 5 wäre über den Datenschutzhinweisen genug Platz einer Nutzung von „Daten aus öffentlichen Quellen wie Google oder sozialen Netzwerken“ zu widersprechen.

Was passieren kann und wohl auch wird: Der Antrag wird so nicht bearbeitet oder es folgen Rückfragen. Daher sollten Sie sich sodann an einen Spezialisten wenden.

Weiterhin fordern Sie, falls Sie schon einen Antrag gestellt haben, einfach einmal eine Selbstauskunft der gespeicherten und verarbeiteten Daten an.

Einheitsantrag von Pools und Partnern?

Eine weitere Option sind so genannte Einheitsanträge. Diese sind durch Maklerpools oder Dienstleister geschaffen worden, damit es der Berater einfacher hat. Große Vertriebe wie MLP nutzen diese Einheitsanträge seit Jahren und schwören darauf. Ich halte diese für gefährlich und mit hohem Risiko in vielen Fällen verbunden und sehe hier nur in ganz wenigen Situationen einen Vorteil. Den gilt es dann abwägen und genau zu entschieden. Dazu aber einmal in einem anderen Beitrag mehr.

Ich frage einmal an

Doch nun, erstmal Danke an den Kollegen Benda für den Anstoß, Danke an alle Kollegen die sich bei solchen Diskussionen rege beteiligen.

Hier noch der Link zum Artikel des Kollegen.

Arag Krankenversicherung spioniert Kunden und Interessenten aus

Das zeigt einmal mehr, viele denken im Sinne der Kunden und versuchen zu helfen.

Ich werde nun einmal die ARAG anfragen und um etwas mehr Erklärungen bitten. Sobald mir diese vorliegen, ergänze ich diese hier oder es gibt eine Fortsetzung.

Den Antrag als pdf können Sie sich hier ansehen und herunterladen:

ARAG, Antrag auf Kranken- und Pflegeversicherung, Stand 10/2019

Tags: , , , , , , , ,

Eine Antwort zu “Arag Krankenversicherung – wir spionieren Sie aus und natürlich nur zu Ihrem Besten”

  1. Byom Says:

    Das ist doch nichts neues. Das kenne ich so in der Form schon seit Jahren bei anderen Unternehmen.
    Würde jemand anderes als der Versicherer bei so manchen Ablehnungen den wahren Grund erfahren, könnte es nicht nur wegen dem AGG ein Problem für den Versicherer geben.

Schreiben Sie eine Antwort.