Schufa, HIS und Co.: Was Auskunfteien alles über Sie wissen

Die Frage ist nun: Durfte der Deutsche Ring, eine Tochter der Signal Iduna, die Informationen aus der 2010er-Anfrage noch nutzen? Der Deutsche Ring teilt dazu mit, dass es sich um ein Versehen handele. Daten aus Risikovoranfragen würden normalerweise nur für ein Jahr „vorgehalten“.

Tatsächlich dürfen private Kassen Gesundheitsdaten laut Datenschutz-Selbstverpflichtung der Branche für bis zu drei Jahre speichern, „wenn der Vertrag nicht zustande kommt“. Weiter heißt es jedoch, dass die Frist am Ende des Jahres der „Antragstellung“ beginnt. Die Klausel bezieht sich somit auf offizielle Anträge; von „Risikovoranfragen“ ist nicht die Rede.

Sammelwut bei Finanzdaten

Rindermann bezweifelt deshalb, dass es überhaupt eine Rechtsgrundlage für die Datenspeicherung nach abgelehnten Voranfragen gibt. Laut Deutschem Ring ist ein Jahr notwendig, um sie „sachgemäß“ zu bearbeiten. Schließlich würden Voranfragen bisweilen von Maklern modifiziert, und manchmal kämen „noch Gutachten und Nachfragen ins Spiel“.

Die alten Daten des Karlsruhers hat der Versicherer inzwischen gelöscht. Trotzdem muss der Mann, der sich mit einer privaten Zusatzpolice absichern wollte, nun anderswo sein Glück versuchen.

Der Streit zeigt: Die Finanzbranche speichert massenhaft Daten – bisweilen auf zumindest fragwürdiger rechtlicher Grundlage und über vereinbarte Fristen hinaus. Während die Datensammeleien von Geheimdiensten wie der NSA den Durchschnittsbürger eher kalt lassen, kann die Sammelwut bei Finanzdaten gravierende Folgen haben, bis hin zur Verweigerung von existenziellen Versicherungen.

Auch Bankkunden kann ein laxer Umgang mit Daten teuer zu stehen kommen. So können Kreditanträge abgelehnt werden, wenn Informationen bei der Bonitätsauskunft Schufa nicht rechtzeitig gelöscht oder gar falsche Angaben gespeichert werden. Jeder Verbraucher sollte deshalb wissen, welche Daten Finanzdienstleister über ihn horten. Bei der eigenen Bank und Versicherung ist das klar. Aber was haben sie an andere Unternehmen oder Datenbanken weitergegeben? Und sind die Daten korrekt? Was ist noch aus etwaigen abgelehnten Anträgen hinterlegt? Ich habe versucht, das herauszufinden – und dabei überraschende Erkenntnisse gewonnen.

Abfrage bei der Datenbank

Zunächst will ich wissen, was das Hinweis- und Informationssystem der Versicherer (HIS) über mich hergibt (siehe Kasten). Meine Vermutung ist: gar nichts. Denn das HIS ist eine Datenbank, die vor allem der „Prävention von Versicherungsbetrug“ dient.

Versicherer melden dazu „Auffälligkeiten“ wie Schadensmeldungen kurz nach Abschluss einer Haftpflichtversicherung sowie „atypische Schadenshäufigkeiten“. In der Haftpflicht-, Hausrat- und Gebäudeversicherung führen drei Schäden binnen zwei Jahren zu einem Eintrag. In der Kfz- und Rechtsschutzversicherung liegt die Schwelle mit vier Schäden in zwölf Monaten etwas höher.

Von diesen Schwellen bin ich weit entfernt. Umso größer die Überraschung, als nach vier Tagen die Selbstauskunft im Briefkasten liegt. Denn zu meiner Person ist sehr wohl eine Auffälligkeit eingetragen: Die Allianz hat mich mit der Begründung „Versicherungssumme/Rentenhöhe“ eintragen lassen. Was hat das zu bedeuten? „Wer eine Berufsunfähigkeitsversicherung abschließt, wird ans HIS gemeldet, sobald die jährliche Rente daraus mehr als 9000 Euro beträgt“, erklärt Thomas Lämmrich vom Versicherungsverband GDV. Sichtbar für andere Versicherer seien Einträge aber nur, wenn die jährliche Rente – womöglich im Zusammenspiel mit einer weiteren Police – 12.000 Euro übersteige.

Die Versicherer befürchten, dass Menschen bei allzu üppiger Absicherung kein Interesse haben, den Versicherungsfall „durch Vorsicht und Prävention“ zu vermeiden – oder gar in Versuchung geraten, ihn bewusst herbeizuführen. Für ein gemütliches Rest-Leben mit auskömmlicher Berufsunfähigkeitsrente scheint mancher bereit, sich zu verstümmeln.

Droht mir wegen des Eintrags nun ein Nein, wenn ich eine weitere Berufsunfähigkeits-(BU-)Police beantrage? Nein, sagt Lämmrich. Ein HIS-Eintrag führe nicht automatisch zur Ablehnung. Die Assekuranzen schauten in solchen Fällen aber genau hin und prüfen zum Beispiel, wie hoch die BU-Rente im Vergleich zum aktuellen Einkommen ist. Ist sie gleich hoch oder höher, schrillen die Alarmglocken.

Mordverdacht ab 300.000 Euro

Lebensversicherungen, die im Todesfall auszahlen, führen ab 100.000 Euro Versicherungssumme zu einem HIS-Eintrag. „Sichtbar für andere Versicherer wird der Eintrag aber erst, wenn die Versicherungssumme – womöglich im Zusammenspiel mit anderen Policen – 300.000 Euro erreicht“, sagt Lämmrich. So viel Geld, so das Kalkül, könnte schon mal zu einem Missbrauch verleiten – bis hin zu Selbstmord oder Mord. Versicherer wollen deshalb wissen, ob bereits ein hoher Todesfallschutz besteht, wenn sie Anträge prüfen.

Einträge im HIS können weitreichende Folgen haben – von der besonders kritischen Prüfung einer Schadensmeldung bis hin zur Verweigerung einer wichtigen BU- oder Lebensversicherung. Versicherte sollten deshalb unbedingt per Selbstauskunft prüfen, ob Angaben korrekt sind und überhaupt noch gespeichert werden dürfen.

Die Löschvorschriften sind ein Fall für juristische Feinschmecker. Grundsätzlich gilt: Einträge müssen vier Jahre nach Ablauf des Jahres, in dem sie erfolgten, gelöscht werden – es sei denn, innerhalb der Frist kommt ein Eintrag in der jeweiligen Sparte hinzu. Meine 2012 eingetragene BU bliebe also für weitere vier Jahre vermerkt, wenn ich bis Ende 2016 eine zweite BU mit einer Jahresrente von über 9000 Euro abschließe. Nach Ablauf der zweiten Vier-Jahres-Frist ist aber endgültig Schluss.

Eine Ausnahme von der Vier-Jahres-Frist gilt für Daten von Personen, deren Anträge auf BU- oder Lebenspolicen abgelehnt wurden. Sie werden nur drei Jahre lang gespeichert, ebenfalls vom Ende des Jahres an gerechnet, in dem der Eintrag erfolgte.

Der Grund – meist Krankheiten, aber auch gefährliche Berufe oder Hobbys – ist zwar nicht sichtbar, wenn Sachbearbeiter anderer Versicherer das HIS abrufen. Es erscheint aber ein Vermerk, dass beim Antragsteller „Erschwernisse“ vorliegen. „Das können die Versicherer dann zum Anlass nehmen, nachzuhaken“, sagt Lämmrich.

Die privaten Krankenversicherer (PKV) machen beim HIS nicht mit. Sie speichern – wie der Fall Deutscher Ring zeigt – Daten aus abgelehnten Voranfragen und Anträgen selbst, leiten sie aber nicht an eine Datenbank weiter. Woanders landen können sie trotzdem, denn die Versicherer speichern Gesundheitsdaten auch, „um mögliche Anfragen weiterer Versicherungen beantworten zu können“.

Nach Angaben des Krankenversicherer-Verbands gibt es aber keine standardmäßigen Rundfragen bei der Konkurrenz, wenn Anträge oder Voranfragen geprüft werden. Stattdessen wird gezielt nachgefragt, wenn ein Antragsteller angibt, dass in den letzten drei Jahren ein Antrag bei einem anderen Unternehmen angelehnt wurde. Danach erkundigen sich Versicherer in ihren Formularen explizit.

Aber wird nach Ablauf von Fristen tatsächlich gelöscht? Finanzmakler Rindermann fürchtet, dass zahlreiche Versicherer mit Daten arbeiten, die Kunden längst vernichtet wähnen. „Ich erlebe immer wieder, dass Risikovoranfragen oder Anträge völlig überraschend abgelehnt werden – sei es bei Kranken-, Berufsunfähigkeits- oder Lebensversicherungen.“ Meist gebe es keine Begründung.

Keine Selbstauskunft beim HIS

Rindermann empfiehlt Kunden, die Versicherung nach einer abgelehnten Risikovoranfrage aufzufordern, die Daten umgehend zu löschen und dies zu bestätigen. Bei abgelehnten offiziellen Anträgen ist dies nach Ablauf der Drei-Jahres-Frist zwar ausdrücklich vorgesehen – aber es schadet trotzdem nicht, dies zu überprüfen.

In der Krankenversicherung können noch weitere Informationen über Versicherte in der Branche umherschwirren, ohne dass diese das wissen. Das liegt am „System der Versichertenumfrage“, mit dem die Krankenversicherer Betrug bei Bestandskunden bekämpfen wollen. Namen von Antragstellern, mit denen kein Vertrag zustande gekommen ist, werden laut PKV-Verband dagegen nicht gespeichert. Verbandssprecher Dominik Heck versichert, angewandt werde das System nur als „seltene Ausnahme“ bei ernsthaften und schwerwiegenden Verdachtsmomenten.

„Im Bereich der Krankentagegeldversicherung etwa kommt es vor, dass Personen sich bei verschiedenen Gesellschaften versichern“, so Heck. Wer so handelt, könnte sich absichtlich verletzen und dann hohe Krankentagegelder einstreichen. Fällt einem Versicherer etwas auf, füllt er eine Karteikarte aus und faxt die an den Verband, der jedem Mitgliedsunternehmen per Post eine Kopie schickt und danach die Daten „sofort“ löscht, so Heck.

"Das System ist intransparent"

Das Gleiche gelte für die Versicherer, wenn die gemeldete Person nicht zu ihren Kunden gehört, der Verdacht auf betrügerische Doppelversicherung sich also nicht bestätigt. „Dazu haben sich die teilnehmenden Unternehmen gegenüber den Datenschutzbehörden verpflichtet“, sagt Heck. Das Problem: Kontrollieren kann das keiner. Denn anders als beim HIS gibt es keine Auskunft darüber, welche Daten über mich kursieren. Meinen Plan, dies per Selbstauskunft herauszubekommen, muss ich begraben.

„Das System der privaten Krankenversicherer ist intransparent“, sagt Rindermann. Auch Thilo Weichert, oberster Datenschützer in Schleswig-Holstein, hält das Verfahren für „nicht vereinbar mit unserem Datenschutzrecht“. Laut „Handelsblatt“ will sich der PKV-Verband in den kommenden Monaten dem HIS anschließen.

Nachdem die HIS-Auskunft einen überraschenden Eintrag zutage gefördert und die Recherchen in Sachen PKV ins Nichts geführt haben, bin ich besonders gespannt, was die Schufa über mich weiß. Das Gemeinschaftsunternehmen der Banken und Sparkassen gehört zu den eifrigsten Datensammlern des Landes; es hortet 682 Millionen Informationen zu 66,3 Millionen Personen und 4,2 Millionen Firmen.

Sie erfährt zum Beispiel, wenn ich irgendwo ein Konto eröffne, einen Kredit aufnehme oder eine Kreditkarte bekomme. Auch der Abschluss von Mobilfunk-, Leasing- oder Ratenzahlungsverträgen wird von den 8500 Vertragspartnern der Schufa – neben Banken auch Telekomfirmen, Versandhändler und andere – umgehend gemeldet. Die Schufa aber speichert bisweilen falsche Informationen oder löscht Daten nicht rechtzeitig. Zuletzt holten im August zehn Kollegen des „Handelsblatts“ Schufa-Auskünfte ein und stießen auf mehrere Fehler; so war zum Beispiel ein Kredit eingetragen, der bereits vor zehn Jahren getilgt wurde.

Die Schufa verweist darauf, dass der unabhängige Ombudsmann – der jüngst verstorbene Ex-Vizepräsident des Bundesverfassungsgerichts, Winfried Hassemer – 2013 nur 32 Fehler bemängelt habe. Das allerdings sind nur Fehler, die auch von Kunden bemerkt wurden.

Fehler können gravierende Folgen haben. Wenn etwa ein getilgter Kredit noch eingetragen und die Rückzahlung nicht vermerkt ist, verschlechtert das meine Bonitätsnote – was wiederum dazu führen kann, dass mir Kredite zu miesen Konditionen angeboten oder ganz verweigert werden. Umso wichtiger also, dass die Auskunftei keine falschen Daten speichert.

Streit um den "score"

Doch die Schufa spannt mich auf die Folter; drei Wochen dauert es, bis die Selbstauskunft im Briefkasten liegt. Immerhin ist alles korrekt, zumindest so weit ich das überprüfen kann. So steht darin, wo ich Girokonten eröffnet und Kreditkartenverträge abgeschlossen habe. Der gemeinsam mit meiner Frau aufgenommene Immobilienkredit ist ebenfalls vermerkt, inklusive Summe und Fälligkeit. Da sämtliche Konten und Verträge noch laufen und der Kredit – leider – noch nicht getilgt ist, gibt es keinen Grund, bei der Schufa Korrekturen oder Löschungen zu beantragen. Automatisch gelöscht werden Kredite drei Jahre nach der Rückzahlung (bis dahin Vermerk „erledigt“), Giro- und Kreditkartenkonten sofort nach Auflösung.

Allerdings kann ich auch hier wieder nicht alle Daten überprüfen. Denn neben Informationen, die Banken und andere über mich übermittelt haben, schickt mir die Schufa auch mehrere „Score“-Werte, die sie auf Basis meiner Daten ermittelt hat.

Der Basis-Score drückt aus, mit welcher Wahrscheinlichkeit ich meine künftigen Zahlungsverpflichtungen erfüllen kann. Hinzu kommen noch 17 Einzel-Scores, die zeigen, wie hoch diese Wahrscheinlichkeit gegenüber verschiedenen Geschäftspartnern ist, darunter Banken, Telekomanbieter und Versandhandel.

Die Rechnungsmethode ist unbekannt

Meine Score-Werte sind okay, somit muss ich nicht einschreiten. Aber auch wenn sie überraschend niedrig wären, könnte ich nicht prüfen, ob die Schufa richtig gerechnet hat. Denn die gibt zwar an, welche Kriterien einfließen, etwa die Anzahl der „Kreditaktivitäten“ oder Zahlungsausfälle. Aber die Rechenmethode gibt sie nicht preis – „Geschäftsgeheimnis“. Zu Recht, wie der Bundesgerichtshof im Januar entschied. Die Richter wiesen die Klage einer Frau ab, für die die Schufa Score-Werte von zum Teil nur knapp über 80 Prozent errechnet hat. Es reiche, wenn die Schufa die Kriterien nenne, die in die Berechnung einflössen.

Zudem habe die Auskunftei ihre Rechenmethode vor Datenschützern offengelegt. Das letzte Wort hat nun das Bundesverfassungsgericht.

Vorerst kann daher kein Kunde prüfen, wie Scores berechnet werden, ob die Methode sinnvoll ist und ob sich womöglich Fehler eingeschlichen haben. Immerhin können Verbraucher der Schufa Scores zu ihrer Person untersagen. Doch Verweigerer machen sich verdächtig, sie bekommen oft weder Kredit noch Handyvertrag. Und wer versucht, ein „Schufa-freies“ Darlehen zu bekommen, landet meist schnurstracks bei Kredithaien.

Dann doch lieber mitmachen. Und die Grundlage der Scores – die gespeicherten Daten – penibel prüfen.