Müheloser Zugriff auf Patientendaten möglich

Krankenkassen: Patientendaten offenbar nicht ausreichend geschützt

26.06.2014

Die Patientendaten mehrerer Millionen Krankenkassenmitglieder in Deutschland sind möglicherweise nicht ausreichend geschützt. Zu diesem Ergebnis kommt jedenfalls ein Test der „Rheinischen Post“ (RP). Dieser hatte gezeigt, dass ein Zugriff auf die sensiblen Daten auch ohne spezielle IT-Kenntnisse nahezu problemlos möglich ist.

Selbstversuch zum Thema Datenschutz
Wie sicher sind meine persönlichen Daten? Diese Frage kommt immer wieder auf, vor allem dann, wenn wieder einmal ein neuer Datenschutz-Skandal in die Schlagzeilen gerät. Um herauszufinden, wie gut die Patientendaten der gesetzlich versicherten Krankenkassenmitglieder in Deutschland geschützt sind, hat die „Rheinische Post“ (RP) nun einen Selbstversuch durchgeführt. Das Ergebnis: Die sensiblen Daten zu Behandlungen, Diagnosen und Arznei-Verschreibungen sind offenbar nur unzureichend geschützt und der Zugriff durch Dritte dadurch einfacher als gedacht.

Keine speziellen IT-Kenntnisse erforderlich
Wie die RP berichtet, habe der Test ergeben, dass auch Internet-Laien bereits mit einem einfachen Telefonanruf und wenigen Mausklicks an Informationen über andere gesetzlich Versicherte gelangen könnten. Notwendig sei hierfür lediglich der Name des Krankenkassenmitglieds sowie die Versichertennummer – keine schwierige Aufgabe, denn diese ist deutlich auf der Vorderseite der Chipkarte zu lesen. Liegen diese Daten vor, könnten über Online-Geschäftsstellen der Krankenkassen möglicherweise schnell und problemlos sensible Informationen eingeholt werden – denn die Sicherheitsvorkehrungen bei der Anmeldung seien bei diesen Service-Angeboten meist unzureichend.

Name und Versichertennummer ausreichend für Anmeldung in Online-Geschäftsstellen
Im Rahmen des Tests war es laut der RP einem Tester aus Süddeutschland gelungen, über den Namen und die Versichertennummer eines Redaktionsmitglieds der Zeitung Daten zu behandelnden Ärzten und verschriebenen Arzneien zu erhalten – obwohl sich die beide Personen nicht einmal kannten. Ein erschreckendes Ergebnis, denn hätte es in der Akte des „ausgespähten“ Redakteurs Informationen zu schweren Krankheiten oder psychischen Leiden gegeben, wären auch diese für den fremden Tester problemlos einsehbar gewesen. Nicht einmal die Karte selbst sei nötig gewesen, um von der Barmer die sensiblen Daten zu erhalten, so die RP weiter. Doch nicht nur die Barmer bietet ihren Mitgliedern eine Online-Verwaltung ihrer Daten an, sondern auch andere Versicherungen wie AOK, Techniker, DAK oder Betriebskrankenkassen. Diese Angebote waren jedoch nicht getestet worden.

Arbeitgeber könnten problemlos den Gesundheitszustand von Mitarbeitern abfragen
Für die Barmer hingegen laut RP ein Einzelfall, bei dem es sich „um einen Fehler eines Mitarbeiters handeln“ müsse, „der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten" habe. Denn wie die Kasse betont, würde normalerweise im Umgang mit Patientendaten "strengen Sicherheitsvorschriften" gefolgt, indem für den Zugriff immer auch das Geburtsdatum sowie der Wohnort notwendig wären. Daten die jedoch im Zeitalter des Internets im Prinzip auch kein Geheimnis mehr sind, sondern teilweise ebenfalls auf der Versichertenkarte stehen oder einfach in Netzwerken oder Online-Verzeichnissen zu finden sind. Zudem würden diese Daten Arbeitgebern sowieso vorliegen – was es theoretisch möglich machen würde, auch den Gesundheitszustand von Mitarbeitern abzufragen.

Barmer will Mitarbeiter erneut schulen und Sicherheitsvorschriften prüfen
Wie die Barmer gegenüber der RP ankündigte, bedeute der Test dennoch „die internen Kontroll- und Sicherheitsvorschriften erneut zu überprüfen und gegebenenfalls zu verschärfen", zudem würden die Mitarbeiter zeitnah erneut im Bereich Sicherheit geschult. Auch das Bundesversicherungsamt als Aufsichtsbehörde habe laut der RP auf das Testergebnis reagiert und kündigte weiteres Vorgehen an: „Wir nehmen Ihre Schilderungen zum Anlass, die Rechtssicherheit der Kommunikation zwischen Versicherten und Krankenkassen einer grundsätzlichen Prüfung zu unterziehen.“ Was nach Ansicht von Thomas Reisener (RP) auch dringend notwendig sei, denn wie der Redakteur in einem Kommentar zu dem aktuellen Test schreibt, schütze die Barmer selbst sensibelste medizinische Details ihrer Mitglieder „kaum besser als ein Kleingartenverein seine Mitgliederliste“. Auch läge die Vermutung nahe, dass es bei anderen Kassen eben solche Sicherheitslücken gäbe. Dieses Problem sei jedoch nicht auf die Nutzer der Online-Angebote abzuwälzen – stattdessen müssten laut Reisener Gesetzgeber und Anbieter aktiv werden und für mehr Schutz sorgen. (nr)

Bild: Tim Reckmann / pixelio.de