Zurück zur Übersicht

Zeitung gelangt erneut an sensible Patientendaten

Am Beispiel der Barmer GEK haben Autoren der Rheinischen Post bereits 2014 dokumentiert, dass der Zugang zu hochsensiblen Gesundheitsdaten anderer Personen unter Vortäuschung einer Identität möglich ist. Sowohl die Kasse als auch das Bundeversicherungsamt als Aufsichtsbehörde kündigten daraufhin entsprechende Maßnahmen an. Knapp zwei Jahre später gelang der Zeitung nun erneut der Zugang zu hochsensiblen Gesundheitsdaten der Kasse – mit einer nahezu identischen Vorgehensweise.

Gesetzliche Krankenkassen sind nach einem Bericht der Rheinischen Post (RP) mit dem Versuch gescheitert, eine seit Jahren bekannte Sicherheitslücke beim Schutz sensibler Daten zu schließen. Unbefugte könnten durch das Vortäuschen einer Identität immer noch mit wenigen Telefonaten und ein paar Mausklicks Details zu Arztbehandlungen, Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen einer anderen Person abfragen. Der Nachweis hierüber sei erneut am Beispiel der Barmer GEK gelungen, berichtet die in Düsseldorf erscheinende Zeitung (Samstag).

Bundesdatenschutzbeauftragte kündigt Prüfung an

Erstmals war der Zeitung dieser Nachweis im Juni 2014 gelungen. Die Ersatzkasse stelle diesbezüglich aber kein Unikum dar. Derselbe Nachweis liege der Redaktion für drei weitere Krankenkassen vor. Auch dem ZDF war 2015 ein solcher Nachweis am Beispiel der AOK gelungen (vgl. “Links zum Thema”). Laut RP will nun die Bundesdatenschutzbeauftragte Andrea Voßhoff tätig werden: “Ich werde den Fall zum Anlass nehmen, das Authentifizierungsverfahren im Rahmen von telefonischen Kundenkontakten bei den Krankenkassen grundsätzlich zu überprüfen. Im Ergebnis muss hier ein Verfahren implementiert werden, das das Risiko, durch Vortäuschung einer falschen Identität missbräuchlich an sensible Gesundheitsdaten Dritter gelangen zu können, bestmöglich verhindert.”

Für den Bundesverband der Verbraucherzentralen (vzbv) “sind solch schlechte Sicherheitsvorkehrungen ein Skandal und Armutszeugnis”, so vzbv-Chef Klaus Müller gegenüber der RP. Das Datenleck sei auch angesichts der Pläne einiger Kassen problematisch, Gesundheitsdaten ihrer Versicherten aus sogenannten Wearables – wie zum Beispiel elektronische Fitness-Armbänder – zu verarbeiten.

Maßnahmen aus 2014 offenbar unzureichend

Die Barmer GEK hatte den Vorgang im Jahr 2014 zunächst als Einzelfall deklariert. Es handele sich um einen Fehler eines Mitarbeiters, der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten habe. Die Kasse hatte angekündigt, “die internen Kontroll- und Sicherheitsvorschriften erneut zu überprüfen und ggf. zu verschärfen”. Außerdem werde “ein weiteres Sicherheitsseminar für die Mitarbeiter durchgeführt.” Maßnahmen kündigte vor knapp zwei Jahren auch das Bundesversicherungsamt (BVA) an. Als Aufsichtsbehörde wollte es die Rechtssicherheit der Kommunikation zwischen Versicherten und Krankenkassen einer grundsätzlichen Prüfung unterziehen. In einer Stellungnahme zum aktuellen Fall räumte die Barmer GEK nach Angaben der RP ein “Sicherheitsrisiko” ein und kündigte diverse Sofortmaßnahmen wie die “Durchführung von Adhoc-Sicherheitsschulungen” ihrer Mitarbeiter an.

Barmer GEK kritisiert Vorgehen der Rheinischen Post

Gegenüber kkdirekt widersprach die Barmer GEK jedoch der RP-Darstellung, dass bei ihr ein “riesiges Datenleck” bestünde und für den Zugang zum persönlichen Bereich der Website nur “ein paar Mausklicks” notwendig seien. Vielmehr habe der Redakteur der Zeitung dem Tester freiwillig vertrauliche Versichertendaten übermittelt und damit ein “vermeintliches Datenleck” selbst konstruiert. Die RP hält dies für unzutreffend. Für den Zugang habe sie lediglich den Namen, die Versichertennummer, das Geburtsdatum und die Adresse des Versicherten benötigt. Diese Angaben stünden auf der Gesundheitskarte und lägen zudem jedem Arbeitgeber vor. Die aktuelle Adresse könne man sich problemlos im Internet oder beim Einwohnermeldeamt beschaffen. Den genauen Ablauf des Tests finden Sie unter “Links zum Thema”.

Weiterführende Informationen
ZDF weist fehlenden Identitätscheck 2015 auch bei AOK nach
Rheinische Post: Ablauf des aktuellen Tests bei der Barmer GEK (extern)
Unbefugter Zugriff bei der Barmer GEK - Vorgehensweise in 2014

Quelle: Krankenkassen direkt, Postfach 71 20, 53322 Bornheim, http://www.krankenkassen-direkt.de

Weitere Artikel zum Thema

Passion Chirurgie

Lesen Sie PASSION CHIRURGIE!

Die Monatsausgaben der Mitgliederzeitschrift können Sie als eMagazin online lesen.