BKK-Skandal: Leichtfertigkeit machte den Datenklau erst möglich

Die BKK Gesundheit hat Versäumnisse beim Datenschutz eingeräumt. Es seien "Fehler gemacht worden", sagte die Sprecherin Julia Sue Hubinger der "Ärzte Zeitung". Die Kasse hatte einem Call-Center-Betreiber Zugriff auf die Daten ihrer Versicherten gewährt.

Mitarbeiter eines Subunternehmens konnten die Daten, darunter auch Diagnosen, auf erstaunlich einfache Weise kopieren. Sie hatten versucht, die BKK damit zu erpressen.

Bei der Beute handelt es sich dem Vernehmen nach um Bildschirmauszüge aus der Versichertendatenbank. Für einen kompletten Versichertendatensatz waren offenbar mehrere dieser Screenshots nötig. Doch mit einfachen technischen Mitteln können diese Bildschirmkopien automatisiert erstellt werden. Der Umfang des Diebstahls ist noch unklar.

Möglich wurden die Kopien allerdings erst dadurch, weil ein Teil der Call-Center-Angestellten von zu Hause mit ihren privaten PCs auf die Daten zugreifen konnten. Diese Computer wurden weder von dem Dienstleister noch von der Krankenkasse vorab kontrolliert. Das bestätige am Samstag der IT-Sachverständige Knut Brandis im "Deutschlandfunk". Ihn hat der Vorstand der BKK Gesundheit mit der Aufklärung des Falls beauftragt.

Die BKK hatte den bayerischen Telefondienstleister MediaKom mit der Betreuung ihrer Hotline beauftragt. Im Januar hatte MediaKom einen Teil des Auftrags an das Berliner Unternehmen Value 5 HealthCare weitergegeben. Hier hätte eine Datenschutzprüfung gemacht werden müssen, räumte die BKK auf Anfrage ein. Auch hätte man die Einsichtsmöglichkeiten minimieren müssen.

Nach Aussage der BKK wurde der externe Zugang mittlerweile gesperrt. Es seien alle zuständigen Aufsichtsbehörden aktiv und das Bundesamt für die Sicherheit in der Informationstechnik mit einer Analyse beauftragt worden.

Die Reaktionen auf die Panne sind harsch. Auf völliges Unverständnis stößt der Vorgang beim Bundesdatenschutzbeauftragten Peter Schaar in Berlin. Es handele sich um einen "verantwortungslosen Umgang mit Sozialdaten", so Schaar gegenüber "Kontraste". Er hofft, bald genaueres zu wissen.

"Wir sind in der Überprüfungsphase", sagt seine Referentin Dr. Verena Meyer. "Noch ist nicht klar, was genau passiert ist und wer da geschlampt hat." Auch die gesetzlichen Vorgaben müssten genauer überprüft werden. Paragraf 80 SGB X zur Erhebung, Verarbeitung und Nutzung von Sozialdaten sei in seinen Forderungen weniger strikt als die Regelungen im allgemeinen Bundesdatenschutzgesetz. "Dort sind auch Bußgeldverordnungen vorgesehen", so Meyer.

Auf die Unterschiede zwischen allgemeinem Datenschutz und Sozialdatenschutz angesprochen, verweist Meyer auf die Politik: "Es scheint da ein Missverhältnis zu geben, da ist der Gesetzgeber gefragt."

Deutlicher wird der Bonner Fachanwalt für Medizinrecht, Dr. Ingo Pflugmacher: "Was hier passiert ist, ist kriminell", sagte er der "Ärzte Zeitung". "Die Kasse muss sicherstellen, dass jeder, der mit ihren Daten Kontakt hat, die Datenschutzauflagen erfüllt." Hier habe die Kasse eindeutig etwas falsch gemacht. Privat-PCs für die Verarbeitung von Sozialdaten einzusetzen findet Pflugmacher fahrlässig: "Dort werden Datenschutzvorschriften eigentlich nie erfüllt."

Eingeschaltet hat sich auch das Bundesversicherungsamt (BVA) in Bonn. Es hat die BKK um eine Stellungnahme gebeten. Zudem wurden alle Krankenkassen aufgefordert, ähnliche Verträge zu melden. "Selbstverständlich werden auch unsere Mitarbeiter des Prüfdienstes vor Ort solche Verträge genauer unter die Lupe nehmen", sagte Tobias Schmidt, Pressesprecher des BVA auf Anfrage der "Ärzte Zeitung".

Laxer Umgang mit Daten ist kein Einzelfall Datenskandale gibt es mittlerweile regelmäßig. Fälle wie bei der Telekom oder die Spitzelvorwürfe gegen die Bahn sind dabei nur die Spitze des Eisberges. Auch Krankenkassen sind in der Vergangenheit mit ähnlichen Fällen aufgefallen.

• Zuletzt sah sich die AOK Niedersachsen in der Kritik, weil sie Rezeptdaten falsch verschickt hatte. 
• Die IKK Weser-Ems wurde sogar mit der Justiz konfrontiert : Sie soll vertrauliche Patienteninformationen an einen Privatversicherer weitergegeben haben.
• Im Jahr 2008 machte die DAK Schlagzeilen. Sie soll Daten von chronisch Kranken an eine private Patientenberatung weitergeleitet haben. (nös)

Lesen Sie dazu auch den Kommentar: Datenschutz geht nicht zum Nulltarif