Ärzte Zeitung, 12.02.2010

BKK-Skandal: Leichtfertigkeit machte den Datenklau erst möglich

Ein ehemaliger Call-Center-Mitarbeiter erpresst die größte BKK mit gestohlen Patientendaten. Möglich wurde das, weil die Kasse den Datenschutz anscheinend nicht ernst genug genommen hat.
Update am 14. Februar um 13 Uhr mit weiteren Informationen.

Von Sabine Schiner und Denis Nößler

BKK-Skandal: Leichtfertigkeit machte den Datenklau erst möglich

Ein Call-Center hat es Dieben leicht gemacht: Am heimischen PC konnten die Mitarbeiter auf die Versichertendaten zugreifen. © Feng Yu / fotolia.com

Die BKK Gesundheit hat Versäumnisse beim Datenschutz eingeräumt. Es seien "Fehler gemacht worden", sagte die Sprecherin Julia Sue Hubinger der "Ärzte Zeitung". Die Kasse hatte einem Call-Center-Betreiber Zugriff auf die Daten ihrer Versicherten gewährt.

Mitarbeiter eines Subunternehmens konnten die Daten, darunter auch Diagnosen, auf erstaunlich einfache Weise kopieren. Sie hatten versucht, die BKK damit zu erpressen.

Bei der Beute handelt es sich dem Vernehmen nach um Bildschirmauszüge aus der Versichertendatenbank. Für einen kompletten Versichertendatensatz waren offenbar mehrere dieser Screenshots nötig. Doch mit einfachen technischen Mitteln können diese Bildschirmkopien automatisiert erstellt werden. Der Umfang des Diebstahls ist noch unklar.

Möglich wurden die Kopien allerdings erst dadurch, weil ein Teil der Call-Center-Angestellten von zu Hause mit ihren privaten PCs auf die Daten zugreifen konnten. Diese Computer wurden weder von dem Dienstleister noch von der Krankenkasse vorab kontrolliert. Das bestätige am Samstag der IT-Sachverständige Knut Brandis im "Deutschlandfunk". Ihn hat der Vorstand der BKK Gesundheit mit der Aufklärung des Falls beauftragt.

Die BKK hatte den bayerischen Telefondienstleister MediaKom mit der Betreuung ihrer Hotline beauftragt. Im Januar hatte MediaKom einen Teil des Auftrags an das Berliner Unternehmen Value 5 HealthCare weitergegeben. Hier hätte eine Datenschutzprüfung gemacht werden müssen, räumte die BKK auf Anfrage ein. Auch hätte man die Einsichtsmöglichkeiten minimieren müssen.

Nach Aussage der BKK wurde der externe Zugang mittlerweile gesperrt. Es seien alle zuständigen Aufsichtsbehörden aktiv und das Bundesamt für die Sicherheit in der Informationstechnik mit einer Analyse beauftragt worden.

Die Reaktionen auf die Panne sind harsch. Auf völliges Unverständnis stößt der Vorgang beim Bundesdatenschutzbeauftragten Peter Schaar in Berlin. Es handele sich um einen "verantwortungslosen Umgang mit Sozialdaten", so Schaar gegenüber "Kontraste". Er hofft, bald genaueres zu wissen.

"Wir sind in der Überprüfungsphase", sagt seine Referentin Dr. Verena Meyer. "Noch ist nicht klar, was genau passiert ist und wer da geschlampt hat." Auch die gesetzlichen Vorgaben müssten genauer überprüft werden. Paragraf 80 SGB X zur Erhebung, Verarbeitung und Nutzung von Sozialdaten sei in seinen Forderungen weniger strikt als die Regelungen im allgemeinen Bundesdatenschutzgesetz. "Dort sind auch Bußgeldverordnungen vorgesehen", so Meyer.

Auf die Unterschiede zwischen allgemeinem Datenschutz und Sozialdatenschutz angesprochen, verweist Meyer auf die Politik: "Es scheint da ein Missverhältnis zu geben, da ist der Gesetzgeber gefragt."

Deutlicher wird der Bonner Fachanwalt für Medizinrecht, Dr. Ingo Pflugmacher: "Was hier passiert ist, ist kriminell", sagte er der "Ärzte Zeitung". "Die Kasse muss sicherstellen, dass jeder, der mit ihren Daten Kontakt hat, die Datenschutzauflagen erfüllt." Hier habe die Kasse eindeutig etwas falsch gemacht. Privat-PCs für die Verarbeitung von Sozialdaten einzusetzen findet Pflugmacher fahrlässig: "Dort werden Datenschutzvorschriften eigentlich nie erfüllt."

Eingeschaltet hat sich auch das Bundesversicherungsamt (BVA) in Bonn. Es hat die BKK um eine Stellungnahme gebeten. Zudem wurden alle Krankenkassen aufgefordert, ähnliche Verträge zu melden. "Selbstverständlich werden auch unsere Mitarbeiter des Prüfdienstes vor Ort solche Verträge genauer unter die Lupe nehmen", sagte Tobias Schmidt, Pressesprecher des BVA auf Anfrage der "Ärzte Zeitung".

Laxer Umgang mit Daten ist kein Einzelfall
Datenskandale gibt es mittlerweile regelmäßig. Fälle wie bei der Telekom oder die Spitzelvorwürfe gegen die Bahn sind dabei nur die Spitze des Eisberges. Auch Krankenkassen sind in der Vergangenheit mit ähnlichen Fällen aufgefallen.

Lesen Sie dazu auch den Kommentar:
Datenschutz geht nicht zum Nulltarif

[13.02.2010, 23:04:54]
Heiko Kracke 
Arroganz der Krankenkassen
Offenbar haben die Krankenkassen auch beim Datenschutz das Gefühl, außerhalb unseres Rechtssystems zu stehen. Mit der Naivität eines 10-jährigen werden Patientendaten einschließlich der Diagnosen durchs Netz gereicht! Man darf gespannt sein, ob der Staat es schafft, dafür jemanden zur Rechenschaft zu ziehen. Und wie steht es da mit Konsequenzen bezüglich der Gesundheitskarte, der Datenverarbeitung aus den DMP-Untersuchungen, der Übertragung sensibler Daten über Intranet und und und. Wie sicher kann ich sein, dass nicht schon morgen eine e-mail in meinem Postfach liegt: "behandeln sie Ihre COPD mit dem Präparat XY" ??? Solange Krankenkassen Daten frei an beliebige Drittanbieter weitergeben können und Call-Center die Arbeit von Sachbearbeitern übernehmen, wird sich dieses Dilemma nicht beheben lassen. Ich darf nichteinmal eine Diagnose an die Apotheke weitergeben, andererseits sollen auf Hilfsmittelrezepten regelmäßig Diagnosen vermerkt werden. Wo ist der Datenschutz bei dieser Regelung. Es bleibt der Eindruck, dass auch hier wieder richtig ist, was gerade den Krankenkassen passt - eben außerhalb jeder Logik und jeder Datenschutzgesetze. Aber seit wann kümmern sich Krankenkassen um Gesetze (siehe Verträge zum § 73b). zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Angst vor Stürzen sorgt für Verzicht auf Antikoagulans

Ein erhöhtes Sturzrisiko ist noch immer der häufigste Grund, auf eine orale Antikoagulation bei Vorhofflimmern zu verzichten. mehr »

Warum der Zuckersirup zum dicken Problem werden könnte

Seit Anfang Oktober gibt es in der EU keine Quotenregelung mehr für die aus Mais, Getreide oder Kartoffeln gewonnene Isoglukose. Experten befürchten eine Zunahme von Übergewicht und Diabetes. mehr »

Stotter-Therapie im virtuellen Raum

Geschätzt über 800.000 Bundesbürger stottern. Viele von ihnen ziehen sich komplett zurück, weil sie Ablehnung fürchten. Ein Ausweg: Therapie-Methoden, bei denen man zunächst zu Hause sprechen übt – online. mehr »