Ärzte Zeitung, 12.02.2010
BKK-Skandal: Leichtfertigkeit machte den Datenklau erst
möglich
Ein ehemaliger Call-Center-Mitarbeiter erpresst die
größte BKK mit gestohlen Patientendaten.
Möglich wurde das, weil die Kasse den Datenschutz anscheinend
nicht ernst genug genommen hat.
Update am 14. Februar um 13 Uhr
mit
weiteren Informationen.
Von Sabine Schiner und Denis Nößler

Ein Call-Center hat es Dieben leicht gemacht: Am heimischen PC konnten die Mitarbeiter auf die Versichertendaten zugreifen. © Feng Yu / fotolia.com
Die BKK Gesundheit hat Versäumnisse beim Datenschutz
eingeräumt. Es seien "Fehler gemacht worden", sagte die
Sprecherin Julia Sue Hubinger der "Ärzte Zeitung". Die Kasse
hatte einem Call-Center-Betreiber Zugriff auf die Daten ihrer
Versicherten gewährt.
Mitarbeiter eines Subunternehmens konnten die Daten, darunter
auch Diagnosen, auf erstaunlich einfache Weise kopieren. Sie hatten
versucht, die BKK damit zu erpressen.
Bei der Beute handelt es sich dem Vernehmen nach um
Bildschirmauszüge aus der Versichertendatenbank. Für
einen kompletten Versichertendatensatz waren offenbar mehrere dieser
Screenshots nötig. Doch mit einfachen technischen Mitteln
können diese Bildschirmkopien automatisiert erstellt werden.
Der Umfang des Diebstahls ist noch unklar.
Möglich wurden die Kopien allerdings erst dadurch,
weil ein Teil der Call-Center-Angestellten von zu Hause mit ihren
privaten PCs auf die Daten zugreifen konnten. Diese Computer wurden
weder von dem Dienstleister noch von der Krankenkasse vorab
kontrolliert. Das bestätige am Samstag der
IT-Sachverständige Knut Brandis im "Deutschlandfunk". Ihn hat
der Vorstand der BKK Gesundheit mit der Aufklärung des Falls
beauftragt.
Die BKK hatte den bayerischen Telefondienstleister MediaKom
mit der Betreuung ihrer Hotline beauftragt. Im Januar hatte MediaKom
einen Teil des Auftrags an das Berliner Unternehmen Value 5 HealthCare
weitergegeben. Hier hätte eine Datenschutzprüfung
gemacht werden müssen, räumte die BKK auf Anfrage
ein. Auch hätte man die Einsichtsmöglichkeiten
minimieren müssen.
Nach Aussage der BKK wurde der externe Zugang mittlerweile
gesperrt. Es seien alle zuständigen Aufsichtsbehörden
aktiv und das Bundesamt für die Sicherheit in der
Informationstechnik mit einer Analyse beauftragt worden.
Die Reaktionen auf die Panne sind harsch. Auf
völliges Unverständnis stößt der
Vorgang beim Bundesdatenschutzbeauftragten Peter Schaar in Berlin. Es
handele sich um einen "verantwortungslosen Umgang mit Sozialdaten", so
Schaar gegenüber "Kontraste". Er hofft, bald genaueres zu
wissen.
"Wir sind in der Überprüfungsphase", sagt
seine Referentin Dr. Verena Meyer. "Noch ist nicht klar, was genau
passiert ist und wer da geschlampt hat." Auch die gesetzlichen Vorgaben
müssten genauer überprüft werden. Paragraf
80 SGB X zur Erhebung, Verarbeitung und Nutzung von Sozialdaten sei in
seinen Forderungen weniger strikt als die Regelungen im allgemeinen
Bundesdatenschutzgesetz. "Dort sind auch Bußgeldverordnungen
vorgesehen", so Meyer.
Auf die Unterschiede zwischen allgemeinem Datenschutz und
Sozialdatenschutz angesprochen, verweist Meyer auf die Politik: "Es
scheint da ein Missverhältnis zu geben, da ist der Gesetzgeber
gefragt."
Deutlicher wird der Bonner Fachanwalt für
Medizinrecht, Dr. Ingo Pflugmacher: "Was hier passiert ist, ist
kriminell", sagte er der "Ärzte Zeitung". "Die Kasse muss
sicherstellen, dass jeder, der mit ihren Daten Kontakt hat, die
Datenschutzauflagen erfüllt." Hier habe die Kasse eindeutig
etwas falsch gemacht. Privat-PCs für die Verarbeitung von
Sozialdaten einzusetzen findet Pflugmacher fahrlässig: "Dort
werden Datenschutzvorschriften eigentlich nie erfüllt."
Eingeschaltet hat sich auch das Bundesversicherungsamt (BVA)
in Bonn. Es hat die BKK um eine Stellungnahme gebeten. Zudem wurden
alle Krankenkassen aufgefordert, ähnliche Verträge zu
melden. "Selbstverständlich werden auch unsere Mitarbeiter des
Prüfdienstes vor Ort solche Verträge genauer unter
die Lupe nehmen", sagte Tobias Schmidt, Pressesprecher des BVA auf
Anfrage der "Ärzte Zeitung".
Laxer Umgang mit Daten ist kein Einzelfall
Datenskandale
gibt es mittlerweile
regelmäßig. Fälle wie bei der Telekom oder
die Spitzelvorwürfe gegen die Bahn sind dabei nur die Spitze
des Eisberges. Auch Krankenkassen sind in der Vergangenheit
mit ähnlichen Fällen aufgefallen.
Lesen Sie dazu auch den Kommentar:
Datenschutz geht nicht zum Nulltarif

Weitere Beiträge aus diesem Themenbereich
|
[13.02.2010, 23:04:54] |
Heiko Kracke
|
|
Arroganz der Krankenkassen
|
Offenbar haben die Krankenkassen auch beim Datenschutz das Gefühl, außerhalb unseres Rechtssystems zu stehen. Mit der Naivität eines 10-jährigen werden Patientendaten einschließlich der Diagnosen durchs Netz gereicht! Man darf gespannt sein, ob der Staat es schafft, dafür jemanden zur Rechenschaft zu ziehen. Und wie steht es da mit Konsequenzen bezüglich der Gesundheitskarte, der Datenverarbeitung aus den DMP-Untersuchungen, der Übertragung sensibler Daten über Intranet und und und. Wie sicher kann ich sein, dass nicht schon morgen eine e-mail in meinem Postfach liegt: "behandeln sie Ihre COPD mit dem Präparat XY" ??? Solange Krankenkassen Daten frei an beliebige Drittanbieter weitergeben können und Call-Center die Arbeit von Sachbearbeitern übernehmen, wird sich dieses Dilemma nicht beheben lassen. Ich darf nichteinmal eine Diagnose an die Apotheke weitergeben, andererseits sollen auf Hilfsmittelrezepten regelmäßig Diagnosen vermerkt werden. Wo ist der Datenschutz bei dieser Regelung. Es bleibt der Eindruck, dass auch hier wieder richtig ist, was gerade den Krankenkassen passt - eben außerhalb jeder Logik und jeder Datenschutzgesetze. Aber seit wann kümmern sich Krankenkassen um Gesetze (siehe Verträge zum § 73b). zum Beitrag »
|