Unbefugte können Patienteninformationen abfragen Riesiges Datenleck bei Krankenkassen

Düsseldorf · Ein Test ergibt: Unbefugte können ohne Weiteres Arztbesuche und Medikationen von Versicherten abfragen. Die Bundesdatenschutzbeauftragte ordnet eine umfassende Sicherheitsprüfung an.

 Bei den Gesetzlichen Krankenkassen gibt es ein Datenleck.

Bei den Gesetzlichen Krankenkassen gibt es ein Datenleck.

Foto: dapd, Patrick Sinkel

Die Gesetzlichen Krankenkassen (GKV) sind beim Versuch gescheitert, ein riesiges Datenloch zu schließen. Unbefugte können immer noch mit wenigen Telefonaten und ein paar Mausklicks Details zu Arztbehandlungen, Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen abfragen. Das hat unsere Redaktion in dieser Woche am Beispiel der Barmer GEK nachgewiesen. Derselbe Nachweis liegt für drei weitere Kassen vor, darunter die AOK.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff ist alarmiert. Sie werde "beim Bundesversicherungsamt nochmals dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen". Das Versicherungsamt (BVA) ist Aufsicht der Kassen. Außerdem will Voßhoff den Fall zum Anlass nehmen, den Datenschutz der Kassen bei telefonischen Kundenkontakten "grundsätzlich zu überprüfen".

Die Ungeduld der obersten deutschen Datenschützerin ist verständlich. Erstmals gelang der Nachweis bereits im Sommer 2014. Als Reaktion leitete die Bundesregierung umgehend eine aufsichtsrechtliche Prüfung durch das BVA ein.

Als Schwachstelle im System wurde der Internet-Service identifiziert: "Die Krankenkasse wurde darauf hingewiesen, dass das verwandte Anmeldeverfahren der ,Online-Filiale' erhebliche Risiken für sensible Versichertendaten berge", fasst das Bundesgesundheitsministerium zusammen. Trotzdem besteht das Datenleck bis heute fort.

Fünfter Fall binnen 20 Monaten

Das Knacken der Barmer-Daten in der vergangenen Woche war der fünfte Fall binnen 20 Monaten. Dem Datendieb reichten jeweils Name, Geburtsdatum und Versichertennummer der Opfer, um die Patientendaten einzusehen.

Diese Informationen stehen auf allen Mitglieder-Chipkarten und liegen jedem Arbeitgeber vor. Zusätzlich benötigt er noch eine aktuelle Adresse, die problemlos im Internet oder beim Einwohnermeldeamt zu beschaffen ist.

Kassen, Aufsichts- und Kontrollbehörden schieben sich gegenseitig die Verantwortung zu. "Der GKV-Spitzenverband hat keine Aufsichtsfunktion gegenüber den Krankenkassen und im Zusammenhang mit diesen Serviceangeboten auch keine Richtlinienkompetenz", teilte eine Sprecherin des GKV-Dachverbandes mit. Datenschützerin Voßhoff erklärt: "Letztendlich liegt die Verantwortung für die Schaffung von entsprechenden Maßnahmen zur Datensicherheit bei den jeweiligen Anbietern." Die Barmer nimmt sogar ihre Versicherten in Mithaftung: Das Kapern von Versichertendaten setze "kriminelle Energie voraus". Für die Versicherten gelte es, sich dagegen zu wappnen: "Um die Gefahr eines Missbrauchs zu minimieren, bedarf es auch der Sorgfaltspflicht der Versicherten."

Nach unserem ersten Test 2014 hatte die Barmer bereits Maßnahmen zur Verbesserung ihres Datenschutzes ergriffen. Nach dem aktuellen Test erklärt sie das neue Datenleck mit "menschlichem Versagen" der Mitarbeiter im Callcenter. Um dieses Sicherheitsrisiko zu beseitigen, werde die Barmer "unter anderem folgende Maßnahmen unverzüglich einleiten: Adressänderungen nicht mehr telefonisch, sondern ab sofort vor Ort in einer Geschäftsstelle nach zweifelsfreiem Nachweis der Identität, Durchführung von Adhoc-Sicherheitsschulungen, Information an alle Versicherten, einen Verlust der Versichertenkarte unverzüglich zu melden".

(RP)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort