Selbstversuch So wird meine Krankenversicherung gekapert

Düsseldorf · Mit einem Anruf und einem Brief ist es möglich, sich im Internet Zugang zu Patientendaten eines gesetzlich Versicherten zu verschaffen.

 Andreas Gruhn, versichert bei der Barmer, war überrascht, wie einfach ein Fremder an seine persönlichen Patientendaten herankommt.

Andreas Gruhn, versichert bei der Barmer, war überrascht, wie einfach ein Fremder an seine persönlichen Patientendaten herankommt.

Foto: andreas Bretz

Es dauerte nur 14 Tage bis zur Wahrheit. Zwei Wochen, bis unser Tester fast alles über mich wusste: Über meinen Zahnstein, den ich einmal im Jahr entfernen lasse. Über meine heftig blutende Wunde am Finger, die ein Kaninchenbiss verursacht hatte. Und über einen operativen Eingriff, den ich lieber für mich behalte. Als Patient wäre einem eigentlich am liebsten, dass alles geheim bleibt. Doch meine Patientendaten werden von meiner Krankenkasse offenbar so vertraulich behandelt wie die Mitgliederliste beim Kleingartenverein. Wer fragt, der erhält Auskunft. Wie unser Tester, ein Experte, der anonym bleibt, professioneller Anbieter von Datenschutz-Dienstleistungen.

Es ist Freitag, der 6. Juni, und unser Experte wird von mir mit genau zwei Daten ausgestattet: mit meinem Namen und mit meiner Versichertennummer. Sofort beginnt er die Arbeit. Im Internet findet er problemlos mein Geburtsdatum heraus. Um 16.59 Uhr an jenem Freitag ruft er bei meiner Krankenkasse an. Der Mitarbeiter im Callcenter, so beschreibt es unser Tester, erfragt den Namen, die Versichertennummer und das Geburtsdatum. Und schon ändert unser Tester meine Adresse. Meine Krankenkasse glaubt ihm, für sie wohne ich jetzt nicht mehr am Niederrhein, sondern in Bayern.

Adressänderung per Telefon

Am nächsten Tag besucht der Tester die Internetseite der Kasse. Dort gibt es einen "Persönlichen Bereich", und es ist ein Kinderspiel, sich dort Zugang zu verschaffen. Abgefragt werden wieder der Name, die Versichertennummer und das Geburtsdatum. Jetzt sucht sich unser Tester einen Nutzernamen aus, wählt ein Passwort und hinterlässt auch noch eine eigens eingerichtete E-Mail-Adresse, die auf meinen Namen hindeutet, aber für den Vorgang unwichtig ist.

Noch hat er aber keinen Zugriff auf meine Patientendaten. Denn dazu braucht der Tester noch einen Aktivierungsschlüssel. Den verschickt die Kasse aus Sicherheitsgründen per Post - aber nicht an mich selbst, sondern an die Adresse, die unser Tester vorher am Telefon geändert hatte. Am 13. Juni, also eine Woche nach Beginn des Versuchs, verlässt der Brief die Geschäftsstelle der Kasse.

Jetzt ist es nicht mehr aufzuhalten. Als unser Tester den Schlüsselcode erhält, schließt er die Registrierung auf der Internetseite der Kasse ab. Jetzt ist er drin, und ich bin draußen. Ich höre in der Zeit nichts von der Kasse. Wenn ich nichts davon wüsste, würde ich nicht einmal ahnen, was jetzt passiert. Und das ist gewaltig.

Von der Kontrolle beim Zahnarzt bis zum letzten Medikament

Als unser Experte sich anmeldet, aktiviert er den Service "Patientenquittungen". Jetzt dauert es noch wenige Tage, bis die Kasse nach und nach ins Internet stellt: meine Kontrollbesuche beim Zahnarzt, meine Fleischwunde, meine Operation, in letzterem Fall sogar mit genauer Diagnose, Behandlungsmethode und Name des Arztes. Unser Tester könnte genau sehen, welche Medikamente mir in den vergangenen zwei Jahren verschrieben wurden. Welche Krankenhäuser ich wann und aus welchem Grund besucht habe. Er kann sehen, wer bei einer Familienversicherung noch mitversichert ist. Er kann sich einen Auslandskrankenschein ausstellen lassen auf meinen Namen, aber an seine Adresse. Anfang dieser Woche erhält er sogar eine neue elektronische Gesundheitskarte an die durch ihn veränderte Adresse. Und in der gesamten Zeit fragt meine Krankenkasse nicht ein einziges Mal: Andreas, bist du es wirklich? Für sie bin ich offenbar zweifelsfrei identifiziert.

Mit den Informationen Name, Versichertennummer und dem Geburtsdatum hat der Experte meine Krankenversicherung gekapert, ohne mich auch nur ein einziges Mal gesehen zu haben. Und ohne meine Versichertenkarte auch nur ein einziges Mal in der Hand gehalten zu haben. Auf diese Weise könnte also jeder Arbeitgeber, der die entsprechenden Daten immer zur Verfügung hat, den Gesundheitszustand seiner Mitarbeiter ausspionieren. Wer ein Portemonnaie mit Versichertenkarte findet, hat ebenfalls sofort alle notwendigen Daten zur Hand. Sie stehen auf Vorder- und Rückseite der Karte.

Vielleicht wäre noch mehr möglich: Unser Tester hat eine Versichertenkarte auf meinen Namen bekommen, die sofort gültig ist und auf der er problemlos auch sein eigenes Foto aufbringen lassen könnte (meine Kasse hatte mein originales Foto jedenfalls nie überprüft). Könnte er jetzt zum nächsten Arzt gehen und sich behandeln lassen? Sogar gleichzeitig, wenn ich auch beim Arzt bin? Ich frage mich: Wann würde es auffallen, bis jemand merkt, dass da jemand mitliest? Oder sogar meiner Versicherung benutzt?

All das tun wir nicht, brechen den Test rechtzeitig ab. Ich bin froh, als die 14 Tage vorbei sind. Und ich wieder das Kommando über meine Krankenversicherung übernehme.

(RP)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort