Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Dienstag, 24.05.2016

News & Meldungen

Datenleck bei Kankenkassen

Zeitung gelangt erneut an sensible Patientendaten

15.03.2016·Am Beispiel der Barmer GEK haben Autoren der Rheinischen Post bereits 2014 dokumentiert, dass der Zugang zu hochsensiblen Gesundheitsdaten anderer Personen unter Vortäuschung einer Identität möglich ist. Sowohl die Kasse als auch das Bundeversicherungsamt als Aufsichtsbehörde kündigten daraufhin entsprechende Maßnahmen an. Knapp zwei Jahre später gelang der Zeitung nun erneut der Zugang zu hochsensiblen Gesundheitsdaten der Kasse - mit einer nahezu identischen Vorgehensweise.

Gesetzliche Krankenkassen sind nach einem Bericht der Rheinischen Post (RP) mit dem Versuch gescheitert, eine seit Jahren bekannte Sicherheitslücke beim Schutz sensibler Daten zu schließen. Unbefugte könnten durch das Vortäuschen einer Identität immer noch mit wenigen Telefonaten und ein paar Mausklicks Details zu Arztbehandlungen, Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen einer anderen Person abfragen. Der Nachweis hierüber sei erneut am Beispiel der Barmer GEK gelungen, berichtet die in Düsseldorf erscheinende Zeitung (Samstag).

Bundesdatenschutzbeauftragte kündigt Prüfung an

Erstmals war der Zeitung dieser Nachweis im Juni 2014 gelungen. Die Ersatzkasse stelle diesbezüglich aber kein Unikum dar. Derselbe Nachweis liege der Redaktion für drei weitere Krankenkassen vor. Auch dem ZDF war 2015 ein solcher Nachweis am Beispiel der AOK gelungen (vgl. "Links zum Thema"). Laut RP will nun die Bundesdatenschutzbeauftragte Andrea Voßhoff tätig werden: "Ich werde den Fall zum Anlass nehmen, das Authentifizierungsverfahren im Rahmen von telefonischen Kundenkontakten bei den Krankenkassen grundsätzlich zu überprüfen. Im Ergebnis muss hier ein Verfahren implementiert werden, das das Risiko, durch Vortäuschung einer falschen Identität missbräuchlich an sensible Gesundheitsdaten Dritter gelangen zu können, bestmöglich verhindert."

Für den Bundesverband der Verbraucherzentralen (vzbv) "sind solch schlechte Sicherheitsvorkehrungen ein Skandal und Armutszeugnis", so vzbv-Chef Klaus Müller gegenüber der RP. Das Datenleck sei auch angesichts der Pläne einiger Kassen problematisch, Gesundheitsdaten ihrer Versicherten aus sogenannten Wearables - wie zum Beispiel elektronische Fitness-Armbänder - zu verarbeiten.

Maßnahmen aus 2014 offenbar unzureichend

Die Barmer GEK hatte den Vorgang im Jahr 2014 zunächst als Einzelfall deklariert. Es handele sich um einen Fehler eines Mitarbeiters, der offensichtlich nicht alle Vorschriften zur Identifikation eingehalten habe. Die Kasse hatte angekündigt, "die internen Kontroll- und Sicherheitsvorschriften erneut zu überprüfen und ggf. zu verschärfen". Außerdem werde "ein weiteres Sicherheitsseminar für die Mitarbeiter durchgeführt." Maßnahmen kündigte vor knapp zwei Jahren auch das Bundesversicherungsamt (BVA) an. Als Aufsichtsbehörde wollte es die Rechtssicherheit der Kommunikation zwischen Versicherten und Krankenkassen einer grundsätzlichen Prüfung unterziehen. In einer Stellungnahme zum aktuellen Fall räumte die Barmer GEK nach Angaben der RP ein "Sicherheitsrisiko" ein und kündigte diverse Sofortmaßnahmen wie die "Durchführung von Adhoc-Sicherheitsschulungen" ihrer Mitarbeiter an.

Barmer GEK kritisiert Vorgehen der Rheinischen Post

Gegenüber kkdirekt widersprach die Barmer GEK jedoch der RP-Darstellung, dass bei ihr ein "riesiges Datenleck" bestünde und für den Zugang zum persönlichen Bereich der Website nur "ein paar Mausklicks" notwendig seien. Vielmehr habe der Redakteur der Zeitung dem Tester freiwillig vertrauliche Versichertendaten übermittelt und damit ein "vermeintliches Datenleck" selbst konstruiert. Die RP hält dies für unzutreffend. Für den Zugang habe sie lediglich den Namen, die Versichertennummer, das Geburtsdatum und die Adresse des Versicherten benötigt. Diese Angaben stünden auf der Gesundheitskarte und lägen zudem jedem Arbeitgeber vor. Die aktuelle Adresse könne man sich problemlos im Internet oder beim Einwohnermeldeamt beschaffen. Den genauen Ablauf des Tests finden Sie unter "Links zum Thema".

 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


Termine

Terminhinweis zu den Themen Krankenkasse, Gesundheitspolitik und Karriere in der GKV:

Termine
Weitere News

MDK-Gutachten

Zahl der bestätigten Behandlungsfehler erneut gestiegen

14.828 Behandlungsfehlervorwürfe haben die Medizinischen Dienste der Krankenversicherung (MDK) 2015 begutachtet. In 4.046 Fällen und damit in jedem vierten Fall...

 

Strafzinsen an Banken

Kassen zahlen zweistelligen Millionenbetrag aus Beitragsgeldern

Im Zuge der Niedrigzinspolitik der Europäischen Zentralbank müssen immer öfter auch Sozialversicherungsträger wie die Krankenkassen Strafzinsen für Geldanlagen bei den...

 

Rekordbeitrag

Erste Krankenkasse erhöht Beitragssatz auf 16,5 Prozent

Nach der großen Beitragsrunde zum Jahreswechsel 2015/16 erhöht nun die erste Krankenkasse binnen fünf Monaten das zweite Mal ihren Zusatzbeitrag....

mehr News...