BKK-Skandal: Leichtfertigkeit machte den Datenklau erst möglich

Ein ehemaliger Call-Center-Mitarbeiter erpresst die größte BKK mit gestohlen Patientendaten. Möglich wurde das, weil die Kasse den Datenschutz anscheinend nicht ernst genug genommen hat. Update am 14. Februar um 13 Uhr mit weiteren Informationen.

Denis NößlerVon Denis Nößler Veröffentlicht:
Ein Call-Center hat es Dieben leicht gemacht: Am heimischen PC konnten die Mitarbeiter auf die Versichertendaten zugreifen. © Feng Yu / fotolia.com

Ein Call-Center hat es Dieben leicht gemacht: Am heimischen PC konnten die Mitarbeiter auf die Versichertendaten zugreifen. © Feng Yu / fotolia.com

© Feng Yu / fotolia.com

Die BKK Gesundheit hat Versäumnisse beim Datenschutz eingeräumt. Es seien "Fehler gemacht worden", sagte die Sprecherin Julia Sue Hubinger der "Ärzte Zeitung". Die Kasse hatte einem Call-Center-Betreiber Zugriff auf die Daten ihrer Versicherten gewährt.

Mitarbeiter eines Subunternehmens konnten die Daten, darunter auch Diagnosen, auf erstaunlich einfache Weise kopieren. Sie hatten versucht, die BKK damit zu erpressen.

Bei der Beute handelt es sich dem Vernehmen nach um Bildschirmauszüge aus der Versichertendatenbank. Für einen kompletten Versichertendatensatz waren offenbar mehrere dieser Screenshots nötig. Doch mit einfachen technischen Mitteln können diese Bildschirmkopien automatisiert erstellt werden. Der Umfang des Diebstahls ist noch unklar.

Möglich wurden die Kopien allerdings erst dadurch, weil ein Teil der Call-Center-Angestellten von zu Hause mit ihren privaten PCs auf die Daten zugreifen konnten. Diese Computer wurden weder von dem Dienstleister noch von der Krankenkasse vorab kontrolliert. Das bestätige am Samstag der IT-Sachverständige Knut Brandis im "Deutschlandfunk". Ihn hat der Vorstand der BKK Gesundheit mit der Aufklärung des Falls beauftragt.

Die BKK hatte den bayerischen Telefondienstleister MediaKom mit der Betreuung ihrer Hotline beauftragt. Im Januar hatte MediaKom einen Teil des Auftrags an das Berliner Unternehmen Value 5 HealthCare weitergegeben. Hier hätte eine Datenschutzprüfung gemacht werden müssen, räumte die BKK auf Anfrage ein. Auch hätte man die Einsichtsmöglichkeiten minimieren müssen.

Nach Aussage der BKK wurde der externe Zugang mittlerweile gesperrt. Es seien alle zuständigen Aufsichtsbehörden aktiv und das Bundesamt für die Sicherheit in der Informationstechnik mit einer Analyse beauftragt worden.

Die Reaktionen auf die Panne sind harsch. Auf völliges Unverständnis stößt der Vorgang beim Bundesdatenschutzbeauftragten Peter Schaar in Berlin. Es handele sich um einen "verantwortungslosen Umgang mit Sozialdaten", so Schaar gegenüber "Kontraste". Er hofft, bald genaueres zu wissen.

"Wir sind in der Überprüfungsphase", sagt seine Referentin Dr. Verena Meyer. "Noch ist nicht klar, was genau passiert ist und wer da geschlampt hat." Auch die gesetzlichen Vorgaben müssten genauer überprüft werden. Paragraf 80 SGB X zur Erhebung, Verarbeitung und Nutzung von Sozialdaten sei in seinen Forderungen weniger strikt als die Regelungen im allgemeinen Bundesdatenschutzgesetz. "Dort sind auch Bußgeldverordnungen vorgesehen", so Meyer.

Auf die Unterschiede zwischen allgemeinem Datenschutz und Sozialdatenschutz angesprochen, verweist Meyer auf die Politik: "Es scheint da ein Missverhältnis zu geben, da ist der Gesetzgeber gefragt."

Deutlicher wird der Bonner Fachanwalt für Medizinrecht, Dr. Ingo Pflugmacher: "Was hier passiert ist, ist kriminell", sagte er der "Ärzte Zeitung". "Die Kasse muss sicherstellen, dass jeder, der mit ihren Daten Kontakt hat, die Datenschutzauflagen erfüllt." Hier habe die Kasse eindeutig etwas falsch gemacht. Privat-PCs für die Verarbeitung von Sozialdaten einzusetzen findet Pflugmacher fahrlässig: "Dort werden Datenschutzvorschriften eigentlich nie erfüllt."

Eingeschaltet hat sich auch das Bundesversicherungsamt (BVA) in Bonn. Es hat die BKK um eine Stellungnahme gebeten. Zudem wurden alle Krankenkassen aufgefordert, ähnliche Verträge zu melden. "Selbstverständlich werden auch unsere Mitarbeiter des Prüfdienstes vor Ort solche Verträge genauer unter die Lupe nehmen", sagte Tobias Schmidt, Pressesprecher des BVA auf Anfrage der "Ärzte Zeitung".

Laxer Umgang mit Daten ist kein Einzelfall Datenskandale gibt es mittlerweile regelmäßig. Fälle wie bei der Telekom oder die Spitzelvorwürfe gegen die Bahn sind dabei nur die Spitze des Eisberges. Auch Krankenkassen sind in der Vergangenheit mit ähnlichen Fällen aufgefallen.

Lesen Sie dazu auch den Kommentar: Datenschutz geht nicht zum Nulltarif

Schlagworte:
Ihr Newsletter zum Thema
Mehr zum Thema

Porträt

Felix Michl: Unternehmer, Jurist und Medizinstudent

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Tag der Privatmedizin

GOÄneu: Reuther und Reinhardt demonstrieren Geschlossenheit

Lesetipps
Arzt injiziert einem älteren männlichen Patienten in der Klinik eine Influenza-Impfung.

© InsideCreativeHouse / stock.adobe.com

Verbesserter Herzschutz

Influenza-Impfraten erhöhen: So geht’s!