Pannen und Erpressung - So gehen Kassen mit Patientendaten um

Die Daten ihrer Versicherten sollten den Krankenkassen heilig sein. Sollten – sind sie aber anscheinend nicht immer. Beispiel ist die jüngste Datenpanne bei der BKK Gesundheit. Deutschlands größte Betriebskrankenkasse gewährte Callcentermitarbeitern Zugriff auf intime Daten ihrer 1,5 Millionen Versicherten. „Ein so leichtfertiger Umgang mit Sozialdaten ist mir bisher noch nicht untergekommen“, entsetzte sich der Bundesdatenschutzbeauftragte Peter Schaar.

Das ARD-Magazin „Kontraste“ hatte das Datenleck bei der BKK Gesundheit ans Licht gebracht. Die Krankenkasse beauftragte ein externes Unternehmen mit der Betreuung ihrer Telefonhotline.

Dieses aber heuerte wiederum einen anderen Dienstleister an, die Value5 HealthCare. Deren Mitarbeiter hatten damit Zugriff auf so intime Versichertendaten wie Krankheiten und Diagnosen, dies sogar teilweise von ihren privaten Rechnern aus – worauf sie die Daten sogar abspeichern konnten.

Das alles wäre vielleicht niemals aufgefallen, hätte sich nicht laut „Kontraste“ mehrmals ein unbekannter Mann bei der Betriebskrankenkasse gemeldet. Er wollte ihr nicht genauer bezeichnete Unterlagen verkaufen. Die BKK ließ sich aber nicht auf den Deal ein. Also drohte der mysteriöse  Anrufer damit, die Unterlagen zu veröffentlichen.

© Manfred-Jahreis/pixelio.de
Die Callcenter-Mitarbeiter konnten von ihren Rechnern aus auf Krankendaten zugreifen.
Ob es sich bei den Unterlagen um Daten der BKK-Versicherten handelte, verriet der Unbekannte  nicht. Es liegt aber nahe. Möglich ist auch, dass der Erpresser sie schon veröffentlicht hat, zum Beispiel im Internet. Zumindest sind die Unterlagen weiterhin verschollen. Die Versicherten müssen also bangen, dass ihre Daten vielleicht in die Hände von Unbefugten gelangen. Die BKK Gesundheit glaubt, dass es sich bei dem Erpresser um einen ehemaligen Mitarbeiter handelt, der der Kasse schaden wollte. Nun ermittelt die Staatsanwaltschaft.

Die Betriebskrankenkasse zeigte sich zerknirscht. Die Versicherten hätten nichts davon gewusst, dass eine fremde Firma auf ihre Daten zugreifen konnte, gab eine Sprecherin gegenüber der „Süddeutschen Zeitung“ zu. Sie nicht zu informieren sei falsch gewesen. Ebenso falsch sei gewesen, den beauftragten Unternehmen blind zu vertrauen. Man habe deren Datenschutzstandards einfach nicht kontrolliert.

Das Datenleck bei der BKK Gesundheit sei ein Einzelfall, meint der Spitzenverband der Krankenkassen. Deren Sprecher Florian Lanz diktierte der Tageszeitung „Die Welt“ in die Feder: „Die Daten der 70 Millionen Versicherten sind bei den gesetzlichen Krankenkassen in guten Händen.“ Ein Blick zurück weckt daran jedoch Zweifel. Denn auch andere Krankenkassen gehen mit den Daten ihrer Versicherten nicht immer zu hundert Prozent verschwiegen um.

Eine Aktion der AOK Hessen sorgte schon 2006 für Schlagzeilen. Diese hatte Medienberichten zufolge persönliche Daten ihrer Versicherten wie Namen und Adresse an die Internet-Versandapotheke DocMorris weitergegeben. Die Apotheke sollte an Diabetes erkrankte Versicherte anschreiben und ihnen Angebote für spezielle Medikamente machen. Die AOK habe mit dieser Aktion Kosten für Arzneimittel einsparen wollen, berichtete damals „Spiegel online“. Ein Mitarbeiter des hessischen Datenschutzbeauftragten kritisierte im gleichen Blatt: „Die Versicherten wussten nicht, dass ihre Namen weitergegeben wurden, und die Daten waren nicht einmal verschlüsselt.“ Datenschützer legten nach Angaben von „Spiegel online“ Beschwerde ein, die AOK musste ihre Aktion stoppen und DocMorris musste versprechen, die weitergeleiteten Versichertendaten zu vernichten. Außerdem habe die AOK versichert, keiner weiteren Apotheke Daten zur Verfügung gestellt zu haben.

Auch eine Datenpanne bei der  AOK Niedersachsen verursachte kräftiges Rauschen im Blätterwald. Die Kasse hatte einem Apotheker sensible Patientendaten übermittelt, zusammen mit Kopien von Rezepten, bei denen Klärungsbedarf bestand. Allerdings waren die Daten für eine andere Apotheke bestimmt. Der Apotheker, der die Unterlagen letztendlich bekam, meldete den Vorfall und erstattete Strafanzeige gegen die AOK Niedersachsen, weil diese gegen Datenschutzbestimmungen verstoßen hatte. Die Kasse untersuchte den Vorfall daraufhin genau und stellte fest, dass sie auch noch an eine andere Apotheke falsche Rezeptkopien geschickt hatte. Patientendaten seien dabei jedoch zu keinem Zeitpunkt in unbefugte Hände geraten, beteuerte die AOK.   

Für Aufsehen sorgte im Mai vergangenen Jahres auch ein Vorfall bei der IKK Weser-Ems. Sie soll nach Informationen der „Bild“-Zeitung sensible Daten ihrer Versicherten an die Privatversicherung Signal Iduna verkauft haben. Die Versicherung wusste somit über die Krankheitsbilder und gesundheitlichen Schwächen der IKK-Versicherten Bescheid. Laut „Bild“ rief die Signal Iduna die Versicherten daraufhin an und bot ihnen im Auftrag der IKK Zusatzversicherungen an. Der Datenschutzbeauftragte Peter Schaar zeigte sich damals alles andere als begeistert: „Ich fürchte, dass auch andere gesetzliche Krankenkassen ähnlich mit Privatversicherungen zusammenarbeiten“, sagte er gegenüber der „Bild“-Zeitung. Er erstattete Anzeige wegen unbefugter Weitergabe von Sozialdaten.

Schlagzeilen machte vergangenes Jahr auch die DAK wegen der Weitergabe von Versichertendaten an eine Privatfirma. Wie das ARD-Magazin „Report Mainz“ aufdeckte, hatte die zweitgrößte deutsche Ersatzkasse vertrauliche Informationen von 200.000 Patienten an einen Gesundheitsdienstleis-ter mit dem Namen Healthways übermittelt. Dieser sollte damit Teilnehmer für ein DAK-Gesundheitsprogramm zusammentrommeln. Auch in diesem Fall meldete sich der Datenschutzbeauftragte Schaar zu Wort und kritisierte das Vorgehen der DAK scharf. Aus seiner Sicht sei die Datenweitergabe „illegal“. Die DAK hingegen wies alle Schuld von sich. Sie habe nichts Unrechtes getan, verteidigte sie sich damals im Beitrag von „Report Mainz“. Denn die Versicherten, so behauptete die Krankenkasse, hätten der Nutzung ihrer Daten durch ihre Teilnahme am Gesundheitsprogramm schriftlich zugestimmt. Die Firma Healthways hingegen gab dem TV-Magazin gegenüber an, dass sie die Daten einfach so bekommen habe – ohne vorherige Zustimmung der Versicherten.

Apr 5, 2010, 12:24:23 PM, Autor: Sarah Knoop / April - Juni 2010