Gesundheitskarte: Massive Datenschutz-Lücke

Jochens SOZIALPOLITISCHE NACHRICHTEN

irgendwo gibt es im ZDF noch Redakteure, die sich gegen die Gleichschaltung wehren:
http://www.heute.de/massive-datenschutzluecke-bei-elektronischer-gesundheitskarte-38542206.html
Auszüge:eCard-neindanke

Effizient, modern, sicher – so wird die elektronische Gesundheitskarte (eGK) gerne dargestellt. Doch ihr Sicherheitskonzept wird durch eine massive Datenschutz-Lücke ausgehebelt. Nach Recherchen des ZDF heute-journals sind sensible Patientendaten von Millionen Deutschen nicht sicher.

Stehen Sie kurz vorm Burnout? Waren Sie mal drogenabhängig? Oder nehmen Sie Psychopharmaka?
Antworten auf diese Fragen sind leicht zu finden, wenn man Einblick in Ihre Patientenakte erhält. Dort stehen hochsensible Daten, die zum Beispiel für Kollegen oder Vorgesetzte sehr interessant sein können.
Mit krimineller Energie ist es unter Umständen sehr einfach, an solche Informationen heranzukommen.

Selbsttest bei der AOK

Wir machen den Selbsttest: Der Experte für Datensicherheit im Gesundheitswesen, Dr. André Zilch, ruft bei meiner Krankenkasse, der AOK, an.
Er meldet sich mit meinem Namen und sagt, er sei umgezogen. Zilch nennt die ersten Ziffern meiner Versichertennummer – schon hat die Mitarbeiterin mich im System gefunden.Die Dame bestätigt, dass die AOK eine eGK an die neue Adresse schickt. Wenige Wochen später präsentiert mir Zilch nicht nur meine neue Karte – mit den darauf stehenden Daten erstellt er ein AOK-Online-Konto und erhält vollen Einblick in meine Arztbesuche, Operationen und Medikationen.

Identität wird nicht geprüft

Das Problem: Die AOK prüft die Identität des Versicherten nicht. Das Call-Center benötigt laut unseren Recherchen lediglich eine persönliche Information, um den Versicherten in der Datenbank finden zu können – Zum Beispiel die Versichertennummer, das Geburtsdatum oder die alte Adresse. Auch beim Einrichten des Online-Kontos findet kein Identitäts-Check statt.
Wir haben die AOK mit unserer Recherche konfrontiert. Die Antwort: „(…)Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können (…)“.
Diese Sicherheitslücke betrifft nicht nur die AOK, sondern auch andere gesetzliche Kassen. Dabei heißt es im Sozialgesetz: „(…) bei einer Eingabe über öffentlich zugängliche Netze [muss] ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes (…) erfolgen (…).“
Doch die AOK und andere Kassen halten sich nicht daran. Ein Datenschutz-Skandal, der – wie schon so oft in den letzten Jahren – Anlass für Kritik am Sicherheitskonzept der eGK bietet.

Pannenprojekt oder digitale Revolution?

Seit 2003 ist die eGK ein technologisches Mammutprojekt, das bereits jetzt mehr als eine Milliarde Euro verschlungen hat. Das Ziel: Eine bessere Vernetzung von Ärzten, Krankenhäusern und Patienten. Effizient, transparent, kostensparend.

Die damalige Gesundheitsministerin, Ulla Schmidt, verkündete jubilierend, dass sie die Einführung für 2006 plane. Sicherheitsbedenken tat sie ab: „Für mich ist entscheidend, dass der Datenschutzbeauftragte des Bundes, Herr Schaar, ganz eindeutig erklärt hat, dass der Datenschutz bei der Gesundheitskarte, anders als in vielen anderen Bereichen, optimal ist.“
Doch es stellte sich heraus, dass nicht nur das Datenschutz-, sondern das Gesamtkonzept alles andere als optimal war. Der Start der „neuen“ Karte wurde wieder und wieder verschoben. Von Ulla Schmidt über Philipp Rösler und Daniel Bahr bis Hermann Gröhe haben sich Gesundheitsminister die Zähne ausgebissen. Erst seit Januar 2015 ist die kleine Plastikkarte Pflicht.

Karte als Schlüssel

Mit dem geplanten E-Health-Gesetz will das Bundesgesundheitsministerium nun endlich damit beginnen, die Karte so einzusetzen, dass sie neben dem Foto mehr bietet als die alte Krankenkassen-Karte. Sie soll als Schlüssel dienen, um Patientendaten online versenden zu können und Notfalldaten schnell verfügbar machen. Oberstes Gut, so das Gesundheitsministerium, sei hierbei stets der Schutz der hochsensiblen Gesundheitsdaten.
Doch eben diese Daten sind nach den Recherchen des ZDF heute-journals bereits jetzt nicht sicher.
Solange Kassen keine Identitätsprüfung ihrer Versicherten durchführen, bleibt der Datenschutz die Achillesferse der eGK.

IT-Sicherheitsexperte Dr. André Zilch ist Spezialist für Datenschutz im Gesundheitswesen. Er hat an der Entwicklung der elektronischen Gesundheitskarte mitgewirkt und setzt sich seit Jahren dafür ein, dass gravierende Sicherheitslücken im Gesundheitssystem geschlossen werden.

Jochen

Ein Gedanke zu “Gesundheitskarte: Massive Datenschutz-Lücke

  1. Danke Dir Joachim, für Deinen Widerstand und die Infos.
    Es gibt einen GANZ EINFACHEN WEG FÜR JEDEN, um die Kranke elektronische Gesundheitskarte auszuhebeln:
    1.) Verlange von Deiner „Gesundheitskasse“ eine aktuelle schriftliche Mitgliedsbescheinigung. DIE MÜSSEN SIE DIR PER BRIEFPOST schicken – denn DU BIST JA MITGLIED. Dauert 1-2 Tage.
    2.) Damit marschierst Du im Bedarfsfall zum Haus-, Zahnarzt oder sonst wo hin.
    3.) DIE MÜSSEN DIE SCHRIFTLICHE MITGLIEDSBESCHEINIGUNG der Gesundheitskasse anerkennen.
    Wenn sie Sperenzchen machen, sollen sie doch mit denen telefonieren und sich die Mitgliedschaft noch mal per Fax oder Email bestätigen lassen. Weil die Telefonnummer der Sachbearbeiter steht auf der MITGLIEDS-BESCHEINIGUNG, die Du ja hast und vorgelegt hast.
    Hat bei meiner „Hausärztin“ prima funktioniert und selbst beim Zahnarzt, der mich ganz gewiss NIEMALS ZUVOR IN SEINEM LEBEN GESEHEN HAT.
    Nach 2 Minuten war die MITGLIEDS-BESTÄTIGUNG in dereren Praxen per Fax da.
    LEHRE AUS DIESER PRAKTISCHEN ERFAHRUNG DER LETZTEN 12 MONATE:
    Warum einfach (wie bisher mit Plastikkärtchen für die nächsten 10 Jahre) wenn es auch komplizierter geht ?
    ALSO greifen wir doch lieber wieder zu den „Steinzeitmethoden“ mit Papier-Post.
    Ich garantiere EUCH: DIE OBEREN WERDEN IRRE, WENN ALLE DAS SO MACHEN

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s