Gesundheitskarte: Massive Datenschutz-Lücke

Jochens SOZIALPOLITISCHE NACHRICHTEN

irgendwo gibt es im ZDF noch Redakteure, die sich gegen die Gleichschaltung wehren:
http://www.heute.de/massive-datenschutzluecke-bei-elektronischer-gesundheitskarte-38542206.html
Auszüge:eCard-neindanke

Effizient, modern, sicher – so wird die elektronische Gesundheitskarte (eGK) gerne dargestellt. Doch ihr Sicherheitskonzept wird durch eine massive Datenschutz-Lücke ausgehebelt. Nach Recherchen des ZDF heute-journals sind sensible Patientendaten von Millionen Deutschen nicht sicher.

Stehen Sie kurz vorm Burnout? Waren Sie mal drogenabhängig? Oder nehmen Sie Psychopharmaka?
Antworten auf diese Fragen sind leicht zu finden, wenn man Einblick in Ihre Patientenakte erhält. Dort stehen hochsensible Daten, die zum Beispiel für Kollegen oder Vorgesetzte sehr interessant sein können.
Mit krimineller Energie ist es unter Umständen sehr einfach, an solche Informationen heranzukommen.

Selbsttest bei der AOK

Wir machen den Selbsttest: Der Experte für Datensicherheit im Gesundheitswesen, Dr. André Zilch, ruft bei meiner Krankenkasse, der AOK, an.
Er meldet sich mit meinem Namen und sagt, er sei umgezogen. Zilch nennt die ersten Ziffern meiner Versichertennummer – schon hat die Mitarbeiterin mich im System gefunden.Die Dame bestätigt, dass die AOK eine eGK an die neue Adresse schickt. Wenige Wochen später präsentiert mir Zilch nicht nur meine neue Karte – mit den darauf stehenden Daten erstellt er ein AOK-Online-Konto und erhält vollen Einblick in meine Arztbesuche, Operationen und Medikationen.

Identität wird nicht geprüft

Das Problem: Die AOK prüft die Identität des Versicherten nicht. Das Call-Center benötigt laut unseren Recherchen lediglich eine persönliche Information, um den Versicherten in der Datenbank finden zu können – Zum Beispiel die Versichertennummer, das Geburtsdatum oder die alte Adresse. Auch beim Einrichten des Online-Kontos findet kein Identitäts-Check statt.
Wir haben die AOK mit unserer Recherche konfrontiert. Die Antwort: „(…)Im Sinne kundenorientierter Prozesse müssten Krankenkassen im Rahmen einer vertrauensvollen Kundenbeziehung Postadressen grundsätzlich als wahr annehmen können (…)“.
Diese Sicherheitslücke betrifft nicht nur die AOK, sondern auch andere gesetzliche Kassen. Dabei heißt es im Sozialgesetz: „(…) bei einer Eingabe über öffentlich zugängliche Netze [muss] ein sicherer Identitätsnachweis nach § 18 des Personalausweisgesetzes (…) erfolgen (…).“
Doch die AOK und andere Kassen halten sich nicht daran. Ein Datenschutz-Skandal, der – wie schon so oft in den letzten Jahren – Anlass für Kritik am Sicherheitskonzept der eGK bietet.

Pannenprojekt oder digitale Revolution?

Seit 2003 ist die eGK ein technologisches Mammutprojekt, das bereits jetzt mehr als eine Milliarde Euro verschlungen hat. Das Ziel: Eine bessere Vernetzung von Ärzten, Krankenhäusern und Patienten. Effizient, transparent, kostensparend.

Die damalige Gesundheitsministerin, Ulla Schmidt, verkündete jubilierend, dass sie die Einführung für 2006 plane. Sicherheitsbedenken tat sie ab: „Für mich ist entscheidend, dass der Datenschutzbeauftragte des Bundes, Herr Schaar, ganz eindeutig erklärt hat, dass der Datenschutz bei der Gesundheitskarte, anders als in vielen anderen Bereichen, optimal ist.“
Doch es stellte sich heraus, dass nicht nur das Datenschutz-, sondern das Gesamtkonzept alles andere als optimal war. Der Start der „neuen“ Karte wurde wieder und wieder verschoben. Von Ulla Schmidt über Philipp Rösler und Daniel Bahr bis Hermann Gröhe haben sich Gesundheitsminister die Zähne ausgebissen. Erst seit Januar 2015 ist die kleine Plastikkarte Pflicht.

Karte als Schlüssel

Mit dem geplanten E-Health-Gesetz will das Bundesgesundheitsministerium nun endlich damit beginnen, die Karte so einzusetzen, dass sie neben dem Foto mehr bietet als die alte Krankenkassen-Karte. Sie soll als Schlüssel dienen, um Patientendaten online versenden zu können und Notfalldaten schnell verfügbar machen. Oberstes Gut, so das Gesundheitsministerium, sei hierbei stets der Schutz der hochsensiblen Gesundheitsdaten.
Doch eben diese Daten sind nach den Recherchen des ZDF heute-journals bereits jetzt nicht sicher.
Solange Kassen keine Identitätsprüfung ihrer Versicherten durchführen, bleibt der Datenschutz die Achillesferse der eGK.

IT-Sicherheitsexperte Dr. André Zilch ist Spezialist für Datenschutz im Gesundheitswesen. Er hat an der Entwicklung der elektronischen Gesundheitskarte mitgewirkt und setzt sich seit Jahren dafür ein, dass gravierende Sicherheitslücken im Gesundheitssystem geschlossen werden.

Jochen