Deutscher Bundestag – 17. Wahlperiode
Drucksache 17/5200
– 123 –
K a s t e n zu Nr. 11.1.3.2
Verschlüsselung in der Zentralen Speicherstelle
11.1.4
Mangelhaft geschützte Daten bei der
Aufgabenwahrnehmung durch
private Callcenter
Ein Kontrollbesuch bei einer gesetzlichen Krankenkasse
offenbarte schwerwiegende datenschutzrechtliche Verstöße bei der Zusammenarbeit mit einem privaten Dienstleistungsunternehmen.
In meinem letzten Tätigkeitsbericht (22. TB Nr. 10.2.2)
hatte ich die datenschutzrechtlichen Gefahren aufgezeigt,
die im Zusammenhang mit der verstärkt bei Sozialversicherungsträgern zu beobachtenden Tendenz stehen, ihnen
obliegende Aufgaben an private Dienstleistungsunternehmen zu übertragen. Der Kontrollbesuch bei einer gesetzlichen Krankenkasse offenbarte erhebliche Datenschutzverstöße.
Der Kontrollbesuch fand statt, nachdem ich durch Medienanfragen, die ihrerseits auf Insider-Tipps beruhten,
Hinweise auf Datenschutzverstöße erhalten hatte. Die geprüfte Krankenkasse betreibt zur Kundenkommunikation
ein hauseigenes Callcenter. Um der ganztägigen Servicenachfrage ihrer Versicherten gerecht zu werden, beauftragte die Kasse ein Privatunternehmen, Anrufspitzen in
den Abend- und Nachtstunden abzufangen und in Zeiten
hohen Anrufaufkommens das interne Callcenter zu entlasten. Das von der Kasse beauftragte Unternehmen (A) beauftragte einen anderen privaten Dienstleister (B), der
wiederum sein Schwesterunternehmen (C) mit der Erbringung von Teilen der Leistungen, die gegenüber der Krankenkasse geschuldet waren, beauftragte (vgl. Kasten zu
Nr. 11.1.4). Erbracht wurde die Callcenter-Tätigkeit letztlich durch selbständige Berater, die sich hierzu – teilweise
neben anderen Projekten – gegenüber dem Unternehmen C
vertraglich verpflichteten. Insgesamt waren für die Krankenkasse zwischen 70 und 80 selbständige Berater tätig,
die vor Aufnahme ihrer Tätigkeit eine von der Kasse orga-
nisierte einwöchige Schulung zu durchlaufen hatten. Das
dabei zur Verfügung gestellte Lehrmaterial zur Veranschaulichung des Arbeitsablaufs enthielt keine fiktiven,
sondern personenbezogene Daten (u. a. Namen, Adressen,
Bankverbindungen und medizinische Daten) von Versicherten der Krankenkasse.
Anlässlich der Kontrolle habe ich festgestellt, dass die behördliche Datenschutzbeauftragte der Krankenkasse in
das Verfahren, insbesondere in die Vertragsgestaltungen,
welche die (Unter-)Auftragsverarbeitung besonders sensibler Sozialdaten zum Inhalt hatten, zu keinem Zeitpunkt
eingebunden war. Die erforderliche datenschutzrechtliche
Vorabkontrolle war ebenfalls nicht erfolgt. Auch nach
Auftragserteilung an das Unternehmen A fand keine datenschutzrechtliche Kontrolle des Dienstleisters durch die
Krankenkasse statt. Außerdem habe ich bemängelt, dass
die Krankenkasse am Tag des Kontrollbesuchs weder ein
aktuelles Verfahrensverzeichnis noch ein ausreichendes
IT-Sicherheitskonzept vorlegen konnte.
Die externen Berater erbrachten die vertraglich vereinbarte Dienstleistung von ihrem privaten häuslichen Computer aus. Sie hatten dabei über das Internet Zugriff auf
Daten der Versicherten, die auf einem System der Kasse
gespeichert waren. Dabei wurden keine – technisch
durchaus möglichen – Maßnahmen zur Vermeidung eines
möglichen Zugriffs auf Versichertendaten durch unbefugte Dritte getroffen. Durch eine von der Krankenkasse
zugeteilte Kennung (Benutzer-ID, Passwort) erhielten die
Berater Zugang auf die Datensysteme der Krankenkasse.
Eine Zugangsbeschränkung auf den konkreten Zeitpunkt
einer Versichertenanfrage existierte nicht. Lediglich eine
Zwangstrennung des externen Zugangs in den Nachtstunden zur Verhinderung automatisierter Datenabrufe war
eingerichtet.
BfDI 23. Tätigkeitsbericht 2009-2010