Drucksache 17/5200
– 124 –
Je nach Qualifikation wurden die Berater für den „First
Level Support“ (einfache Versichertenanfragen) oder den
„Second Level Support“ (anspruchsvollere Anfragen)
eingesetzt. Dabei hatten jedoch sämtliche Berater undifferenzierten Zugriff auf den gesamten Versichertendatenbestand einschließlich besonders sensibler Gesundheitsdaten. Der Zugriff erstreckte sich neben Namen, Anschrift
und Alter aller bei der Krankenkasse Versicherten auch
auf deren Bankverbindungen, Angaben über medizinische Leistungen, Diagnosen chronischer Erkrankungen,
den behandelnden Arzt und Krankengeldbezug. Diese unbeschränkte Zugriffsmöglichkeit auf den gesamten Versichertendatenbestand der Krankenkasse war für die Erbringung der vertraglich festgelegten Leistungen weder
erforderlich noch wurde dem gebotenen Zugriffsschutz in
irgendeiner Weise Rechnung getragen.
Der Zugriff der externen Berater auf den Datenbestand der
Krankenkasse erfolgte innerhalb des von Dienstleister C
verwendeten Systems. Die freien Mitarbeiter wählten sich
über eine verschlüsselte und abgesicherte Verbindung
(VPN-Tunnel) bei einem Rechenzentrum des Unternehmens C ein. Der dortige Server war mit dem Datensystem
der Krankenkasse verbunden. Neben der Verschlüsselung
und dem VPN-Tunnel existierten keine weiteren Sicherheitsvorkehrungen auf den Rechnern der Berater. Durch
die Sicherheitsrichtlinien der Systemadministration (Sperrung von lokalem Laufwerk, CD-Brenner, USB und Druckerschnittstellen) konnte aber zumindest sichergestellt
werden, dass keine den Systemen der Krankenkasse entnommenen Daten lokal am externen PC gespeichert oder
ausgedruckt werden konnten. Ein Kopieren der Daten oder
das Mitlaufen eines sog. Loggers waren deshalb nach bis-
K a s t e n zu Nr. 11.1.4
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
herigem Wissenstand nicht möglich, jedoch konnten einzelne Maskeninhalte (Screenshots) eines Versichertenkontos lokal am externen PC abgespeichert, gedruckt oder in
eine andere Datei exportiert werden.
Aufgrund dieser erheblichen Mängel bei den technischen
und organisatorischen Maßnahmen zum Schutz der sensiblen Sozialdaten habe ich gegenüber dem Vorstand der
Krankenkasse insgesamt fünf datenschutzrechtliche Beanstandungen ausgesprochen. Hervorheben möchte ich aber
auch das äußerst kooperative Verhalten der Krankenkasse
während und nach meinem Kontrollbesuch. Insbesondere
begrüße ich, dass umgehend weitreichende Maßnahmen
zur Sicherstellung des Datenschutzes ergriffen wurden.
Trotzdem bleibt ein schaler Beigeschmack: Die festgestellten Zustände verstießen in eklatanter Weise gegen
datenschutzrechtliche Vorgaben und setzten sensible personenbezogene Daten in unverantwortlicher Weise vermeidbaren Risiken aus. Wie oben ausgeführt, wurde meine
Prüfung durch Hinweise ausgelöst, die ich von anderer
Seite erhalten hatte. Es ist nicht ausgeschlossen, vielleicht
sogar wahrscheinlich, dass es sich nicht um einen Einzelfall handelt. Vielmehr drängt sich mir der Eindruck auf,
dass eine einseitige Fokussierung auf wirtschaftliche
Kenngrößen sich negativ auf den Datenschutz auswirkt.
Dies betrifft auch – aber nicht nur – die Krankenversicherungen, jedenfalls soweit sie im Wettbewerb stehen. Ich
möchte deshalb daran erinnern, dass letztlich immer die
Geschäftsleitungen die Verantwortung für den Umgang
mit personenbezogenen Daten haben. Die Gewährleistung
des Datenschutzes – insbesondere bei sensiblen Daten – ist
Chefsache und darf nicht auf Mitarbeiter, Auftragnehmer
oder sonstige Vertragspartner abgewälzt werden.