Nachrichten für Datenschutzbeauftragte

Krankenkasse nimmt Datenschutz nicht so genau

(12.02.2010)  •  Die Betriebskrankenkasse BKK Gesundheit wird von einem Unbekannten erpresst, der Versichertendaten entwendet haben soll. Die Staatsanwaltschaft sei bereits eingeschaltet.

Die Krankenkasse hatte eine externe Firma mit der Betreuung ihrer Telefon-Hotline betraut. Diese hatte wiederum einen Subunternehmer angeheuert, der teilweise ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten von privaten Computern oder Laptops medizinische Diagnosen und andere Daten abrufen und speichern können. Nach Aussage der Krankenkasse hätten die externen Dienstleister zwar Zugang zu den Versichertendaten erhalten, könnten diese aber „nicht sammeln oder kopieren“. Es sei jedoch möglich, Screenshots zu machen und diese weiterzuleiten.

In diesem Zusammenhang räumt die BKK Gesundheit eigene Fehler ein: So hätte man die Einsichtsmöglichkeiten in die Kundendaten reduzieren müssen, da der Dienstleister nicht alle Daten benötigt. Dies sieht das Gesetz in Form der Zugriffskontrolle vor (Nr. 3 der Anlage zu § 9 BDSG). Außerdem sei der Dienstleister der Auftragsdatenverarbeitung einer Datenschutzkontrolle zu unterziehen (§ 11 Abs. 2 BDSG), was ebenfalls nicht geschehen sei.

Nach dem Vorfall sei der Zugang zu Kundendaten für alle externen Dienstleister sofort abgeschaltet und sämtliche Zugangskennungen gesperrt worden. Auch habe man alle zuständigen Aufsichtsbehörden umfassend informiert.

Weitere Infos: www.heise.de 

[  zurück  ]