Kommentar Patientendaten: Was nicht ins Netz gehört
Mit Gesundheitsdaten kann man viel Geld machen. Doch der Vorschlag, sie mit Pin und Tan zu verschlüsseln, führt in die falsche Richtung.
D er CDU-Gesundheitsexperte Jens Spahn scheint kein Online-Banking zu machen. Anders ist es nicht zu erklären, dass er für den Zugriff auf persönliche Patientendaten auf Webseiten der Krankenkassen eine Absicherung mit Pin und Transaktionsnummer Tan fordert, wie man das vom Online-Banking kennt. Denn wer Online-Banking macht, sollte wissen: Auch mit Pin und Tan ist Vorsicht geboten. Es gibt viele Wege, trotzdem an das Konto zu kommen und Geld abzuräumen. Trojaner. Phishing-Mails. Aufwändige Verfahren, bei denen Betrüger eine zweite Sim-Karte bestellen, um an aufs Handy geschickte Tans heranzukommen.
Ja, Geld ist Geld und Gesundheitsdaten sind Gesundheitsdaten. Doch es ist keineswegs so, dass Kriminelle für einen Zugriff auf ein Konto mehr Aufwand betreiben würden als für den Zugriff auf persönliche Gesundheitsdaten. Aktuelles Beispiel: Michael Schumacher, dessen gestohlene Krankenakte derzeit diversen Medien angeboten werden soll.
Gegen Geld versteht sich. Doch dass sich Daten zu Geld machen lassen, ist nicht neu – nicht nur, wenn es um Prominente geht. Da gab es Fälle, in denen Mitarbeiter in Rechenzentren mit aus Rezepten gewonnenen Patientendaten gehandelt haben sollen. In Österreich wurden Ärzte, Krankenhäuser und Apotheken beschuldigt, Daten aus Rezepten an Marktforschungsunternehmen geliefert zu haben.
Die Recherche der Rheinischen Post, die nun offenbart, wie einfach Unbefugte online persönliche Behandlungsdaten einsehen können, zeigt nebenbei auch etwas anderes: das Problem von lebenslangen Personenkennzahlen. Denn die Versichertennummer bleibt auf der Gesundheitskarte immer gleich. Da sich auch das Geburtsdatum nicht und ein Name nur selten ändert, können die Angaben auch Jahre später noch missbraucht werden.
Wer die Karte nach einem Verlust sperrt, ist also nicht unbedingt auf der sicheren Seite. Als Konsequenz aus der Sicherheitslücke fordert Spahn nun, dass ein System, mit dem Nutzer ihre Gesundheitsdaten einsehen können „absolut sicher“ sein müsse. Zu Recht. Schade nur, das absolut sichere Systeme Illusion sind.
Man kann sich Sicherheit annähern. Der Versichertennummer ein Ablaufdatum geben, eine zusätzliche Abfrage einbauen, die Verschlüsselung der Kassen-Webseiten verbessern, denn die lässt ziemlich oft noch zu wünschen übrig. Am besten wäre es jedoch, so sensible Daten wie Gesundheitszustand und ärztliche Behandlungen gar nicht erst ins Netz zu stellen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!