Kommentar Patientendaten: Was nicht ins Netz gehört
Mit Gesundheitsdaten kann man viel Geld machen. Doch der Vorschlag, sie mit Pin und Tan zu verschlüsseln, führt in die falsche Richtung.
D er CDU-Gesundheitsexperte Jens Spahn scheint kein Online-Banking zu machen. Anders ist es nicht zu erklären, dass er für den Zugriff auf persönliche Patientendaten auf Webseiten der Krankenkassen eine Absicherung mit Pin und Transaktionsnummer Tan fordert, wie man das vom Online-Banking kennt. Denn wer Online-Banking macht, sollte wissen: Auch mit Pin und Tan ist Vorsicht geboten. Es gibt viele Wege, trotzdem an das Konto zu kommen und Geld abzuräumen. Trojaner. Phishing-Mails. Aufwändige Verfahren, bei denen Betrüger eine zweite Sim-Karte bestellen, um an aufs Handy geschickte Tans heranzukommen.
Ja, Geld ist Geld und Gesundheitsdaten sind Gesundheitsdaten. Doch es ist keineswegs so, dass Kriminelle für einen Zugriff auf ein Konto mehr Aufwand betreiben würden als für den Zugriff auf persönliche Gesundheitsdaten. Aktuelles Beispiel: Michael Schumacher, dessen gestohlene Krankenakte derzeit diversen Medien angeboten werden soll.
Gegen Geld versteht sich. Doch dass sich Daten zu Geld machen lassen, ist nicht neu – nicht nur, wenn es um Prominente geht. Da gab es Fälle, in denen Mitarbeiter in Rechenzentren mit aus Rezepten gewonnenen Patientendaten gehandelt haben sollen. In Österreich wurden Ärzte, Krankenhäuser und Apotheken beschuldigt, Daten aus Rezepten an Marktforschungsunternehmen geliefert zu haben.
Die Recherche der Rheinischen Post, die nun offenbart, wie einfach Unbefugte online persönliche Behandlungsdaten einsehen können, zeigt nebenbei auch etwas anderes: das Problem von lebenslangen Personenkennzahlen. Denn die Versichertennummer bleibt auf der Gesundheitskarte immer gleich. Da sich auch das Geburtsdatum nicht und ein Name nur selten ändert, können die Angaben auch Jahre später noch missbraucht werden.
Wer die Karte nach einem Verlust sperrt, ist also nicht unbedingt auf der sicheren Seite. Als Konsequenz aus der Sicherheitslücke fordert Spahn nun, dass ein System, mit dem Nutzer ihre Gesundheitsdaten einsehen können „absolut sicher“ sein müsse. Zu Recht. Schade nur, das absolut sichere Systeme Illusion sind.
Man kann sich Sicherheit annähern. Der Versichertennummer ein Ablaufdatum geben, eine zusätzliche Abfrage einbauen, die Verschlüsselung der Kassen-Webseiten verbessern, denn die lässt ziemlich oft noch zu wünschen übrig. Am besten wäre es jedoch, so sensible Daten wie Gesundheitszustand und ärztliche Behandlungen gar nicht erst ins Netz zu stellen.
50.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr Leser*innen machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Denn wir suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus und unterstützen Sie die taz – schon ab 5 Euro. Jetzt unterstützen
meistkommentiert