Kommentar Patientendaten: Was nicht ins Netz gehört

Mit Gesundheitsdaten kann man viel Geld machen. Doch der Vorschlag, sie mit Pin und Tan zu verschlüsseln, führt in die falsche Richtung.

Was dem Mann fehlt, soll nur er selbst wissen – und sein Arzt. Bild: AP

Der CDU-Gesundheitsexperte Jens Spahn scheint kein Online-Banking zu machen. Anders ist es nicht zu erklären, dass er für den Zugriff auf persönliche Patientendaten auf Webseiten der Krankenkassen eine Absicherung mit Pin und Transaktionsnummer Tan fordert, wie man das vom Online-Banking kennt. Denn wer Online-Banking macht, sollte wissen: Auch mit Pin und Tan ist Vorsicht geboten. Es gibt viele Wege, trotzdem an das Konto zu kommen und Geld abzuräumen. Trojaner. Phishing-Mails. Aufwändige Verfahren, bei denen Betrüger eine zweite Sim-Karte bestellen, um an aufs Handy geschickte Tans heranzukommen.

Ja, Geld ist Geld und Gesundheitsdaten sind Gesundheitsdaten. Doch es ist keineswegs so, dass Kriminelle für einen Zugriff auf ein Konto mehr Aufwand betreiben würden als für den Zugriff auf persönliche Gesundheitsdaten. Aktuelles Beispiel: Michael Schumacher, dessen gestohlene Krankenakte derzeit diversen Medien angeboten werden soll.

Gegen Geld versteht sich. Doch dass sich Daten zu Geld machen lassen, ist nicht neu – nicht nur, wenn es um Prominente geht. Da gab es Fälle, in denen Mitarbeiter in Rechenzentren mit aus Rezepten gewonnenen Patientendaten gehandelt haben sollen. In Österreich wurden Ärzte, Krankenhäuser und Apotheken beschuldigt, Daten aus Rezepten an Marktforschungsunternehmen geliefert zu haben.

Die Recherche der Rheinischen Post, die nun offenbart, wie einfach Unbefugte online persönliche Behandlungsdaten einsehen können, zeigt nebenbei auch etwas anderes: das Problem von lebenslangen Personenkennzahlen. Denn die Versichertennummer bleibt auf der Gesundheitskarte immer gleich. Da sich auch das Geburtsdatum nicht und ein Name nur selten ändert, können die Angaben auch Jahre später noch missbraucht werden.

Wer die Karte nach einem Verlust sperrt, ist also nicht unbedingt auf der sicheren Seite. Als Konsequenz aus der Sicherheitslücke fordert Spahn nun, dass ein System, mit dem Nutzer ihre Gesundheitsdaten einsehen können „absolut sicher“ sein müsse. Zu Recht. Schade nur, das absolut sichere Systeme Illusion sind.

Man kann sich Sicherheit annähern. Der Versichertennummer ein Ablaufdatum geben, eine zusätzliche Abfrage einbauen, die Verschlüsselung der Kassen-Webseiten verbessern, denn die lässt ziemlich oft noch zu wünschen übrig. Am besten wäre es jedoch, so sensible Daten wie Gesundheitszustand und ärztliche Behandlungen gar nicht erst ins Netz zu stellen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.