BKK Gesundheit räumt Versäumnisse ein


Betriebskrankenkasse BKK Gesundheit will für Beseitigung möglicher Sicherheitsdefizite sorgen
Die BKK Gesundheit hat umgehend alle zuständigen Aufsichtsbehörden aktiv und umfassend informiert

(17.02.10) - Zum Sicherheitsleck in ihrem Arbeitsablauf gab die Betriebskrankenkasse BKK Gesundheit Ende letzter Woche folgende Presseerklärung ab: "Laut Vorwürfen des ARD-Politmagazins "Kontraste" sind medizinische Daten von Versicherten der BKK Gesundheit möglicherweise an unbefugte Dritte gelangt. Diese beziehen sich auf die Value 5 HealthCare GmbH, die bei dem Dienstleiter der BKK Gesundheit, MediaKom Verlag GmbH & Co. KG, unter Vertrag steht. Diese wurde von MediaKom beauftragt, die Krankenkasse bei erhöhtem Telefonaufkommen und im Rahmen der 24-stündigen Erreichbarkeit zu unterstützen.

Die BKK Gesundheit hat den Zugang zu ihren Kundendaten für alle externen Dienstleister sofort abgeschaltet und sämtliche Zugangskennungen gesperrt. Die Kunden können sich also darauf verlassen, dass ein verantwortungsvoller Umgang mit den Kundendaten für die BKK Gesundheit oberste Priorität hat und die Kasse bei den kleinsten Verdachtsmomenten tätig wird.

Die BKK Gesundheit hat umgehend alle zuständigen Aufsichtsbehörden aktiv und umfassend informiert. Darunter das Bundesministerium für Gesundheit, den Bundesdatenschutzbeauftragten, das Bundesversicherungsamt, den GKV-Spitzenverband und den Landesverband der Betriebskrankenkassen in Hessen. Diesen wurden auch alle Unterlagen in dieser Sache zur Verfügung gestellt. Ergänzend dazu waren heute hochrangige Vertreter des Bundesdatenschutzbeauftragten auf Einladung der BKK Gesundheit für eine Prüfung vor Ort. Dies ist geschehen, um mögliche Sicherheitsdefizite sofort zu beheben und den höchst möglichen Sicherheitsstandard zu gewährleisten. Darüber hinaus beauftragte der Vorstand der Krankenkasse den vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) lizenzierten Auditor Knud Brandis, Firma Persicon, mit der unabhängigen und kritischen Analyse.

Der externe Dienstleister kann nach der Freigabe von Zugriffsrechten Zugang zu den Versichertendaten der Krankenasse erhalten. Dabei wählt er sich auf dem Server der BKK Gesundheit ein, kann Datensätze aber nicht sammeln oder kopieren. Es ist jedoch möglich von den Daten Screenshots zu machen und diese weiterzuleiten. Werden diese Screenshots entgegen den vertraglichen Verpflichtungen an Dritte weitergegeben, handelt es sich dabei um einen kriminellen Akt.

Fakt ist, dass die BKK Gesundheit die Beauftragung der Value 5 HealthCare GmbH durch die MediaKom Verlag GmbH & Co. KG dem Bundesversicherungsamt hätte melden müssen. Dies ist nicht rechtzeitig geschehen. Darüber hinaus hätte die Krankenkasse eine Datenschutzprüfung beim Telefondienstleister durch MediaKom veranlassen sowie die Einsichtsmöglichkeiten in Kundendaten auf das Notwendigste minimieren müssen. Dies hat sie nicht vor Beauftragung der Value 5 HealthCare GmbH & Co. KG durch den Dienstleister MediaKom getan.

Seit 1. Januar 2010 arbeitet die Value 5 HealthCare auf Veranlassung des Dienstleisters MediaKom Verlag GmbH & Co. KG in der Auftragsdatenverarbeitung der BKK Gesundheit. Im Zuge dieser Zusammenarbeit hat die Krankenkasse einen Zugriff auf die Versichertendaten gewährt, um auch bei erhöhtem Telefonaufkommen ihren Versicherten einen umfangreichen Service bieten zu können.

Die Vorwürfe gegen die BKK Gesundheit sind auf einen anonymen Erpressungsversuch Ende Januar zurückzuführen. Die Krankenkasse wurde von einem zurzeit noch unbekannten männlichen Anrufer zum Ankauf von nicht konkret bezeichneten Unterlagen zu Telefondienstleistungen aufgefordert. Nachdem die BKK Gesundheit den Ankauf der angebotenen Unterlagen abgelehnt hat, wurde seitens des Anrufers mit der Veröffentlichung der Unterlagen und einem Imageschaden für die Krankenkasse gedroht. Darauf hat die BKK Gesundheit bei der Staatsanwaltschaft Frankfurt am Main sofort Strafanzeigen gestellt.

Die Krankenkasse vermutet, dass es sich bei dem Erpresser um einen ehemaligen Mitarbeiter des Telefondienstleisters handelt. Dieser hat in den vergangenen Tagen mehrmals erfolglos versucht, sich auf den Rechner der BKK Gesundheit mit seinem alten und inzwischen gesperrten Zugang einzuwählen."
(BKK Gesundheit: ra)

Lesen Sie auch:
Unternehmen gegen Datenmissbrauch absichern

BKK Gesundheit: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Berichtspflichten dürfen kein Selbstzweck sein

    Die Europäische Kommission hat ihre Omnibus-Initiative zur Vereinfachung der ESG-Regulierung vorgestellt. Die Deutsche Kreditwirtschaft (DK) hat bereits im Vorfeld Vorschläge gemacht, wie das Regelwerk effizienter und steuerungsrelevanter werden kann.

  • Vereinfachung von Nachhaltigkeitsvorschriften

    Die EU-Kommission legte ihr erstes sogenanntes Omnibus-Paket zur Vereinfachung von Nachhaltigkeitsvorschriften vor, um Regulierungen und Bürokratie abzubauen. Zugleich sollen mit dem Clean Industrial Deal (CID) wichtige industriepolitische Weichen gestellt werden.

  • FIDA-Einführung belastet Finanzsektor erheblich

    Die Deutsche Kreditwirtschaft (DK) fordert eine umfassende und sorgfältige Überprüfung des Vorschlags der Europäischen Kommission zur Financial Data Access Regulation (FiDA). Die Debatte um das neue Arbeitsprogramm der Europäischen Kommission bis hin zu einer Rücknahme des FiDA-Vorschlags verdeutlicht den erheblichen Klärungsbedarf in zentralen Fragen.

  • EU-Regulierung von Online-Marktplätzen

    Zur Mitteilung der EU-Kommission zu den aktuellen Herausforderungen im Bereich von E-Commerce-Plattformen erklärt Dr. Bernhard Rohleder, Bitkom-Hauptgeschäftsführer: "Die EU-Kommission schlägt mit ihrer Mitteilung den richtigen Weg ein. Wer online einkauft, muss sich auf die Sicherheit der angebotenen Produkte verlassen können. Dafür braucht es allerdings keine weiteren Regeln, sondern stärkere Importkontrollen und die Aufhebung der Zollfreigrenze von 150 Euro. Denn wenn außereuropäische Händler unter Ausnutzung dieser Grenze illegale Produkte einführen, gefährdet das nicht nur die Verbraucherinnen und Verbraucher, sondern auch europäische Anbieter."

  • Künstliche Intelligenz: Was für Unternehmen gilt

    Seit Sonntag, 2. Februar 2025 sind weitere Regelungen der europäischen KI-Verordnung (AI Act) in Kraft. Dabei handelt es sich zum einen um Verbote von bestimmten KI-Praktiken wie Social-Scoring-Systemen, manipulative KI-Techniken oder Emotionserkennung am Arbeitsplatz. Zum anderen greifen Vorgaben für KI-Kompetenzanforderungen von Beschäftigten.

Patientendatenschutz in Gefahr? Unternehmen gegen Datenmissbrauch absichern

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen