Die Datenschutzbehörde BfDI untersucht derzeit einen Vorfall bei der gesetzlichen Krankenkasse Barmer, bei dem eine elektronische Patientenakte (ePA) möglicherweise unrechtmäßig gelöscht wurde. Ein Whistleblower hat dem Handelsblatt berichtet, dass er mithilfe einer gefälschten Unterschrift eine vollständige Löschung seiner ePA veranlasst haben soll. Dieser Vorfall wirft Fragen zur Sicherheit des Opt-out-Verfahrens auf, mit dem Versicherte ihre ePA löschen lassen können. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) prüft nun, ob das Verfahren ausreichenden Schutz vor Manipulationen bietet.
BfDI prüft potenzielle Sicherheitslücke
Laut einem Sprecher der BfDI wird der Fall von einer Fachabteilung intensiv untersucht. Der Whistleblower gab an, dass er den Widerspruch gegen die ePA mit einer falschen Unterschrift per Post eingereicht habe, was zur unwiderruflichen Löschung der digitalen Akte führte. Bis Redaktionsschluss hatte die Barmer keine Stellungnahme zu dem Vorfall abgegeben, erklärte jedoch zuvor, dass eine Löschung ohne das aktive Mitwirken des Versicherten nicht möglich sei.
Sicherheitslücke oder Urkundenfälschung?
Die BfDI erklärte gegenüber dem Handelsblatt, dass sie in dem Vorfall keine technische Schwachstelle im ePA-System sehe. Vielmehr handele es sich um einen klassischen Fall von Urkundenfälschung, bei dem eine gefälschte Unterschrift genutzt wurde, um den Löschungsprozess zu initiieren. Dennoch könnte der Vorfall zu einer genaueren Prüfung der Sicherheitsvorkehrungen bei der Barmer und anderen Krankenkassen führen, die das Opt-out-Verfahren zur Verfügung stellen.
Reaktionen der Barmer
Die Barmer selbst äußerte sich bisher nur vage zu dem Vorfall und kündigte an, sich schnellstmöglich zu dem Thema zurückzumelden. In einer früheren Stellungnahme betonte die Krankenkasse, dass eine Löschung der ePA nur mit der aktiven Zustimmung des Versicherten erfolgen könne. Der Vorfall, wie er vom Whistleblower beschrieben wird, stellt jedoch eine Herausforderung für die Glaubwürdigkeit dieses Verfahrens dar.
Weitere Entwicklungen und mögliche Konsequenzen
Dieser Vorfall wirft Fragen zur Effektivität der bestehenden Sicherheitsmechanismen bei der digitalen Verwaltung sensibler Gesundheitsdaten auf. Datenschutzexperten befürchten, dass solche Vorfälle das Vertrauen der Versicherten in die Sicherheit der ePA beeinträchtigen könnten, was zu weiteren rechtlichen und regulatorischen Maßnahmen führen könnte.
