Im Online-Portal der Krankenkasse CSS erhielten Kunden Rechnungen von fremden Personen. Das verletzt den Datenschutz. Eine Kundin der CSS erhielt in den letzten Monaten zweimal Abrechnungen von wildfremden Personen im Online-Portal MyCSS der Krankenkasse. Diese enthielten detaillierte persönliche Daten dieser anderen Kunden. Die Sprecherin des eidgenössischen Datenschutzbeauftragten, Silvia Böhlen, sagt im SRF-Konsumentenmagazin «Espresso»: «Das ist ganz klar eine Verletzung des Datenschutzes.»
Bei Gesundheitsdaten handelt es sich zudem um besonders schützenswerte Daten. «Dann ist die Datenschutzverletzung gravierender, als wenn nur ein Name oder eine Adresse falsch verschickt werden», sagt Silvia Böhlen.
Mehrere Tausend Fälle pro Jahr
Bei der CSS ist also Feuer im Dach. Denn es ist nicht das erste Mal, dass ein solcher Fall bekannt wird. Vor knapp einem Jahr berichtete der «Blick» über einen CSS-Kunden, der die Rechnung einer ihm unbekannten Frau in seinem MyCSS-Portal fand. Mit Angaben zu deren psychiatrischen Behandlung. Die CSS sprach damals von einem Einzelfall.
In wie vielen Fällen erhalten wirklich Kunden Abrechnungen von fremden Personen? Gegenüber «Espresso» sagt CSS-Sprecherin Nina Mayer: «Bei aktuellen Messungen haben wir den relativ geringen Fehleranteil von 0,7 Promille gemessen.» Die meisten Fehler geschehen bei der manuellen Verarbeitung, aber auch bei der automatisierten Zuteilung von Rechnungen geschehen Fehler.
«Nur» 0,7 Promille? Immerhin bedeutet dies, dass eine von 1400 Rechnungen an den falschen Kunden geht. Bei 17 Millionen Rechnungen, die die CSS pro Jahr verarbeitet, sind das immerhin fast 12'000 pro Jahr. Auch Rechnungen mit heiklen Daten. Die CSS zeigt sich reuig: «Fehler können passieren. Dass daraus Datenschutzverletzungen entstehen, ist inakzeptabel.»
Konsequenz: CSS ändert ihr System
Die Krankenkasse hat bereits im letzten Jahr Massnahmen ergriffen, um die Fehlerquote zu senken. Nachdem sich «Espresso» mit dem neuen Fall gemeldet hat, zieht die CSS Konsequenzen. Sie kündigt für die kommenden Tagen eine Umstellung auf dem Kundenportal MyCSS an: «Auf dem Abrechnungsdokument wird dann ausschliesslich die Person aufgeführt, die die Rechnung auf unserem Kundenportal erhält.»
Ein CSS-Kunde erhält also im Online-Portal von der CSS keine Original-Rechnungen mehr. Im seltenen Fall einer Fehlzuweisung seien dann keine Rückschlüsse auf den ursprünglichen Patienten mehr möglich, sagt die CSS: «Somit stellen wir sicher, dass keine Datenschutzverletzung mehr entsteht.» Es lohnt sich also gleichwohl, jede Abrechnung genau zu prüfen.
Nach dieser Ankündigung sieht das Büro des Eidgenössischen Datenschutzbeauftragten vorerst keinen Handlungsbedarf mehr. Der Datenschützer behalte die Sache aber im Auge. Und wenn man den Eindruck habe, dass das noch nicht genüge, spreche man die CSS darauf an.
Quelle: SRF
27.8.2019