AOK reagiert auf KV-Recherche Bratzke reklamiert Datenschutz
BERLIN/EUSKIRCHEN - In den Pilotregionen Berlin, Hamburg und Thüringen startete der AOK-Bundesverband sein Online-Ärztebewertungsportal. Doch statt wie versprochen ein faires Instrument zur Bewertung von Ärzten durch ihre Patienten zu bieten, öffnete das Portal Manipulationen Tür und Tor. Die Redaktion des KV-Blatts Berlin deckte eklatante Sicherheitslücken auf. Die AOK reagierte umgehend und verschärfte die Zugangsbedingungen. Jetzt befürchtet KV-Vorstand Burkhard Bratzke Probleme mit dem Datenschutz.
„Wir begrüßen, dass die KV Berlin diese Tests gemacht hat uns und dabei hilft, das System sicherer zu machen“, sagte der Sprecher des AOK-Bundesverbandes Udo Barske zu der Veröffentlichung der KV Berlin. Als Reaktion auf die Veröffentlichung habe man „alles noch einmal durchgecheckt, Fehler behoben und falsche Accounts gesperrt“, so Barske.
„Nach dieser Erfahrung ist sicher gestellt, dass so etwas nicht wieder passieren kann“, zeigte sich der AOK-Sprecher optimistisch. Zudem verwies Barske darauf, dass sich das System noch in der Testphase befinde und keine der getürkten Bewertungen veröffentlicht worden seien.
Der Vorstand der KV-Berlin Burkhard Bratzke befürchtet hingegen echte Datenschutzprobleme, nachdem die erste Version des Portals mit gänzlich ungesicherten Zugängen, Phantasie-Namen und –Bewertungen nachgebessert wurde: „Die Krankenversicherungsnummer ist nun einmal nicht dafür gedacht, um bei einem Ärztebewertungsportal gespeichert zu werden“, sagte Bratzke. Als Konsequenz habe man sich an den Datenschutzbeauftragten des Bundes gewandt, der zugesagt habe, den Sachverhalt zu prüfen, so Bratzke.
In seiner Juli Ausgabe hatte das KV-Blatt Berlin seine Recherche veröffentlicht und machte damit eklatante Sicherheitslücken im AOK-System öffentlich. Der Redaktion war es gelungen, mit den Versicherungsdaten längst Verstorbener einen Zugang zu bekommen. Doch damit nicht genug: auch die Versichertennummern von Musterkarten reichten aus, um Ärzte bewerten zu können.
Der Gipfel war erreicht, als auch die zwar richtige Kassennummer aber die Phantasie-Versicherten-Nummer „123456789“ den Zugang erlaubte. Dabei ging es KV-Blatt Autor Reinhold Schlitt nicht um Randale: um die Kasse vor Nachahmer zu schützen, übergab Schlitt seine Unterlagen umgehend dem AOK-Bundesverband.
In einer ersten Reaktion hatte eine Sprecherin der AOK noch beteuert, dass die Manipulationsversuche fehlgeschlagen seien. „Zwar konnten Bewertungen gesendet werden. Jene mit manipulierten Daten wurden jedoch durch Prüfverfahren herausgefiltert.“
Eigene Versuche der Redaktion von „Der Deutsche Dermatologe“ ergaben, dass es bei Redaktionsschluss zwar nicht mehr möglich war, das System mit Phantasie-Daten zu überlisten. Aber Redakteur Michael Stabel schaffte es problemlos mit den eignen Versichertendaten der AOK Rheinland-Hamburg von Euskirchen aus Berliner Ärzte zu bewerten. Eine Plausibilitätsprüfung erfolgte offenbar nicht.