Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.

Schreibe einen Kommentar