Archiv

Fallbeispiel: Sensible Gesundheitsdaten

Stefan Ullrich,  Constanze Kurz

Ulli ist in ständiger Geldnot. Die Online-Anzeige eines Call Centers kommt ihr deshalb gerade recht. Sie klingt verlockend, denn Ulli könnte von zuhause aus an ihrem eigenen Computer arbeiten. Außerdem bezahlt ihr die Firma eine Internet- und Telefon-Flatrate, die sie auch privat nutzen darf. Allerdings müsste sie nachts in der Kundenbetreuung einer Krankenversicherung arbeiten, um die Fragen von Anrufenden aus dem Ausland zu beantworten, die sich in anderen Zeitzonen befinden. Kein Problem für Ulli. Die alleinerziehende Mutter eines achtjährigen Mädchens und eines 13-jährigen Jungen kann sich gut vorstellen, ihren Schlaf nachzuholen, während die Kinder in der Schule sind. Sie bewirbt sich also und erhält eine Zusage.

Selbst vier Wochen nach Beginn der Arbeit ist sie ist noch oft über die Fragen der Leute erstaunt, die ihr spät in der Nacht gestellt werden. Ihr Arbeitsgeber, die Versicherungsgesellschaft Freie Assekuranz, hat Ulli für ihre Arbeit ein Passwort überlassen, mit dem sie die Stammdaten und die Informationen zu den Versicherungspolicen der Fragesteller abrufen kann. So ist es ihr möglich, die Fragen zu beantworten und anfallende Probleme zu bearbeiten.

Gegen vier Uhr morgens fällt es ihr meistens besonders schwer wachzubleiben, in dieser Zeit gibt es wenige Anrufe. Um sich abzulenken und die Langeweile zu vertreiben, sucht sie eines Nachts im System ihres Arbeitgebers nach den Daten ihres Ex-Mannes Ralf. Sie ist leicht irritiert, als sie tatsächlich einen Treffer findet: Er besitzt eine Familienkrankenversicherung bei der Freien Assekuranz. Sie brennt darauf, mehr über seine neue Familie zu erfahren und über seine jetzige Frau Saskia. Als Saskia von Ralf schwanger wurde, zerbrach Ullis Ehe, ihre Familie fiel auseinander. Sie zögert zwar einen Moment, klickt dann aber auf »Details«. Gerade als sie zu lesen anfangen will, klingelt das Kundentelefon. Sie druckt die Seite mit den Familiendetails von Ralf schnell aus, dann nimmt sie den Anruf entgegen.

Am nächsten Nachmittag kommt ihre beste Freundin Susanne zum Essen vorbei. Nachdem die Kinder vom Tisch aufgestanden sind, erzählt Ulli von ihrer nächtlichen Entdeckung und zeigt ihr die ausgedruckten Informationen: Saskia hatte im letzten Jahr eine Fehlgeburt erlitten, und das Kind, dessen Vater Ralf ist, ist anscheinend sehr krank. Susanne ist zunächst schockiert über Ullis heimliche Recherche, aber während sie sich darüber unterhalten, beginnen sie nachzudenken, welche Daten man auf diese Art und Weise noch bekommen könnte. Susanne entschließt sich zu bleiben, bis Ulli ihre Nachtschicht beginnt, und zusammen schauen sie, was sie noch herausfinden können.

Es stellt sich heraus, dass Ulli nicht nur die Informationen über Namen, Adressen, Geburtstage, Arbeitgeber und Versicherungsdaten abrufen, sondern auch jeweils auf den vollständigen medizinischen Datensatz zugreifen kann, der für die Abrechnung benötigt wird. Sie sehen sich die ganze Krankenhistorie von Ralfs neuer Familie an. Susanne nennt dann aus Neugier noch den Namen ihres neuen Freundes, dessen Daten sie ebenfalls inspizieren. Sie entdecken dabei die Informationen über seinen letzten Zahnarztbesuch. Offenbar hat er ein makelloses Gebiss, die Freundinnen lachen.

In dieser heiteren Stimmung kommt Susanne eine verrückte Idee: Stand nicht erst gestern in der Zeitung, dass ein Datendieb jede Menge Geld von den Finanzbehörden erhalten hatte – im Austausch gegen eine gestohlene Steuersünder-CD? Vielleicht könnte man mit Informationen über den Gesundheitszustand Prominenter, Unternehmensbosse oder Politiker einen schönen Urlaub herausholen, wenn man sie der Presse anbieten würden. Natürlich würden sie die Datensätze nicht stehlen oder rausgeben, denn das wäre ja kriminell. Aber für den einen oder anderen Hinweis spränge vielleicht etwas für die Urlaubskasse raus.

Ulli wird ein wenig nervös – sie will ihren Job ja nicht verlieren. Aber sie werden doch gar keine Daten stehlen, betont Susanne nochmal. Ulli willigt schließlich in den Plan ein. Sie sind beim Zugriff auf die Daten sehr vorsichtig und speichern interessante Informationen nicht auf der Festplatte des Rechners, sondern machen sich nur Notizen auf einem Papierzettel.

Sie haben gerade Informationen über einige Lokalpolitiker, einen Filmstar und sogar einen international bekannten Sänger gesammelt, als sie morgens die Nachricht im Radio hören, dass jemand die Freie Assekuranz mit vertraulichen Daten erpresst. Ulli und Susanne schauen sich kurz an und entscheiden, das Projekt sofort abzubrechen. Sie zerreißen die Zettel und werfen die Reste in den Müll.

Diskussionsfragen

  • Was sind jenseits der rechtlichen Fragen die ethischen Probleme in diesen Fallbeispiel?
  • Ist es überhaupt ein ethisches Problem, wenn Ulli und Susanne sich die Krankendaten eines gemeinsamen Bekannten ansehen?
  • Macht es einen Unterschied, ob Ulli auf Informationen von ihr bekannten oder vollkommen fremden Menschen zugreift? Ist es nicht verständlich, dass Ulli ein persönliches Interesse an den Daten von Ralf hat?
  • Ist wirklich etwas Schlimmes passiert, obwohl Ulli und Susanne die Daten zerstört haben, bevor sie diese genutzt haben?
  • Macht es einen Unterschied, dass Ulli Daten ihres Ex-Mannes auch speichert und ausdruckt und nicht nur betrachtet?
  • Ist es ethisch fragwürdig seitens des Krankenversicherers, dass Ulli eine Volltextsuche über den gesamten Datenbestand machen kann? Wäre es nicht sicherer, wenn sie beispielsweise nur nach Kundennummern suchen könnte? Oder müßten die Daten nicht besser durch Versichertenpasswörter geschützt werden?
  • Hätte das Duo Susanne und Ulli die vollständigen Daten auf einem USB-Stick gespeichert: Würde das in der ethischen Bewertung einen Unterschied machen?
  • Sind in diesem Fallbeispiel auch Personen direkt betroffen, die gar nicht erwähnt sind?

Erschienen in Informatik-Spektrum 33(6), 2010, S. 668–669.

English version

4 comments to Fallbeispiel: Sensible Gesundheitsdaten

  • V. Vanek-Jaeger

    Ethik!

    Zwischen der Behörde, die Diebesgut kauft und Medien, die Wikileaks für entwendete Geheimnachrichten bejubeln, komme ich mich als Don Quijote, wenn ich überhaupt auf den Fallbeispiel aus der Dezember-Nr. des Informatik Spektrums antworte. Nicht nur die Sprache, auch die Sitten sind rau geworden.

    Der Fall passt also in die heutige Zeit. Offensichtlich waren sich die beiden Freundinnen schon bewusst, dass sie etwas Unschönes machen (nicht auf eigenem Rechner zu speichern usw.). Erst die Angst vor Strafe hat ihr Tun gebremst. Waren sie aber die Einzigen, die man tadeln müsste?

    Bevor ich auf die Fragen eingehe will ich vermerken, was in der Fallbeschreibung leider fehlt. Erstens, in der Schweiz ist es normal, dass alle, auch temporäre oder externe Mitarbeiter, die zu sensitiven Daten (wozu man auch z.B. gewisse Geschäftszahlen zählt) zutritt haben, eine Verpflichtung eingehen müssen, diese Information auch nach Stellenwechsel geheim zu halten. Gibt es etwas Ähnliches in Deutschland nicht? Zweitens, aus der Beschreibung geht nicht hervor, welche Kundendaten die Frau wirklich benötigte. Es wäre ein Unsinn z.B. ihr die Daten nur mit der Versicherten-Nr. z.V. zu stellen. Die Leute, die aus Ausland anrufen, sind sehr wahrscheinlich auf Urlaub oder auf Geschäftsreise und sie wissen kaum ihre Nummer, so dass die Frau über Name und Adresse erst zu den Daten gelangen könnte.

    Es war also sehr wohl eine betriebliche Notwendigkeit ihr diese Daten nicht anonymisiert zur Verfügung zu stellen. Vielleicht ging es den Kunden auch darum, welche Leistung die Versicherung noch übernimmt – je nach Vertrag könnte es sein, dass „Ulli“ wissen musste, wie das „Krankheitskonto“ aussieht. Statt Klartext-Diagnosen pflegen schweizerische Krankenkassen mit Codes zu arbeiten und diese abzuspeichern, so dass diese nur ein ausgebildeter Mediziner verstehen, bzw. als Diagnose deuten kann. Den Angestellten sind nur die vertraglich-finanzielle Aspekte auf dieser Weise codierten Angaben geläufig und das ust, was sie benötigen. Womit ich meine: Die Versicherung handelt fahrlässig (=höchst unethisch), wenn sie ihre Daten ohne Verpflichtungen und allzu leicht verständlich jedem, der an der Lohnliste steht, anbietet. Sie verletzt Anrecht ihrer Kunden auf Privatsphäre.

    Und „Ulli“? Da man ihr den Zugang zu Krankengeschichten der Patienten nicht verbat, also erlaubt, kann sie diese anschauen. Dass sie es tut, ist – bei Fremden – Voyeurismus, also leicht unethisch. Bei denen, die ihr nahe stehen, bleibt es zu fragen: Was bezweckt sie damit? Geht es ihr um Schadensfreude oder will sie damit jemandem („Ralf“) Schaden zufügen? Das letztere wäre eine höchst unethische und u.U. kriminelle Absicht.

    Darüber mit „Saskia“ zu reden ist eine Art Verletzung der Dienstpflicht, also alles andere als ethisch. Es gibt Firmen, in denen eine solche Handlung Grund zur fristlosen Kündigung darstellt.

    Der Rest der Geschichte ist schlicht die Planung einer kriminellen Tat (Erpressung mithilfe gestohlener Informationen). Dass sich damit die beiden Frauen auf die Ebene des Deutschen Staats stellen, macht die Sache nicht besser. Es ist – in beiden Fällen – jenseits aller ethischen Grundsätze. So wie kein Mörder dank unrechtmässig beschaffenen Beweisen verurteilt werden darf, kann man keine Kriminellen auf kriminelle Art bekämpfen. Dass „Ulli“ die gestohlenen Daten auf Papierzettel übertrug (eine Kopie auf USB-Stick wäre gleichbedeutend) und nicht auf dem eigenen PC speicherte beweisst, dass sich „Ulli“ der Ungesetzlichkeit ihres Tuns bewusst war, also „eine kriminelle Energie entwickelte“, wie es bei den Gerichten heisst.

    Zusammengefasst. Die Vorgesetzten, die den Zugang zu Daten ungenügend regelten und dadurch ihrem möglichen Missbrauch ermöglichten, handelten nicht nur unethisch, sondern auch grobfahrlässig. Allerdings müssten sich die involvierten Informatiker auch etwas vorwerfen lassen. Die Ethik ihres Berufs erwartet von ihnen, dass sie solche Konsequenzen – vom Voyeurismus bis zum kriminellen Datenmissbrauch – antizipieren und rechtzeitig Vorschläge and die Firmenverantwortliche richten würden. Schliesslich sind es sie, die wissen, welche Daten was bedeuten, wie der Zugang zu denen ist und welche technischen Verbesserungsmöglichkeiten existieren.

    „Ulli“ und „Saskia“ handelten nicht bloss unethisch, sondern kriminell.

  • Danke für diesen Beitrag! (Zum Schluß ist sicherlich Susanne und nicht Saskia gemeint)

    Dieser Fallbeispiel haben wir für ein Ethik-Seminar an der Charité im Februar 2010 entwickelt, also lange bevor WikiLeaks Tagesgespräch wurde.

    Ja, es wird auch oft von externe Mitarbeiter verlangt, dass sie ein Geheimhaltungsabkommen unterschreiben, aber für viele sind Unterschriften irgendwie beliebig geworden – man muss unterschreiben, um den Job zu bekommen. Dann unterschreibt man, und vergißt schnell, was man unterschrieben hat. Ich kenne eine Frau, die so einen Job hat, eine Art Mini-Call-Center zu Hause. Sie hat immer viel von ihre Arbeit erzählt, das war mir manchmal unheimlich…

    Der Voyerismus wird doch heute antrainiert durch die Massenpresse und die Fernsehshows, von Big Brother-Container über Supernanny bis hin zum Bauer sucht Frau. Man schliddert da schnell hinein, meine Frage ist: wie lernen wir, Stopp! zu sagen? Zu erkennen, dass wir Grenzen überschritten haben?

    Ich teile voll der Meinung, dass die Vorgesetzten, die Zugang zum Daten nicht regeln, und Programmierkräfte, die nicht über das Schützen der Daten nachdenken, hier auch Verantwortung tragen!

  • S. Helfert

    Lieber Vor-Kommentator(in), liebe Frau Weber-Wulff:

    ich kann mich mit der Laissez-faire-Haltung zum Thema Geheimhaltungsabkommen nicht anfreunden. Selbstverständlich werden derartige Jobs mit Datenschutz-/Geheimhaltungs-Erklärungen verbunden, und die sind mit Sicherheit mit sehr häßlichen juristischen Folgen verbunden, wenn man eine derartige Pflichtverletzung wie im Fallbeispiel skizziert nachweisen kann.

    Für bestimmte Call-Center-Anwendungen ist eine Datensparsamkeit für die Kundendatensätze nahezu nicht möglich — und eine Untergliederung in höherrangige Mitarbeiter (Second-Level-Support mit besseren Zugriffsrechten) auch nicht im Kundeninteresse. Um im Fallbeispiel zu bleiben: Diskussionen über die feinen Unterschiede von medizinisch sinnvollen und medizinisch notwendigen Krankenrücktransporten möchte ich, während ich mit gebrochenem Bein in einer Ambulanzstation auf der anderen Seite der Welt liege, nicht dreimal wiederholen.

    Datensparsamkeit bei der Suche (ich kann nur nach Nummern und nicht nach „George Clooney“ suchen) ist, wie schon von V.Vanek-Jaeger angesprochen, ebenso für viele Fälle undenkbar. Im Gegenteil, die Art und Weise, wie manchmal (z.B. in den USA über Social-Security-Nummern) eine Pseudo-Zugriffsbarriere errichtet wird, wird immer öfter durchbrochen.

    Ich bin weiter sehr erstaunt über das Abwälzen der Verantwortung auf „Vorgesetzte, die Zugang zu Daten nicht regeln“ bzw. Programmierkräfte.
    Wie sollte denn eine feingranulare Zugriffssteuerung auf eine derartige Datenbasis aussehen? Der/die Vorgesetzte klickt für jede Arbeitsschicht von „Ulli“ neu zusammen, was sie heute tun darf?
    – „darf nur nach Nummern suchen und dann hinterher Adressdaten und Kontonummern ändern“
    – „darf nach Namen suchen aber keine Krankengeschichte ansehen, sondern nur neue Notizen erfassen“
    – „darf auch Notizen der letzten 7 Tage angezeigt bekommen“
    etc.etc.?

    Und wie sehen sowieso notwendige technische Überwachungen (also Zugriffs-Logs) aus?
    Ich postuliere mal, dass aus der obigen Sichtweise Zugriffs-Logs, die automatisiert und vom Vorgesetzten überwacht werden, unbedingt Teil der Lösung sein müssen. D.h. da müssen Alarme losgehen, wenn bei Anrufen mehr als Patientenakten geöffnet werden, und so weiter und so fort. Aber was sind die Konsequenzen? Sofortiges Trennen der Verbindung zum Heim-Callcenter-Platz? Und wird die getrennte Person für den Rest der Schicht bezahlt?

    Eine derartige Lösung, die „Ulli“ in ein ganz enges Korsett einpresst, ist nicht nur aus Kundensicht unschön, sondern auch für die Mitarbeiter wesentlich belastender. Eine in der Konsequenz komplette Überwachung des Arbeitnehmers (warum eigentlich nicht ab und zu mit der Webcam ein Bild machen, um zu sehen, ob nur „Ulli“ alleine am Rechner sitzt und nicht noch andere, nicht zugelassene wie „Sabine“) ist in Deutschland (und wohl auch im europäischen Ausland) juristisch wohl undenkbar.

    Das Fallbeispiel verquickt — meiner Ansicht nach eher unglücklich — das ethische Verhalten von Standard-Anwendern mit dem Angriffs-Szenario von Insidern, und dazu müssen getrennte Lösungen gefunden werden.
    Diese müssen dann aufeinander abgestimmt werden, d.h. für die Angriffe müssen die Hürden hoch genug eingestellt werden, und für das Tagesgeschäft sollte aber das hindernis-freie Arbeiten gewährleistet werden.

    Dieser Spagat kann aber nicht von „Vorgesetzten und Programmierkräften“ verantwortet werden, sondern muss unter Beteiligung der Geschäftsleitungsebene, der Personalabteilung, Personalräten/Betriebsräten, Datenschutzbeauftragten und am besten Ombudmännern derjenigen, über die die Daten erfasst werden, geschehen.
    (Das Thema Outsourcing/externe Call-Center ist da natürlich noch relevant, aber hier werden doch normalerweise ausführliche Durchgriffe vereinbart, so dass sowohl Saktions-Möglichkeiten als auch Überwachungen für sensible Daten eigentlich härter geregelt werden können als bei einer In-House-Lösung.)

  • […] 2010– Fallbeispiel: Sensible Gesundheitsdaten, S. Ullrich / C. […]

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>