2006/06/20 Datenzwilling - Sozialversicherungsnummer wurde doppelt vergeben
Datenschutzbewußtsein bei der Sozialversicherung und beim Finanzamt lückenhaft - Geheimhaltungsanspruch auf Gesundheitsdaten und Steuerdaten wurde durch doppelt vergebene SV-Nummer verletzt - Bei ARGE DATEN dokumentierter Fall zeigt Lücken in der Datenschutzorganisation bei den Sozialversicherungen und Finanzbehörden auf - vermutlich kein Einzelfall - Versicherungsanstalt der Gewerbetreibenden gewährt Wirtschaftstreuhändern generellen Zugriff auf alle Versichertendaten
Sozialversicherung und Finanzamt machen nichts gegen Datenzwillinge
Der Betroffene Herr Hans Maier, geboren am 02.02.1982 (Name wurde anonymisiert) wendete sich Hilfe suchend an die ARGE DATEN, da er trotz mehrerer Interventionen bei der Sozialversicherung und beim Finanzamt einen so genannten Datenzwilling hat. Es gibt nicht nur einen Hans Maier, der am 02.02.1982 geboren ist, sondern auch einen zweiten Hans Maier, welcher ebenfalls am 02.02.1982 geboren wurde. Die Sozialversicherung wies beiden Hans Maier dieselbe Sozialversicherungsnummer 1860 [Nummer geändert, Anm.] zu, sodass es nun zwei Personen gibt, welche die Sozialversicherungsnummer 0202821860 haben.
Verletzung des Rechts auf Geheimhaltung personenbezogener Daten
Hans Maier aus der Steiermark ist bei der Steiermärkischen Gebietskrankenkasse versichert, für das Jahr 2004 erhielt er ein Leistungsblatt, in dem unter anderem ein Krankenhausaufenthalt in St. Johann/Tirol angeführt wurde, obwohl der nie in Tirol war. Bei einem Zahnarztbesuch wurde ihm mitgeteilt, dass er nicht bei der steiermärkischen Gebietskrankenkasse, sondern bei der Tiroler Gebietskrankenkasse sozialversichert sei. Daten über Krankenhausaufenthalte, Zahnarztbesuche sind sensible personenbezogene Daten und es steht ein besonderer Geheimhaltungsanspruch.
Finanz-Online ermöglicht Datenschutzverletzung
Nachdem Hans Maier aus der Steiermark für den Online-Finanzausgleich beim Finanzamt den erforderlichen Account anforderte, wozu wieder die Sozialversicherungsnummer erforderlich ist, erhielt er die Zugangsdaten. Zu seiner Verwunderung musste er feststellen, dass in seinem Steuerakt 2005 steuerrechtliche Daten seines Datenzwillings aus Tirol enthalten waren, mit genauen Angaben über dessen Tätigkeiten und Gehälter.
Trotz Intervention bleiben Sozialversicherung und Finanzamt untätig
Obwohl Herr Hans Maier aus der Steiermark bereits seit zwei Jahren mehrmals sowohl bei der Sozialversicherung als auch beim Finanzamt intervenierte, dass er offensichtlich in Tirol einen Datenzwilling hat, erfolgte keine Änderung der Sozialversicherungsnummer. Bei einem Schadenersatzprozess wird diese Untätigkeit der Sozialversicherung trotz Kenntnis der Verwechslungsgefahr möglicherweise als grobe Fahrlässigkeit eingestuft werden.
Geheimhaltungsanspruch durch Sozialversicherung und Finanzamt verletzt
Nach § 1 DSG hat jedermann ein Recht auf Geheimhaltung seiner personenbezogenen Daten, sofern daran ein Geheimhaltungsinteresse besteht, was bei Gesundheits- und Steuerdaten jedenfalls gegeben ist. Wenn Hans Maier aus der Steiermark die Gesundheits- und Steuerdaten Herrn Maiers aus Tirol von der Sozialversicherung bzw. vom Finanzamt bekannt gegeben werden, so liegt eindeutig eine Verletzung des Grundrechts auf Datenschutz vor.
Beschwerde an die Datenschutzkommission
Sowohl bei den Sozialversicherungen als auch beim Finanzamt handelt es sich um öffentlich rechtliche Institutionen, eine Verletzung des Rechts auf Geheimhaltung durch diese Institutionen kann bei der Datenschutzkommission geltend gemacht werden � was bei derartigen schwerwiegenden Systemfehlern jedenfalls zu empfehlen ist. Die Datenschutzverletzung kann immer nur jener Hans Maier geltend machen, dessen geheime Daten unzulässig an seinen Datenzwilling übermittelt wurden, im konkreten Fall wäre dies Hans Maier aus Tirol.
Schadenersatzansprüche
Sollte es durch die unzulässige Übermittlung von Gesundheits- oder Steuerdaten zu einem Schaden bei einem Betroffenen gekommen sein, so können im Zivilrechtsweg auch Schadenersatzansprüche geltend gemacht werden.
Datenschutzauskunft beim Hauptverband der Sozialversicherungsträger
Bei derartigen Fällen empfiehlt es sich auch eine Datenschutzauskunft an den Hauptverband der Sozialversicherungsträger zu stellen, daraus ist ersichtlich, von wen auf welche Daten zugegriffen wurde bzw. an wem welche Daten übermittelt wurden. Es sind Fälle bekannt, wo vollkommen unberechtigte Personen bzw. Institutionen auf die beim Hauptverband der Sozialversicherungsträger gespeicherten Gesundheitsdaten elektronisch zugegriffen haben bzw. diesen sensible Daten übermittelt wurden.
Vermutlich kein Einzelfall - schwerwiegende Probleme in Zukunft zu erwarten
Immer wieder werden an die ARGE DATEN Bedenken zu möglicherweise doppelt vergebenen Personalnummern und Personenkennzeichen, wie es die Sozialversicherungsnummer ist, herangetragen. Mit dem Fall Hans Maier liegt erstmals auch ein genau dokumentierter Fall vor. In vielen Fällen bleiben die Doppelgänger allein deswegen unbemerkt, da etwa die Abrechnung der Gesundheitsleistungen keine direkten Auswirkungen auf die Versicherten hat und heute (noch) eine Gesundheitsbehandlung nicht auf Grund von Datensätzen erfolgt, sondern auf Grund der Erhebungen des Arztes.
Mit dem neuen Gesundheitstelematikgesetz ist ein Systemwechsel zu befürchten, der Nachteile für Patienten erwarten lässt. Verstärkt sollen in Zukunft elektronische Akte Grundlage für die Gesundheitsbetreuung werden, Datenzwillinge, besonders dann wenn sie auch noch ähnliche Krankheitsbilder aufweisen, müssen mit Fehldiagnosen und Fehleinschätzungen der Ärzte rechnen.
Besonders nachteilig ist, dass das Gesundheitstelematikgesetz keinerlei Sicherheitsmechanismen zur Umsetzung und Kontrolle des Datenschutzes enthält und bloß auf die unzureichenden allgemeinen Bestimmungen des DSG 2000 verweist. Bestimmungen, die dazu vorgesehen waren, dass sie in den Spezialgesetzen, wie dem Gesundheitstelematikgesetz, näher konkretisiert werden. Ein legistischer Zirkel, wie er schlechter nicht geschaffen werden könnte.
Auch Bürgerkarte wird keine Abhilfe Schaffen
Weder Bürgerkarte noch digitale Signatur, fallweise als Verbesserung des Datenschutzes gepriesen, würden Abhilfe schaffen. Ganz im Gegenteil, wie das Beispiel der SVA (Sozialversicherungsanstalt der Gewerbetreibenden) zeigt. Hier haben alle (!) Wirtschaftstreuhänder die mit Bürgerkarte ausgestattet sind, Zugriff auf die Sozialversicherungsdaten aller Versicherter (!), inklusive der Gesundheitsdaten.
Auf Anfrage erklärte die SVA der ARGE DATEN, dass sei deswegen in Ordnung, da man ja den Wirtschaftstreuhändern egnerell vertrauen könne und daher Datenschutzmaßnahmen nicht notwendig seien.
|
