Datenleck beim Krankenversicherer CSS
Heikle Infos über Kundin landeten bei Fremdem

Die CSS verbucht jährlich 16 Millionen Rechnungen ihrer Kunden. Doch nicht immer läuft alles rund beim grössten Krankenversicherer der Schweiz. Ein Kunde erhielt auf dem Portal myCSS Einblick in hochsensible Daten einer anderen Patientin.
Publiziert: 04.07.2018 um 00:28 Uhr
|
Aktualisiert: 14.09.2018 um 19:35 Uhr
1/4
Das Kundenportal der CSS: «Pro Jahr kontrollieren wir 16 Millionen Rechnungen», sagt CSS-Sprecher Luc-Etienne Fauquex.
Foto: Zvg
Sven Zaugg

Die Ärzte wissen es, die Krankenkasse weiss es, vielleicht auch der Arbeitgeber und die Familie: Ronja K.* ist in psychiatrischer Behandlung. Die Angelegenheit ist tragisch – und teuer. Deshalb ist die junge Frau versichert. Bei der CSS, der grössten Krankenkasse der Schweiz.

Damit die Kasse den Fall ordentlich abrechnen kann, braucht die Buchhaltung die Rückforderungsbelege der Patientin. Darin sind die zuständige Psychologin, sämtliche Termine sowie alle persönlichen Daten der Patientin aufgeführt. Die Informationen sind hochsensibel. Niemand sonst soll davon wissen. Es gilt der gesetzlich verbriefte Datenschutz.

Doch die Patientin hat Pech. Die Rückforderungsbelege und damit all ihre persönlichen Daten landen beim CSS-Kunden Dominik G*. Nun weiss auch er, an welchen Tagen Ronja K. in psychiatrischer Behandlung war, wo sie wohnt. Kennt ihre Kundennummer, ihren Jahrgang. Dokumente, die nun auch BLICK vorliegen.

Fehler korrigiert, Fall abgeschlossen

«Ich war erstaunt, dass in meinem persönlichen Account plötzlich Informationen einer anderen Versicherten auftauchten», sagt Dominik G. zu BLICK. Passiert ist das auf dem Kundenportal der CSS. Versicherte können sich dort einen Überblick verschaffen über ihre Versicherungsdokumente, zudem Rechnungen online einreichen. Und sie haben Zugriff auf ihre Kranken-, Reise- und Haushaltversicherung.

Dominik G. wies den Kundendienst der CSS sofort auf den Fehler hin und wollte wissen, ob das auch mit seinen Daten passieren könne. Die Kasse antwortete nüchtern: Man habe den Fehler korrigiert. Auf die Sorge von G., dass der Datenschutz der Versicherten nicht gewährleistet sei, ging die Kasse nicht ein.

Dominik G. spricht von einem IT-Desaster. «So etwas darf einfach nicht passieren», sagt er. Unklar ist bis heute, ob menschliches Versagen oder ein Programmfehler hinter dem Datenleck steckt. Offen ist auch, wie viele CSS-Kunden noch von Ronja K.s Erkrankung wissen.

CSS bedauert

Die CSS versichert rund 1,7 Millionen Menschen und zählt mit einem Prämienvolumen von rund 6,17 Milliarden Franken zu den führenden Schweizer Kassen. In der Grundversicherung ist das Unternehmen mit Sitz in Luzern sogar Marktführerin: 1,38 Millionen Menschen vertrauen der Kasse. «Pro Jahr kontrollieren wir 16 Millionen Rechnungen», sagt CSS-Sprecher Luc-Etienne Fauquex. «Dass uns bei aller Sorgfalt ein Fehler unterlaufen ist, bedauern wir sehr.» Die CSS geht von einem Einzelfall aus.

Fauquex betont, dass man den Datenschutz in den Mittelpunkt stelle – unabhängig davon, ob die Kunden die Rechnung auf dem Postweg oder über das Kundenportal myCSS einreichen. Für Dominik G. ein kleiner Trost: «Aus Imagegründen wird die CSS wohl kaum einen Fehler im Computersystem einräumen.»

Er hofft nun, dass die Kasse das Datenleck zum Anlass nimmt, ihre Prozesse zu überprüfen, damit ein solcher Fall wie jener von Ronja K. nie mehr vorkommt. Dann wäre schon viel erreicht, glaubt Dominik G.

* Name geändert

Cumulus-Daten landeten bei anderen Person

Einen Daten-GAU erlebte die Migros Anfang Jahr. Internetanwalt Martin Steiger wollte vom orangen Riesen wissen, was für Daten über ihn im Cumulus-Bonusprogramm gesammelt wurden. Doch die Migros schickte ihm nicht bloss seine Daten, sondern auch die einer wildfremden Person. Die mit vollem Namen und Adresse genannte Zürcherin wurde in den 70er-Jahren geboren. Seit März 2005 benutzt sie ihre Cumulus-Karte, wie Steiger aus den Daten ersehen kann. «Dieses ärgerliche Versehen hätte nicht passieren dürfen», bestätigte die Migros-Pressestelle das Missgeschick.

Einen Daten-GAU erlebte die Migros Anfang Jahr. Internetanwalt Martin Steiger wollte vom orangen Riesen wissen, was für Daten über ihn im Cumulus-Bonusprogramm gesammelt wurden. Doch die Migros schickte ihm nicht bloss seine Daten, sondern auch die einer wildfremden Person. Die mit vollem Namen und Adresse genannte Zürcherin wurde in den 70er-Jahren geboren. Seit März 2005 benutzt sie ihre Cumulus-Karte, wie Steiger aus den Daten ersehen kann. «Dieses ärgerliche Versehen hätte nicht passieren dürfen», bestätigte die Migros-Pressestelle das Missgeschick.

Hacker klauten 800’000 Kundendaten

Im Februar 2018 gab der Schweizer Telekomriese Swisscom bekannt, Hacker hätten im vergangenen Herbst Namen, Adressen, Telefonnummern und Geburtsdaten von 800'000 Kunden geklaut. Schuld war ein Leck bei Vertriebspartnern. Diese Vertriebspartner können die Daten von rund zehn Millionen Kunden einsehen – die Daten wurden über das Zugriffsportal abgesaugt. Die Swisscom verschärfte daraufhin die Sicherheitsmassnahmen. «Wir bedauern den Vorfall – das entspricht auch nicht dem Anspruch, den wir an uns selber haben», gab die Swisscom zu Protokoll.

Im Februar 2018 gab der Schweizer Telekomriese Swisscom bekannt, Hacker hätten im vergangenen Herbst Namen, Adressen, Telefonnummern und Geburtsdaten von 800'000 Kunden geklaut. Schuld war ein Leck bei Vertriebspartnern. Diese Vertriebspartner können die Daten von rund zehn Millionen Kunden einsehen – die Daten wurden über das Zugriffsportal abgesaugt. Die Swisscom verschärfte daraufhin die Sicherheitsmassnahmen. «Wir bedauern den Vorfall – das entspricht auch nicht dem Anspruch, den wir an uns selber haben», gab die Swisscom zu Protokoll.

Fehler gefunden? Jetzt melden
Was sagst du dazu?
Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.