Jeder kennts, jeder tuts, niemanden freuts: das Ausfüllen der Steuererklärung. Dem Internet sei Dank geht heute vieles einfacher. Zum Beispiel, den Leistungsnachweis seiner Krankenkasse via Kundenportal des Versicherers herunterladen. Doch als sich Vera K.* auf der Webseite ihrer Krankenkasse, der Berner KPT, anmeldete, um ihren Leistungsnachweis für die Steuererklärung einzusehen, erschien eine Liste mit hochsensiblen Daten anderer Kunden.
«Ich hatte Einsicht in die Personalien von über 40 KPT-Kunden. Namen, Geschlecht, Geburtsdatum, Adresse und Versicherungsstatus», sagt Vera K. Dass solche Daten nicht besser geschützt sind, erstaunt die KPT-Kundin. «Ich erwarte, dass meine Daten nur mir vorbehalten sind – und nicht auch allen anderen KPT-Kunden.» Das Dokument liegt BLICK vor, kann aber aus Gründen des Datenschutzes der Öffentlichkeit nicht gezeigt werden.
Daten sollen sicher sein
Die KPT ist in der ganzen Schweiz tätig und zählt mehr als 420'000 Versicherte. Über den aufpolierten Internetauftritt vor einem Jahr schreibt die Kasse: «Ziel des neuen Markenauftritts ist es denn auch, den Kunden zukünftig noch mehr zu bieten: zum Beispiel übersichtlichere Dokumentationen, verständlichere Informationen und eine benutzerfreundlichere Website als digitale Visitenkarte und zentrale Drehscheibe für sämtliche Kundenwünsche.»
Die «benutzerfreundlichere Website» könnte für die KPT zum Bumerang werden. Zum Fall sagt KPT-Sprecher Beni Meier: «Unsere Abklärungen haben ergeben, dass der erwähnte Vorfall im Zusammenhang mit einem App-Release steht, der im Verlauf dieser Woche durchgeführt wurde.» Man habe das Problem erkannt und «umgehend die notwendigen Massnahmen getroffen, damit der Datenschutz gewährleistet ist».
KPT ist kein Einzelfall
Die KPT ist kein Einzelfall. Vor knapp einem Jahr berichtete der BLICK über einen CSS-Kunden, der die Rechnung einer ihm unbekannten Frau in seinem Kundenaccount MyCSS fand – und damit Einblick in hochsensible Daten zu deren Krankengeschichte erhielt. Er wusste nun, an welchen Tagen die Patientin in psychiatrischer Behandlung war, wo sie wohnte. Kannte ihre Kundennummer, ihren Jahrgang. Die CSS sprach damals von einem Einzelfall.
Wie das SRF-Konsumentenmagazin «Espresso» kürzlich publik machte, erhielten Kunden im Onlineportal des gleichen Krankenversicherers erneut Abrechnungen, die nicht für sie gedacht waren. Beispiel: Eine Kundin erhielt in den letzten Monaten zwei Mal Abrechnungen von wildfremden Personen. Eine klare Verletzung des Datenschutzes.
*Name geändert