Datenschutz ade auf SPD.de.

Ich habe heute meinen SPD-Mitgliedsbeitrag gesenkt. Das hat seinen guten Grund, denn ich möchte Mitglied in einer Rettungsorganisation werden, ich habe für gemeinnützige Dinge einen Etat in meinem Einkommen und dann muss im Zweifel halt jemand daran glauben, wenn ich darin umschichte. Die SPD wird es überleben.

Ob ich die Änderung des Mitgliedsbeitrages überlebe, ich schon wieder eine andere Frage. Denn in Sachen Datenschutz erlaubt sich die SPD auf ihrer Online-Plattform eine Schwachstelle, die so derartig dumm, dreist, gestört, bescheuert ist, dass man kotzen könnte bei so viel Dummheit. Und das allein schon aus dem Hintergrund heraus, dass die SPD vor vielen, vielen Jahren einmal online so etwas wie Pionierarbeit geleistet hat. Lange her.

Heute kann man sich auf SPD.de im Mitgliederbereich mit Zugangsdaten anmelden und dann in einem verschlüsselten Mitgliederbereich seine Kontaktdaten und Mitgliedsbeitrag ändern. Das Formular ist bis auf die Mitgliedsnummer nicht vorab ausgefüllt, aber nun gut, damit kann man leben. Vielleicht ist das ja auch nur eine Art Gedächtnistest oder eine Kindersicherung.

Also, Formular ausgefüllt, auch nochmal mit meinen Kontaktdaten. Aus Deutschland wurde am Ende zwar Djibuti und der Startzeitpunkt für den neuen Mitgliedsbeitrag änderte sich auf magische Weise von „9 2013“ auf „9 2012“, aber das kann ja auch mein Fehler gewesen sein. Es macht natürlich auch vollkommen Sinn, bei der Auswahl des Zeitpunktes für den neuen (!) Mitgliedsbeitrag noch das Jahr 2012 anzubieten. Und es macht auch vollkommen Sinn, bei der Angabe eines neuen Mitgliedsbeitrages zwingend einen Beruf angeben zu müssen, bei dem dann aber der Beruf eines Minusstriches („-„) akzeptiert wird. Ist ja eigentlich auch ein ehrenwerter Beruf, so ein Minusstrich. Denkt man sich bestimmt so, wenn man damit beauftragt wird, ein dämliches Online-Formular zu basteln.

Was definitiv nicht mein Fehler ist, ist das, was nach dem Absenden des SSL-gesicherten Online-Formulares passiert. Die SPD hat zwar ein Intranet mit ihren Landesniederlassungen und Kreisbüros und auch eine zentrale Mitgliederdatenbank, aus der sich letztendlich die ganzen Gliederungen auch bedienen, aber dennoch wird eine E-Mail an meinen Kreisverband, an „eintreten@spd.de“ und an mich versendet. Unverschlüsselt. Mit all den Daten, die ich soeben in das verschlüsselte Formular eingegeben hatte. Also auch mit meinen Daten meines Girokontos.

Screenshot, bitte. Die wirklich sensiblen Bereiche habe ich in diesem Screenshot netterweise mal geschwärzt (mit einem Klick darf man das alles großmachen):Unverschlüsselte Bestätigungsmail von SPD.de mit sensiblen Kontaktdaten

Für den, der das bei der SPD oder bei der Online-Agentur, die die SPD derzeit betreut, verbockt hat: Du alter Pimmelkopp, man sollte solche Anfänger wie dich wegsperren und zwangsumschulen auf Fensterputzer oder sowas ähnliches.

Ergänzung: Ja, natürlich habe ich den Betreffenden über dieses Sicherheitsloch informiert, nämlich via Rückantwort an die „Eintreten“-Mailadresse. Ich habe danach dennoch darüber gebloggt, weil die Veröffentlichung des Sicherheitsproblems keinen Raum für direkte Datenmanipulationen eröffnet (so hoffe ich doch wenigstens). Schlicht gesagt: Es ist haarsträubende Schlamperei und verpasstes Sicherheitsauditing und solche Defekte gehören unmittelbar an die Öffentlichkeit.

Elektronische Gesundheitskarte – ja bitte!

Der Idee der Elektronischen Gesundheitskarte stand ich noch nie sehr ablehnend gegenüber. Jeder Unternehmer führt eine vernünftige Kundendokumentation, jeder Arzt ist gemäß seiner Standesrichtlinien dazu verpflichtet, eine Patientenakte zu führen. Die Frage dabei ist immer: Wem gehört diese Patientenakte eigentlich? Der Arzt kann im Urlaub sein, vielleicht unpässlich, verärgert oder auch einfach tot. Dann ist meine vielleicht jahrelang aufopfernd gepflegte Patientenakte ernsthaft in Gefahr. Und damit vom Prinzip her meine gesamte Krankheitsgeschichte. Niemand ist ein unbeschriebenes Blatt.

Wie wichtig eine zugängliche Patientenakte ist, habe ich letztendlich bei meinem Krankenhausbesuch gemerkt und da ganz deutlich. Ich hatte ja den „Luxus“, noch mit vollem Bewusstsein in die Notaufnahme eingeliefert worden zu sein und konnte dort mitteilen, dass ich aus ärztlicher Sicht ein noch weitgehend unbeschriebenes Blatt bin. Unauffällige Blutwerte, mäßiges Übergewicht, noch nie erlittene Brüche. Vieles sicherlich Dinge, die man sehr schnell auch auf klassische Weise herausfinden könnte.

Bei einem Punkt wurden die Ärzte jedoch hellhörig, nämlich bei meiner 2005 entdeckten und erfolgreich behandelten Lyme-Borreliose. Allerdings konnte ich dazu auch nicht wirklich mehr sagen, als dass ich daran einst einmal litt und diese mit Antibiotika behandelt wurde. Ist das nicht schlimm? Man war krank, man wurde behandelt, sogar erfolgreich und dann hat man irgendwann einmal eine andere Krankheit und genau dieses frühere Krankheitsbild könnte zumindest theoretisch auch für die aktuelle Krankheit verantwortlich sein (was sie glücklicherweise nicht ist).

Wir brauchen die Elektronische Gesundheitskarte so dringend, wie die Medizin immer moderner und ausgefeilter wird. Kein Patient kann sich seine gesamte Krankheitsgeschichte merken und niemand hat seine gesamte Patientenakte dabei (wenn er sie denn überhaupt von seinem Arzt bekommt). Es sind jedoch meine Daten, die ich im Zweifel in einem Notfall dringend zur Hand haben muss, damit anhand eventueller Vorgeschichten richtige Diagnosen und schnelle Behandlungen angestoßen werden können. Es wäre eine sehr große Errungenschaft eines modernen Gesundheitswesens, wenn dies eines Tages tatsächlich schaffbar ist.

Dass man bei der Entwicklung und Evaluierungen Datenschutzbestimmungen einhalten muss – geschenkt. Das ist nicht wirklich das Problem und ist steuerbar. Es wäre jedoch ein großer Kardinalfehler, die Elektronische Gesundheitskarte nur aus dem Blickwinkel eines gesunden Menschen zu betrachten und sie aus der Warte heraus voreilig zu verteufeln. Denn in Wirklichkeit bedeutet Gesundheit immer, nur relativ wenig krank zu sein.