Verpackungsmaterial kontra Datenschutz

Mitunter scheint gut gemeinter Umweltschutz zu schlecht gemachtem Datenschutz zu führen, wie ein aktueller Fall einer Online-Apotheke zeigt. Bodo Tasche berichtet in seinem Blog darüber, wie er aus den als Verpackungsmaterial eingesetzten Papierschnippseln Daten von Patienten rekonstruieren konnte. Dabei erleichterte ihm der relativ breite Streifenschnitt die Puzzle-Arbeit, um nach eigenen Angaben Namen, Anschrift, Geburtsdatum und verschriebene Medikamente herauszufinden. Allerdings liegt der Fehler wohl nicht allein bei der Versandapotheke.

In einer Stellungnahme gegenüber heise Security betonte Wolfgang Braun, Inhaber der Online-Apotheke Apovia, dass es sich bei den eingesetzten Papierstreifen keinesfalls um eingereichte Rezepte von Kunden handele. Diese würden nicht geschreddert, da sie als Wertgutscheine gelten. Vielmehr handele es sich nach einer internen Untersuchung wahrscheinlich um bereits geschreddertes Altpapier aus Arztpraxen, das man in einigen Fällen als Verpackungsmaterial übernommen habe. Die eigenen vernichteten Daten würden mit einer geringeren Streifenbreite zerschnitten. Die Papierschnippsel setze man als Verpackungsmaterial ein, da sich Kunden über die Umweltunverträglichkeit der zuvor eingesetzten Chips beschwert hätten.

Warum allerdings die vermutlich aus einer Arztpraxis stammenden Dokumente so stümperhaft geschreddert wurden, ist unklar. Hinsichtlich der Vernichtung von Akten in Arztpraxen gibt es eine Empfehlung der Kassenärztliche Bundesvereinigung (KBV), dass die Schnipselgröße bei der Papierzerkleinerung so klein sein muss, dass eine Rekonstruktion praktisch unmöglich ist. Zur Vernichtung empfiehlt die KBV daher den Einsatz einer Maschine der Sicherheitsstufe 4 der DIN-Norm 32757 für geheimzuhaltendes Schriftgut.

Dort heißt es: "Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen, die im Falle kleiner Auflagen sehr aufwändig sind, möglich ist. Papiere und Filme in Originalgröße: Materialteilchenlänge max. 15 mm, Materialteilchenbreite bis max. 2 mm als Preßling, Kunststoff wie Identifikationskarte oder Mikrofilm: Materialteilchenfläche max. 0,5 qmm."

Offenbar wird die Empfehlung aber nicht überall beherzigt und stattdessen ein preisgünstiger Schredder eingesetzt. Zudem lässt sich derart atomisiertes Altpapier kaum noch als Verpackungsmaterial verwenden. Apropos "gewerbeunüblich": Zur Rekonstruktion der ehemaligen Stasiakten werden bereits Systeme eingesetzt, die verschiedene Papierstreifen einscannen und zu Dokument zusammensetzen können. Das Projekt startete bereits vor einem Jahr und soll 2009 abgeschlossen werden. (dab)