Man soll ja das überstrapazierte Wort kafkaesk nicht weiter belasten, aber die „Online-Geschäftsstelle“ unserer Krankenkasse!
Nach all dem pandemiebedingten Homeschooling- und KiTa-Chaos der letzten Jahre kamen wir erstaunlicherweise erst kürzlich erstmalig dazu, Kinderkrankengeld beantragen zu müssen. Anders als das Einsenden einer Arbeitsunfähigkeitsbescheinigung, deren unhandlicher Name zu Recht allgemein mit AU abgekürzt wird und die eigentlich längst elektronisch den direkten Weg von der Praxis an die Krankenkasse finden sollte, kann man den Antrag auf Kind-Krank-Gehaltsausgleich nicht einfach ohne Anmeldung bei der Krankenkasse hochladen. Hier möchte ich ja eine Leistung von der Krankenkasse und nicht die Krankenkasse etwas von mir, klar. Stattdessen braucht man hierzu entweder Zugang zur sogenannten Online-Geschäftsstelle, wobei auch hier wieder bereits alles Wissenswerte im Namen steckt, oder man schickt die Bescheinigung, die man in Papierform von der Kinderarztpraxis ausgehändigt bekam, in einem Umschlag formlos per Post ein. Da ich auch mit meinen über 40 Jahren zwar erwachsen genug für die Bevorratung von Umschlägen und manchmal (die Zeit spielt gegen mich) passend gestückelter Briefmarken bin, aber noch nicht lernfähig genug, solche Dinge dann auch einfach mit der Post zu schicken, melde ich also meine Frau bei der Online-Geschäftsstelle an. So kompliziert wird das ja nicht sein.
Hätte ich übrigens auf den Link „hier“ im Satz „Wenn Sie Fragen haben oder Hilfe bei der Registrierung brauchen, finden Sie weitere Informationen hier.“ geklickt, was ich mangels Fragen und haltlos unangemessener Selbstsicherheit nicht getan habe, hätte ich dort direkt den einen wichtigen Satz lesen und mir den ganzen nun folgenden Ärger sparen können:
Ab sofort ist für die Nutzung des Online-Kundenbereichs „Meine [NAME DER KRANKENKASSE]“ die Nutzung eines mobilen Endgerätes (Smartphone oder Tablet) erforderlich. Ohne dieses ist eine Verwendung nicht mehr möglich.
Diese wichtige Information wird im eigentlichen Anmeldeprozess nirgends erwähnt, dort werde ich nur nach Vorname, Nachname, Versichertennummer und Geburtsdatum meiner Frau gefragt und löse damit nach Vergabe eines Benutzernamens mit kruden Gültigkeitskriterien den Postversand eines „Einmal-Passworts“ aus. Warum nicht einfach die E-Mail-Adresse statt eines mehr oder eher weniger frei zu wählenden Nutzernamens genutzt wird, bleibt unklar.
Dieser Brief ist nur wenige Tage später da und ich kann fortfahren. Leider komme ich nicht weit, denn nun werde ich nach der Seriennummer der Gesundheitskarte gefragt und ich muss warten, bis meine Frau wieder zuhause ist.
Ich habe also nur weitere wenige Tage später diese Karte zur Hand und starte frohgemut meinen dritten Anlauf: Nach dem Login im Browser bekomme ich nur eine Fehlermeldung, dass ich noch kein Endgerät verknüpft habe. Wie erwähnt war nirgends im Prozess vorher davon die Rede, dass das alles ohne Installation einer App auf einem Smartphone nicht funktionieren wird. Leute ohne aktuelles Smartphone (oder mit mangelnder Nutzungssicherheit damit) oder vermutlich auch mit gerootetem Smartphone sind hier raus, mit allen drei Varianten habe ich einschlägige Erfahrungen. Dieses Detail hätte man ja vorher mal erwähnen können, dann hätte ich den Antrag einfach per Post geschickt, aber der Hinweis ist ja auf der Hilfeseite gut aufgehoben, wo ihn sicher alle außer mir zur Kenntnis nehmen. Nun denn, ich besorge also ein geeignetes Smartphone für diese Aufgabe. Da in der Regel ich für solchen bürokratischen Horror zuständig bin, wäre es ganz schlau, wenn ich mein Smartphone dafür verwenden würde, aber ich ahne schon, dass ich dann selber kein solches Konto für die Online-Geschäftsstelle werde unterhalten können, weil man ein Smartphone nur an ein Konto binden können wird. Hier wird sich dann auch die Frage nach dem Zweck eines gesonderten Nutzernamens wieder stellen, aber das sind ja Implementierungsdetails, mit denen man sich bei der Prozessmodellierung nicht aufhält.
Ich installiere also die App auf dem Gerät meiner diesmal anwesenden Frau, logge mich dort ein und sehe die vier Pflicht-Einwilligungshäkchen für allerlei Datenschutzbelange. Weil die App nur äußerst träge reagiert und widerwillig-verzögert scrollt, tippe ich statt auf einen der Haken auf den Text daneben und gelange zur Datenschutzerklärung. Leider ohne Rückweg, die Zurück-Geste des Smartphones funktioniert nicht (warum auch?) und ich sehe auch kein Bedienelement, das mich zu den Einwilligungen zurückkehren lässt. WTF? Über das Burger-Menü komme ich zurück zur App-Startseite und bin wieder ausgeloggt.
Nach dem nächsten Login mit dem langen Startpasswort bekomme ich – Trommelwirbel – dieselbe unüberwindliche Fehlermeldung wie im Desktopbrowser, dass ich noch kein Gerät verknüpft hätte und die Service-App installieren müsse. IN DIESER APP!! Man soll den Begriff nicht inflationär verwenden, aber wenn etwas kafkaesk ist, dann ja wohl das hier:
Abbildung: Der bearbeitete Screenshot ist aus dem Browser, in der App bekam ich aber später dasselbe zu sehen inkl. des nicht fürs Antippen verlinkten QR-Codes, der vor meiner Anonymisierung in den Play-Store führte.
Ich brülle so verzweifelt und wütend das gesamte Haus zusammen, dass die Familie zusammenkommt, um zu schauen, wie schlimm ich mich verletzt habe. Sehr, aber nicht körperlich, weil ich mich gerade noch davon abhalten konnte, meinen Kopf mit voller Wucht auf die Tischplatte zu schlagen oder ein Loch in die Trockenbauwand zu boxen. Stattdessen haben meine Kinder nun ein paar unflätige Beschimpfungen mehr im Repertoire. Man reicht mir eine frische Waffel zur Beruhigung und ich denke darüber nach, ob ich wieder mit den Blutdrucktabletten anfangen muss.
(Kleiner Exkurs: Ich habe mit solcherlei Dingen beruflich seit ungefähr 15 Jahren zu tun und das Wissen darüber, dass hier entweder jemand den Prozess mutwillig genau so modelliert hat oder jemand anderes das tatsächlich entgegen der Prozessmodellierung derart stümperhaft implementiert hat, dass diese Fehlermeldung an dieser Stelle überhaupt auftauchen kann, treibt mich mit jedem weiteren Schritt in die Seniorität mehr in den Wahnsinn.)
Ich könnte den Antrag noch immer per Post senden und diese Online-Geschäftsstelle ohne mich weiterexistieren lassen, aber aus purer Irrationalität logge ich mich in der App wieder aus und versuche es ein weiteres Mal. Wer weiß? Nach dem nächsten Login komme ich immerhin wieder zu den Einwilligungen: Vier Stück, warum eigentlich? Ach, eigentlich will ich das lieber gar nicht wissen, Blutdruck und so. Ich hake diesmal ganz vorsichtig alle an, denn die App ruckelt beim Scrollen wieder gefährlich. Als Bonus werden im (dem Smartphone-Modus folgenden) Dark-Theme der App die Haken im Aktivzustand unsichtbar, sobald man sie antippt. Wo kämen wir denn auch hin, wenn hier einfach die vom Betriebssystem vorgegebenen User-Interface-Elemente verwendet würden? Und wo kämen wir hin, wenn man seine digitalen Ergüsse vor dem Release mal ordentlich und vor allem abseits des modellierten Happy-Paths testen würde? Dark-Themes, alles neumodischer Quatsch!
Nach den vier Haken muss ich dann irgendwie noch weiteren Datenschutzbedingungen bzw. Kontaktwegerlaubnissen zustimmen, es bleibt unklar wieso und ob ich das auch ablehnen kann: Es gibt eine Option “keine”, aber im Text oben drüber steht, dass es einen Kontaktweg geben muss, damit die Online-Geschäftsstelle überhaupt funktioniert. Ich stimme also allen Wegen zu und erwarte bereits unnötige Werbeanrufe. Immerhin kann man die gewünschten Kontaktwege später ändern, verspricht mir dieser Prozessschritt.
Vor diesem Schritt oder danach, die Erinnerung verblasste etwas mit meinem Zorn, musste ich noch ein endgültiges eigenes Passwort festlegen, das wiederum diversen Regeln folgen muss. Ich entscheide mich für eine wüste Beschimpfung und hoffe, dass beim früher oder später zu erwartenden Leak der Zugangsdaten wenigstens jemand was zu lachen hat. Denn wenn man einen zweiten Faktor für den Login nutzt, muss man die Zugangsdaten ja nicht mehr ordentlich absichern, wie vermutlich mindestens die Hälfte der Verantwortlichen sich naiv ausmalen. Lacht nicht, ihr wärt erschüttert, wenn ihr wie ich schon derart oft simpelste SQL-Injections und Klartextpasswörter in Datenbanken auch in hochseriösen Anwendungen gesehen hättet. Es steht schlecht um die IT-Sicherheit im Allgemeinen: Solange man IT-Sicherheit nach irgendwelchen 11 Jahre alten (neueste Version!) Zertifizierungsgrundlagen durchführt, ist man in Deutschland als Entscheider*in aus der Verantwortung raus, unabhängig davon, ob das noch Stand der Technik ist oder jemals war. Nur darum geht es, wenn man mit diesen Menschen spricht. Das liegt allerdings auch ein bisschen daran, dass Menschen, die IT-Security auf tieferer Ebene verstanden haben, aus sehr guten Gründen zumeist einen sehr großen Bogen um solche verantwortlichen Stellen machen. Wenn man das alles weiß, kann man keine Verantwortung dafür übernehmen. Geht mir ja ebenso.
Man stelle sich das mal in einem Chemiewerk vor, dass da Wirtschaftschemiker*innen statt Sicherheitsingenieur*innen für die Betriebssicherheit verantwortlich wären. (Bitte nehmt mir, sollte es genau so sein, meine diesbezüglichen Illusionen nicht: Ich kann die Explosionen von Berstscheiben und Tankanlagen der Umgebung an meinem Frühstückstisch hören und spüren und möchte noch einigermaßen ruhig schlafen.)
Nun bin ich also tatsächlich in der App eingeloggt, hier liegt mir aber der Scan des Antrags nicht vor, also logge ich mich mit den neuen Zugangsdaten am Desktop ein und gebe den Login auf dem Smartphone frei. Der Upload des Antrags gelingt mir dann auf Anhieb, das Thema ist endlich erledigt und ich werde mit einem kleinen auffällig gestalteten Störer-Element in der Ecke gefragt, ob ich Barrieren zu melden hätte. Ob Menschen, die nicht vom Fach sind, wissen, was damit gemeint ist? Ich weiß es und schreibe eine erste Version dieses Textes in das dortige Formular. Danach fühle ich mich besser, logge mich aus und schließe auch die App auf dem Smartphone.
Hoffentlich muss ich da nie wieder dran.
Doch dann fällt mir ein, dass ich ja doch gerne den gerade geschriebenen Text nebst ein paar Screenshots für das Techniktagebuch hätte und logge mich wieder ein, weil ich meine Nachricht im Postfach in der App zwar sehen kann, aber dort keinen Text markieren kann. Warum auch? Wie zuvor bimmelt es auf dem Smartphone und ich sehe eine Benachrichtigung, dass ich den Login freigeben muss. Von dort gelange ich in die zuvor geschlossene App, aber statt des Freigabedialogs sehe ich die Startseite und bin nicht mehr eingeloggt. Also logge ich mich auch hier wieder ein, freue mich erneut über mein unfreundliches Passwort und sehe wieder die Startseite: Der Freigabedialog kommt nicht mehr, die Benachrichtigung ist weg und auf dem Desktop läuft mein Login nach einer Weile in einen Timeout. Nächster Versuch, die App lasse ich offen: Wieder kommt kein Freigabedialog und ich laufe nach ein oder zwei Minuten in ein Timeout am Desktop. Einen Pfeil habe ich noch im Köcher: Ich lasse die App im Speicher, schicke sie aber in den Hintergrund und versuche es erneut: Diesmal bimmelt es wieder, ich kriege die Benachrichtigung und gelange von dort in die App, wo ich auch noch eingeloggt bin und auch den Freigabedialog angezeigt bekomme. Heureka, nur drei Versuche!
Der Text meiner Meldung, die ich dort herauskopiere, endet mit den aufmunternden Worten:
Ich bin beeindruckt, wie viele Barrieren diese Online-Geschäftsstelle einem aufbürdet und ich frage mich, wie viele Mitglieder es hierher schaffen. Mein Vorschlag: Erstens klar vorab kommunizieren, dass man eine App installieren muss und auch dauerhaft auf einem gebundenen Gerät bereithalten und zweitens unbedingt verhindern, dass die Fehlermeldung "Kein Gerät verknüpft" keinesfalls und niemalsnie auf ebendiesem Gerät in ebendieser App angezeigt wird. Das ist allerspätestens der Moment, an dem man irgendetwas anzünden möchte. Vielleicht ist das auch ein merkwürdiger Aprilscherz gewesen.
Ich befürchte, dass das kein merkwürdiger Aprilscherz war, aber ich hoffe sehr, dass ich das niemals herausfinden muss. Aber trotzdem schön, dass man sich so offensiv für die ganzen aufgestellten Barrieren interessiert. In einer besseren Welt landet mein Text ausgedruckt auf dem Schreibtisch einer verantwortlichen Person, die diesen zum Anlass nimmt, den Prozess entsprechend zu reparieren. In unserer Welt nehme ich diese illustre Anekdote in mein Lehrmaterial auf.