Millionen von Patientendaten ungeschützt im Netz
Bild von rawpixel

Millionen von Patientendaten ungeschützt im Netz

Für die meisten von uns sind wohl Daten, die unsere Gesundheit betreffen, welche der sensibelsten Daten überhaupt. Aus diesem Grund sind medizinische Daten auch durch Art. 9 DSGVO besonders geschützt. Heute wurde jedoch bekannt, dass über 16 Millionen Datensätze von Patienten, vom Brustkrebsscreening über Röntgenbilder hin zu MRT-Aufnahmen jahrelang ungeschützt im Netz gespeichert und somit für jeden einfach abrufbar waren.

Bild von Heike Georg auf Pixabay

Laut einem Medienbericht der Bayerischen Rundfunks sind davon medizinische Befunde aus rund 50 Ländern betroffen, darunter auch die Daten tausender deutscher Patienten. Die Daten waren anscheinend teilweise noch bis letzte Woche abrufbar, mittlerweile sind die Server vom Netz.

Der BR hat gemeinsam mit dem Rechercheportal ProPublica herausgefunden, dass mehrere Millionen Datensätze auf ungeschützten Servern liegen. Dabei handelt es sich zum Teil um hochauflösende Bilder die über Angaben zur Untersuchung, dem Termin der Untersuchung und dem behandelnden Arzt hinaus auch Informationen wie Geburtsdatum und Vor- und Nachname enthalten. In Deutschland sind es nach Angaben des BR über 13000 Datensätze, besonders betroffen sind Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor. 

Ausmaß und Folgen unbekannt

Es soll sich um mehr als 2300 Rechner weltweit handeln, auf die völlig ungeschützt über das Internet zugegriffen werden kann, so der Informationssicherheits-Experte Dirk Schrader, der die Panne zuerst bemerkte. Schrader benachrichtigte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches wiederum die Behörden von 46 weiteren Ländern. Der Zugriff wäre beinahe in Echtzeit möglich gewesen, so Schrader. Weiterhin sagte er: „Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen”.

Bild von Mike Jarmoluk

Da keinerlei Sicherheitsmaßnahmen durch die Server-Betreiber ergriffen wurden, weder ein Passwort-Schutz noch eine Protokollierung der Zugriffe, gibt es auch keine Möglichkeit nachzuvollziehen, ob welche der Datensätze in den letzten Jahren von unbefugten gesichtet oder abgegriffen wurden und wenn ja wie viele und von wem.

Weil die Verletzung des Schutzes personenbezogener Daten in diesem Fall unstrittig ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat ist davon auszugehen, dass die betroffenen Patienten in den nächsten Wochen gem. Art. 34 DSGVO von den jeweiligen Verantwortlichen benachrichtigt werden. Einen Handlungsspielraum um Schaden abzuwenden sehe ich persönlich allerdings nicht, da die Daten ja bereits jahrelang frei verfügbar waren.

Datenschutzbeauftragte und Politiker beziehen Stellung

Ulrich Kelber, der Bundesbeauftragte für Datenschutz Deutschlands, hat sich einen der Datensätze in anonymisierter Form zeigen lassen und spricht von einem „verheerenden ersten Eindruck“. Besonders macht er sich Sorgen um mögliche Folgen des Datenlecks, da wohl niemand wolle, „dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt, und ihnen keinen Vertrag oder keinen Kredit gibt.” Nach jetzigem Kenntnisstand seien in Deutschland unter anderem zwei Krankenhäuser betroffen, sagte Kelber der Nachrichtenagentur dpa. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Nicht ausgeschlossen sei, dass hohe Bußgelder verhängt werden, so der Bundesdatenschutzbeaufragte.

Auch das bayerische Landesamt für Datenschutzaufsicht hat sich zu dem Vorfall geäußert. Es stünde mit einem Betreiber eines Servers in Bayern in Kontakt, auf dem Daten von etwa 7000 Patienten in Bayern gespeichert seien. Es würden nun weitere Schritte geprüft: “Dies kann von aufsichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen.”

Bundesgesundheitsminister Jens Spahn hat aufgrund des Vorfalls die gesamte Branche ermahnt, höchste Datenschutzvorkehrungen zu treffen. „Wir müssen noch stärker alle im Gesundheitswesen dafür sensibi­li­sieren, wie wichtig Datensicherheit ist“, so der CDU-Politiker. Dies gelte für je­de einzelne Arztpraxis, jede Apotheke, jedes Krankenhaus und für Dienstleister.

Bild von Rawpixel auf Pixabay

Auch Claudia Schmidtke, die Patientenbeauftragte der Bundesregierung hat medizinische Betriebe dazu aufgerufen, die Daten der Patienten besser zu schützen. Das heute bekannt gewordene Datenleck zeige auf, dass Krankenhäuser und Arztpraxen „minimale Stan­dards bei der Absicherung ihrer Daten nicht eingehalten“ hätten und dies „dürfe nicht sein“, so Schmidtke weiter. Gerade Patienten als besonders schutzwürdige Personen hätten „ein Recht darauf, dass ihre Daten bestmöglich vor einem unrechtmäßigen Zugriff Fremder geschützt werden“. Nötig seien nun einheitliche Datenschutzstandards, verschärfte Haftungsregelungen und die Berücksichtigung von Patientenrechten bei der Digitalisierung des Gesundheitssektors.

Fazit

Besonders der Ruf nach strengeren Datenschutz-Regeln verwundert an dieser Stelle etwas, da die gesetzlichen Regelungen durch die DSGVO und das BDSG ja bestehen. Sie wurden nur einfach ignoriert oder aus Unwissenheit nicht angewendet. Vielmehr sollte man in meinen Augen die Betriebe, die ja beim Umgang von hoch sensiblen Daten mindestens fahrlässig gehandelt haben, nicht mit einem blauen Auge davonkommen lassen sondern angemessene Strafen verhängen. Vielleicht schöpft man ja den Bußgeldrahmen aus Art. 83 zum ersten Mal auch in Deutschland aus. In meinen Augen wäre es durchaus angebracht bei einem so groben Verstoß ein abschreckendes Zeichen zu setzen und somit womöglich weitere ähnliche Datenpannen zu verhindern.

Schreibe einen Kommentar

Menü schließen

Millionen von Patientendaten ungeschützt im Netz

by paul time to read: 3 min
0