Nach gemeinsamen Recherchen des Bayerischen Rundfunks und der US-amerikanischen Investigativplattform ProPublica waren die Daten von Millionen Patienten – u. a. aus Deutschland und den USA – bis vergangene Woche theoretisch für jedermann im Netz einsehbar. Röntgenbilder, Brustkrebsscreenings, MRT-Bilder und andere hochsensible Patiendaten wurden jahrelang ungeschützt auf ungesicherten Servern gespeichert.
13.000 deutsche Patienten betroffen, weltweite Dimension wesentlich größer

Auf den Bildern, die ohne Passwortschutz oder Zugangskontrolle auf Servern gespeichert wurden, fanden sich zusätzlich zahlreichen personenbezogene Daten der jeweiligen Patienten. Darunter: Vor- und Nachname, Geburtsdatum, Untersuchungstermin, behandelnder Arzt, Behandlung. Die Patientendaten waren so ungeschützt, dass sie von jedem jederzeit hätten eingesehen werden können. Besonderer Fähigkeiten am PC bedurfte es dabei nach Auskunft der Rechercheteams kaum. Ob jemand und wer diese ungeschützten besonderen Kategorien personenbezogener Daten eingesehen hat, lässt sich nicht klären.
Allerdings sind nur vergleichsweise wenige deutsche Patienten von dem Datenleck betroffen. Etwa 13.000 der Patientendaten, die ungeschützt im Netz zu finden waren, stammten aus Deutschland. Betroffen seien vor allem Patienten aus dem Raum Ingolstadt und Kempen.
Insgesamt seien 16 Millionen Patientendaten ungeschützt zugänglich gewesen, aus insgesamt etwa 50 Ländern weltweit. Hauptbetroffene: US-amerikanische Patienten.
Entdeckt hatte das Datenleck Dirk Schrader, Experte für Informationssicherheit. Nachdem er auf mehr als 2.300 Rechnern die Patientendaten entdeckte, die ungeschützt auf den Servern hinterlegt waren, wandte er sich an die Journalisten des BR.
„Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen.“
– Dirk Schrader
Warum Patientendaten zu den besonderen Kategorien personenbezogener Daten gehören
Die Datenschutzgrundverordnung (DSGVO) kennt einzelne Kategorien personenbezogener Daten, die besonders schützenswert sind. Zu diesen gehören auch Patientendaten. Der Umgang mit ihnen ist daher auch mit besonderen Sicherheitsvorkehrungen und nur stark beschränkt zulässig. Den Schutz müssen die Verantworlichen selbst gewährleisten, auch beim Speichern auf externen Servern.
Gerade die Kenntnis von Patientendaten, die ungeschützt im Netz jedermann zugänglich wären, könnten in den Händen Dritter tatsächlich auch gravierende Konsequenzen für die Betroffenen haben:
„Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und Ihnen keinen Vertrag oder keinen Kredit gibt.“
– Ulrich Kelber, Bundesbeauftragter für Datenschutz
Für welche Probleme die zunehmende Digitalisierung beim Umgang mit Patientendaten sorgt (Stichwort: Telematik), zeigt auch der folgende Bericht des ARD Mittagsmagazins:
Jens meint
Hier wird wie immer nicht die Wahrheit gesagt. Niemand übernimmt derzeit die Verantwortung für die Sicherheit der Patientendaten. Seit März wissen alle Behörden (Datenschutz, BMG und gematik), dass täglich Patientendaten von Ärzten abgezogen werden. Ich habe zahlreiche Fälle mit Dokumentation an alle Behörden gemeldet. Nach dem sich ein Vertreter des Bundesdatenschutzes sowie der Landesdatenschutzbeauftragte NRW zusammen mit einer Juristin und einem IT Experten bei uns vor Ort von dem katastrophalen Zustand der TI überzeugt haben, ist nichts mehr geschehen. Ich war sogar am 8.8.2019 persönlich im Bundesgesundheitsministerium und habe dort eine 150 Seitige Dokumentation der Probleme und Sicherheitslücken abgegeben. Bis heute gab es nur Vertröstungen und keinerlei Reaktion. Hier wird mit Fehlinformationen und absoluter Verantwortungslosigkeit ein System geschützt und weiter ausgebaut, welches nahezu täglich die grundlegenden Menschenrechte auf Selbstbestimmung verletzt. Kein Patient, dessen Daten durch Hacker bereitsbei den Ärzten gestohlen wurde hat sei Einverständniss dazu gegeben. Es ist trotzdem passiert.