Datenleck: Millionen Patientendaten frei im Netz - Kempen betroffen

Frei im Netz verfügbar : Millionen sensible Patientendaten entdeckt – auch Niederrhein betroffen

Ein Recherchenetzwerk hat hoch sensible Medizin-Daten von mehreren Millionen Patienten auf ungesicherten Servern entdeckt. 13.000 Datensätze stammen aus Deutschland – Schwerpunkt ist unter anderem eine Stadt am Niederrhein.

Nach Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica waren hoch sensible Patientendaten unter anderem von Patienten aus Deutschland und aus den USA so schlecht gesichert, dass jeder darauf hätte zugreifen können.

Offenbar geht es um Datensätze von weltweit mehreren Millionen Patienten, die größtenteils neben personenbezogenen Daten wie Vor- und Nachname, Geburtsdatum, Untersuchungstermin und Informationen über den behandelnden Arzt oder die Behandlung selbst auch hoch auflösende Röntgenaufnahmen beinhalten. Den Recherchen zufolge intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sein sollen. Insgesamt soll es um 16 Millionen Datensätze gehen.

In Deutschland sollen mehr als 13.000 Datensätze von Patienten betroffen sein, die in mehr als jedem zweiten Fall auch Bilder enthalten. Der größte Teil der deutschen Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Probleme scheint es nach Recherchen unserer Redaktion bei einer großen Radiologischen Gemeinschaftspraxis, der einzigen in Kempen, zu geben. Der Leitende Arzt Gregor Wedekind erklärte auf Nachfrage, dass man in der vergangenen Woche von der IT-Abteilung des Heilig-Geist-Hospitals auf das Thema angesprochen worden sei. Die Praxis befindet sich in dem Krankenhauskomplex. Man habe sich an den Landesdatenschutzbeauftragten gewandt und werde mit den Behörden zusammenarbeiten. Der Server sei geschlossen worden. Derzeit untersuche eine IT-Fachfirma das System. Erkenntnisse lägen aber noch nicht vor.

Das Kempener Hospital zum Heiligen Geist selbst ist nach eigenen Angaben nicht betroffen. Geschäftsführer Thomas Paßers sagte unserer Redaktion: „Wir haben mit unserer IT gesprochen. Ich kann ein Datenleck für unser Haus ausschließen.“ Das NRW-Gesundheitsministerium hat sich noch nicht zu dem Vorgang geäußert.

Weltweit sind rund 50 Länder betroffen. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen in den USA sollen nach einer Auswertung von ProPublica mehr als eine Million Datensätze vorliegen.

Medizinische Daten wie Röntgenbilder werden häufig von den Aufnahmegeräten selbst in einem automatisierten Prozess zur Archivierung an einen speziellen Server geschickt. Ohne besondere Sicherheitsvorkehrungen können diese Daten relativ leicht gestohlen werden. Ein Experte für Informationssicherheit hatte sich bei den Journalisten gemeldet, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen solche Datensätze ungeschützt zu finden waren.

Von einem „verheerenden ersten Eindruck“ spricht in einer ersten Reaktion der Bundesbeauftragte für Datenschutz, Ulrich Kelber. Die möglichen Folgen für die Betroffenen sind klar: Erreichen solche Daten Arbeitgeber oder Versicherer, droht den Betroffenen, dass daraus Schlüsse zu ihren Lasten gezogen werden.

Der Datenschutz-Expeter André Zilch sagte unserer Redaktion: „Besonders erschreckend ist, dass in diesem Fall offenbar keinerlei Sicherheitshürden zu überwinden waren. Der Zugriff auf die Daten scheint sehr leicht gewesen zu sein.“ Daten des Gesundheitssystems seien genau so gut oder schlecht gesichert wie alle anderen Daten auch. Mit der Digitalisierung des Gesundheitssystems werde die Menge der angreifbaren Daten immer größer, deshalb kämen auch solche Datenskandale in der Tendenz immer häufiger vor. Zilch:„Die Patienten selbst können so gut wie gar nichts tun, um sich zu schützen. Auch eventuelle Schadenersatzansprüche sind schwer durchsetzbar, weil der konkrete Schaden schwer nachweisbar ist.“

Medizinische Datenlecks sind keine Seltenheit. Im Jahr 2016 wies unsere Redaktion in einer Investigativrecherche nach, wie leicht über die Krankenkassen auf Daten über Arztbesuche und Medikamentenverschreibungen von Versicherten zugegriffen werden kann. Damals genügten ein Telefonanruf und wenige Mausklicks - Voraussetzung waren lediglich leicht zu beschaffende Informationen wie der Name des Versicherten und seine Versichertennummer. Es dauerte Monate, bis die Kassen das Datenleck schließen konnten.

In einer vorherigen Version unseres Artikels war zu lesen, dass das Krankenhaus in Kempen von dem Datenleck betroffen ist. Das ist nicht der Fall. Wir bitten, den Fehler zu entschuldigen.

Mehr von RP ONLINE