Land: Kliniken müssen Patientendaten schützen
DÜSSELDORF Vor zwei Jahren legte ein Computervirus Krankenhäuser in Nordrhein-Westfalen lahm. Nun sorgt eine neue Datenpanne für Aufregung. Dieses Mal steht jedoch kein Hacker, sondern ein früherer Mitarbeiter des KrankenhausZweckverbands Rheinland im Visier. Er soll Daten, mit deren Aufarbeitung er beruflich befasst war, an die Internetplattform Medileaks weitergeleitet zu haben. Um welche Daten geht es? Im Krankenhaus-Zweckverband sind 168 Kliniken aus dem Rheinland organisiert, Unikliniken, kirchliche wie öffentliche Häuser. Der Verband führt für diese Häuser die Budgetverhandlungen mit den gesetzlichen Krankenkassen, sorgt für Vergleichbarkeit unter den Häusern und nimmt deren Interessen wahr. „Bei den möglicherweise entwendeten Daten handelt es sich um aggregierte Daten auf Basis der Daten all unserer Häuser“, sagte Verbandssprecher Torsten Rössing.
Die Plattform Medileaks erklärt, sie haben Daten von bundesweit über 300 Krankenhäusern und zwar zu Finanzdaten, Personalbestand, Krankheitsstatistiken und Operationsdauern. Die Datensätze enthielten darüber hinaus auch Angaben zu Diagnosen, Alter und Postleitzahlen, aber anonymisiert. Aber auch die Aneignung, Nutzung und Veröffentlichung dieser zusammengefassten Daten ist aus Sicht der NRW-Krankenhäuser „rechtswidrig und zum Teil auch strafbar“. Daher gehen sie gegen die Seite vor. Wer ist Medileaks? Die Internetplattform gibt an, „Datenanalysen für ein gerechteres Gesundheitssystem“durchführen zu wollen. Sie nennt sich selbst eine Non-ProfitOrganisation. „Wir sind ein Team von Krankenhausberatern mit Hintergrund in der Statistik und Gesundheitsökonomie“, teilen die Betreiber der Seite mit. Zwar betonen sie: „Selbstverständlich werden keine Patientendaten veröffentlicht“, aber nun müsse man über die Auswirkungen der Ökonomisierung aufklären. Wer genau hinter der Seite steckt, ist unklar: „Habt Verständnis, dass unsere Anonymität gewahrt bleiben muss“, heißt es. Entsprechend schwer hat es nun der Krankenhaus-Zweckverband, gegen die Seite wegen des mutmaßlichen Datenklaus vorzugehen. „Gegen Medileaks gehen wir rechtlich vor, leider ist der Sitz der Seite auf den australischen Kokosinseln“, erklärte der Verbandssprecher. Was tun die Kliniken für besseren Schutz? Der Verband betont: „Es gibt keinen Verdacht auf eine Cyberattacke.“Das heißt, die Computer seien wohl nicht von extern gehackt worden. „Nachdem wir eine Wirtschaftsprüfungsgesellschaft, die Staatsanwaltschaft und Polizei eingeschaltet haben, ergab sich der Verdacht, dass einer unserer Mitarbeiter mit Medileaks zusammenarbeitet.“Und gegen kriminelle Energie Einzelner gebe es keinen systematischen Schutz, so Torsten Rössing. Bei der Wirtschaftsprüfungsgesellschaft handelt es sich um EY (früher Ernst&Young), die IT-Forensiker schickte, um die Computer auch des verdächtigen Mitarbeiters zu untersuchen. Was fordern die Kassen? Die Kliniken sind frühzeitig in die Offensive gegangen. Nun müsse der Datenklau vollständig geklärt werden, fordern die Kassen. „Wir gehen davon aus dass der Zweckverband alles Nötige in die Wege leitet um den Datenklau aufzuklären. Ob es um ein generelles Datenschutzproblem geht muss ebenfalls genau untersucht werden“, sagte Dirk Ruiss, Chef des NRW-Ersatzkassenverbands. Für die Kassen kommt eine neue Datenschutzdebatte zur Unzeit, sie wollen doch gerne die elektronische Gesundheitskarte einführen. Und auch wenn der aktuelle Fal nichts damit zu tun hat: Die Karte kommt seit Jahren wegen Datenschutzbedenken nicht voran.
Die Krankenhäuser gehen bei der Datenpanne nicht von einem Cyberangriff aus. Medileaks behauptet, Daten von bundesweit 300 Häusern zu haben.