Vertrauliche Daten für jedermann
Millionen Patienteninformationen landeten auf ungesicherten Servern
Berlin. Hochsensible medizinische Daten, unter anderem von Patienten aus Deutschland und den USA, sind auf ungesicherten Servern gelandet. Es gehe um die Daten mehrerer Millionen Patienten weltweit, wie der Bayerische Rundfunk am Dienstag berichtete. Das Bundesamt für Sicherheit in der Informationstechnik erklärte, die Patientendaten seien zugänglich, weil »einfachste IT-Sicherheitsmaßnahmen« nicht umgesetzt worden seien. In Deutschland sind mehr als 13 000 Datensätze von Patienten betroffen. Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, warnte Versicherte vor den Folgen: »Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und Ihnen keinen Vertrag oder keinen Kredit gibt.« Der SPD-Gesundheitspolitiker Karl Lauterbach forderte hohe Strafen bei Datenlecks in Krankenhäusern. DGB-Vorstandsmitglied Annelie Buntenbach sprach von einem »Warnsignal«, das Gesundheitsminister Jens Spahn (CDU) nicht ignorieren dürfe.
Patienten überlassen ihre Gesundheitsdaten nicht mehr nur ihren Ärzten. Digitale Systeme verbessern Speichermengen und Zugänglichkeit der Daten. Leider auch über das gewollte Maß hinaus.
Berlin. Der 17. September war in diesem Jahr erstmals Welttag der Patientensicherheit. Zwar ging es hier in erster Linie um Versorgungssicherheit. Auch in Deutschland, wo die Gesundheitsversorgung auf einem hohen Niveau rangiert, braucht es Anstrengungen, um benachteiligte Patientengruppen, wie beispielsweise alte Notfallpatienten, besser zu versorgen.
Eine Sicherheitslücke der besonderen Art offenbarte sich jedoch paradoxerweise gerade am Dienstag, dem Tag der Patientensicherheit – in Form eines riesigen weltweiten Datenlecks. Genauer gesagt geht es um mehrere Lecks. Recherchen des Bayerischen Rundfunks mit der US-Investigativplattform ProPublica ergaben, dass Millionen sensible medizinische Daten, darunter Aufnahmen von Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen, auf mehreren Servern zugänglich waren. Es handele sich dabei nicht um ein einzelnes großes Datenleck, sondern eine Vielzahl von ungeschützten Servern, berichtete der BR. Ein Experte für Informationssicherheit fand weltweit mehr als 2300 Rechner, auf denen die Datensätze offen lagen.
In Deutschland sollen Daten aus zwei Krankenhäusern betroffen sein – im Raum Ingolstadt und Kempen in Nordrhein-Westfalen. Es handelt sich um mehr als 13 000 Datensätze. Auch hier geht es in mehr als der Hälfte auch um medizinische Bilder. Sie seien noch bis vergangene Woche zugänglich gewesen und stammten von mindestens fünf Serverstandorten.
Besonders betroffen seien jedoch Patienten aus den USA. In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz stehen, das heißt auf ungesicherten Servern. »Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor«, heißt es in dem Bericht. Oft habe es sich um Bilder gehandelt, die von Magnetresonanztomographie-Untersuchungen stammen (MRT). In der MRT-Röhre entstehen zwei- und dreidimensionale Bilder vom Körperinneren der Patienten. Diese Bilder würden von den Geräten auf einen speziellen Server geschickt, berichtete der BR. Das System werde für die Bildarchivierung verwendet, ein so genanntes »Picture Archiving and Communication System« (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landeten auf den Servern.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem »verheerenden ersten Eindruck«. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.
Anstatt auf eine Stärkung internationaler Datenschutzstandards zu drängen, würden in Deutschland weiterhin lukrative IT-Projekte nach »vorne gepeitscht«, beklagte aus aktuellem Anlass Achim Kessler, gesundheitsökonomischer Sprecher und Obmann der Linksfraktion im Gesundheitsausschuss des Bundestages. Bestehende Datenlecks und Sicherheitsrisiken, vor allem in Arztpraxen und Kliniken, würden ignoriert. »Gesundheitsminister Jens Spahn muss endlich das Recht der Patientinnen und Patienten auf Schutz ihrer Daten ins Zentrum stellen, statt die Interessen der Digitalkonzerne durchzusetzen«, erklärte Kessler.
»Sensible Daten, die einmal gestohlen wurden, können nicht wieder zurückgeholt werden und verursachen lebenslangen Schaden für die Betroffenen. Bei der Entwendung von mehr als 13 000 Patientendatensätzen in Deutschland handele es sich nicht um einen Einzelfall, sondern um strukturell bestehende Sicherheitslücken und zu lasche Datenschutzkriterien im Gesundheitswesen. »Solche Lücken werden nicht einfach verschwinden, wenn an die Eigenverantwortung der IT-Konzerne appelliert wird. Die LINKE fordert deshalb, die Ausweitung von Produkthaftungen auf ITHersteller, sodass die bestehenden Systeme und Strukturen im Gesundheitswesen angepasst und die Umsetzung von Datenschutzstandards verpflichtend werden. Nur so haben Patientinnen und Patienten eine Chance auf Wahrung ihrer Privatsphäre.«