Zwei Praxis-Computer lösen Daten-Desaster aus
Der Arzt fiel aus allen Wolken. Er war komplett ahnungslos, als ihn die Behörden damit konfrontierten, dass sein Praxiscomputer verantwortlich sei für einen der größten Patientendatenverluste in Deutschland jemals. „Ich glaube, er hatte dann auch ein paar ganz schlechte Nächte“, so Andreas Sachs von der Bayerischen Datenaufsichtsbehörde, der von Anfang an in die Aufklärung des Vorfalls eingebunden war. In Deutschland waren dabei wohl rund 13 000 Datensätze von Patienten betroffen. Die meisten stammten aus einer Praxis in Ingolstadt und einer aus Kempen, Nordrhein-Westfalen.
Medienbericht legt Fokus auf Systemprobleme
Wie konnte es zu dem Daten-Desaster kommen? Beispiel Ingolstadt: Dieser Arzt hatte in seiner Praxis einen PACS-Server laufen, eine medizinische Bilddatenbank. Diese war jedoch, wohl aus Unwissen, falsch konfiguriert. Der Arzt hatte keine Vorstellung davon, dass durch seinen falschen Klick theoretisch das ganze Internet auf seine Daten zugreifen kann.
Der Bayerische Rundfunk (BR) sprach dann von einem Systemproblem weltweit, auch in Deutschland, millionenfache Patientendaten seien über das Netz abrufbar. Tatsächlich löste der Bericht in den Krankenhäusern Notfallprogramme aus. Vorstände wurden informiert, die deutsche Krankenhausgesellschaft baute eine Standleitung zum Bundesamt für Sicherheit in der Informationstechnik – und keiner konnte Datenverluste feststellen. Bis dann herauskam, dass die Daten aus zwei Praxisrechnern stammten.
Die Berichterstattung des BR war jedoch nicht falsch. Weltweit sind Systeme unzureichend abgesichert. Wer über entsprechende Kenntnisse verfügt, findet im Netz über 2000 PAC-Server, die über das Internet grundsätzlich ansprechbar sind. „Das muss nicht heißen, dass man sich einfach auf die Systeme draufschalten kann. Der Skandal ist, dass die Systeme nicht über eine Firewall geschützt sind. Findet ein Angreifer eine Lücke, kann er darauf zugreifen“, erklärt Sachs.
In Deutschland geht es dabei um etwa 40 bis 50 Server, wobei noch unklar ist, ob alle echte Patientendaten bergen. Wirklich offen lagen wohl nur die Systeme der beiden Arztpraxen. In der Berichterstattung wurde der Datenleak eingereiht in den grundsätzlichen Missstand.
Mit welchen Konsequenzen müssen die Ärzte jetzt rechnen? Von Seiten des Ingolstädter Arztes lag eine Meldung nach Artikel 33 DSGVO vor, eine Art Selbstanzeige. Das deutsche Bundesdatenschutzgesetz sagt, dass in solchen Fällen von Sanktionen abgesehen wird. Ob diese Regelung europarechtskonform ist, ist noch offen. Die Tatsache, dass der Arzt einen Fehler gemacht hat und kein kommerzielles Eigeninteresse verfolgt hat wie etwa Einsparungen in der IT-Sicherheit, spricht jedoch tendenziell gegen ein Bußgeld.
Schlimmer könnte sich für die Ärzte Artikel 34 DSGVO auswirken. Denn noch sind die Namen der Ärzte und die Adressen der Praxen nicht öffentlich. Die Datenschutzbehörden sind mitunter zur Verschwiegenheit verpflichtet. Die DSGVO sieht an dieser Stelle vor, dass der Verursacher eines Datenschadens ab einer gewissen Dimension des Schadens die Betroffenen informieren muss. In diesem Fall also die Patienten.
Das sagt Art. 34 DSGVO
Noch ist nicht öffentlich, welche Praxen schuld waren
Diesem persönlichen Super-Gau entgehen könnten die Ärzte, wenn sich die Risikobewertung des Vorfalls entlastend auswirkt. Die ist noch Teil der Ermittlungen der Datenschutzbehörden. Faktisch besteht für die Patienten wohl ein geringes Risiko: Nach aktuellem Wissensstand hat außer Presse und Behörden bislang niemand auf die Daten zugegriffen.Datenschutz in der Medizin – Update!