Hochauflösende MRT-Aufnahmen, diagnostische Details und Klarnamen – Millionen sensibler Patientendaten waren völlig frei im Internet zugänglich. Die Frage nach der Verantwortung bleibt.
Ausgerechnet am Tag der Patientensicherheit kam es heraus: Weltweit 16 Millionen medizinische Datensätze waren frei zugänglich im Internet aufgetaucht. Dirk Schrader, IT-Sicherheitsexperte bei Greenbone Networks, war das riesige Datenleck aufgefallen, er hatte daraufhin die BR Recherche informiert. So nennt sich das investigative Team von Journalisten des Bayerischen Rundfunks (BR) und Mitarbeitern der US-amerikanischen Non-Profit-Organisation ProPublica. Sie entdeckten mehr als 13.000 ungeschützte Patientendaten allein in Deutschland.
Wie kann es zu einem Datenleck in diesem Ausmaß kommen? Der Prozess an sich ist erschreckend einfach. Im Rahmen einer MRT oder einer CT werden Bilder vom Patienten gemacht. Diese werden anschließend auf Servern der durchführenden Klinik oder Praxis gespeichert – und zwar so, dass alle befugten Mitarbeiter jederzeit Zugriff auf diese Bilder haben. Was für den Arbeitsablauf sinnvoll erscheint, wird gefährlich, sobald diese Server ohne jeglichen Schutz mit dem Internet verbunden sind. Genau so, wie es im Fall der Millionen frei zugänglicher Datensätze jetzt war.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, ist vor allem angesichts einer derart hohen Zahl an ungesicherten Daten schockiert: „Das spricht dafür, dass es nicht nur ein einfacher Konfigurationsfehler eines Anbieters ist, sondern ein grundsätzliches Problem.“ Kelber erklärt auch, warum das Datenleck daher besonders ernst genommen werden müsse. Es seien besonders sensible Daten, die jedes Individuum ausmachen. „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und deswegen Sie vielleicht ablehnt, Ihnen keinen Vertrag gibt, keinen Kredit gibt“, sagte er im Interview mit dem BR. Das könnte ein durchaus wahrscheinliches Szenario sein, denn in den Datensätzen sind, neben den Namen der Patienten, oft auch hochauflösendes Bildmaterial und diverse diagnostische Details enthalten.
Laut Kelber müsse jetzt vor allem geklärt werden, wer verantwortlich ist. Für Bundesgesundheitsminister Jens Spahn ist die Sache dagegen ganz klar: „Für jeden, der Gesundheitsdaten, der individuelle Patientendaten in Deutschland speichert, ob auf dem PC in der Praxis, oder ob auf einem Server bei einem Dienstleister, muss zu jedem Zeitpunkt höchsten Datenschutz und Datensicherheitsgarantien geben können“, sagte er in der Tagesschau. Auch im Bericht des BR betonte Spahn, dass immer der Erheber der jeweiligen Daten in der Verantwortung sei. Dazu gehöre zum Beispiel, mit den entsprechenden Dienstleistern für Server zu kooperieren und Patientendaten richtig zu sichern. „Die gesetzliche Anforderung ist da sehr, sehr klar“, so Spahn.
Er bezieht sich damit wohl auf die in der Datenschutzgrundverordnung festgehaltene Regelung. Dort heißt es: „Praxen sind für den Schutz personenbezogener Daten verantwortlich. Sie müssen dazu geeignete technische und organisatorische Maßnahmen ergreifen und diese dokumentieren.“
Ob es Ärzten neben dem Tagesgeschäft im aktuellen und vermutlich noch steigenden Umfang zuzumuten ist, IT-Dienstleister und deren Arbeit zu kontrollieren, sei dahingestellt. Letztendlich müssen sich große Kliniken, aber vor allem kleinere Praxen völlig auf ihre jeweiligen IT-Abteilungen – sofern vorhanden – und die richtige Betreuung ihrer Server verlassen. Eine Grundverantwortung für das sichere Verwalten von Patientendaten, egal, ob digital oder analog, haben Praxen und Kliniken allerdings in jedem Fall.
Noch sei zwar unklar, ob die frei zugänglichen Daten missbräuchlich verwendet wurden. Was durch diesen „handfesten Skandal“, wie es IT-Sicherheitsexperte Sebastian Schinzel von der Fachhochschule Münster ausdrückt, allerdings überdeutlich wird, sind die Probleme der Digitalisierung im Gesundheitswesen. Denn wenn die Politik schon jetzt nicht für einen praktikablen, sicheren Rahmen sorgen kann, in der schon bald elektronische Patientenakten und digitale Krankmeldungen Alltag sein sollen, ist das nächste große Datenleck nur eine Frage der Zeit.
Bildquelle: Thirteen Of Clubs, Flickr
