Sensible Patientendaten im Netz abrufbar

Rund 2500 hochsensible Patientendaten psychisch schwer kranker Menschen aus Schleswig-Holstein sind frei im Internet abrufbar gewesen. „Wir haben die Daten gesichert und die Firma kontaktiert“, sagte der Kieler Landesdatenschutzbeauftragte Thilo Weichert am Donnerstag. Zuvor hatten die „Lübecker Nachrichten“  berichtet, dass Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sogar heruntergeladen werden konnten.

Weichert versucht nun zu klären, wie die Daten psychisch kranker Patienten ins Internet gelangen konnten. Das Prüfteam des Unabhängigen Landeszentrums für Datenschutz (ULD) werde am Montag den verantwortlichen Internet-Dienstleister, die Rebus Consulting- und Verwaltungs GmbH in Rendsburg, aufsuchen, sagte Weichert am Freitag. Es gehe dabei um Ermittlungs- und Sicherungsmaßnahmen sowie die Klärung, ob rechtswidriges Verhalten vorliege.

Bußgeld möglich
Am Vortag war das laut Weichert in Schleswig-Holstein bislang größte Datenleck im Gesundheitsbereich bekanntgeworden. Sollten bei der Prüfung strafrechtlich relevante Aspekte auftauchen, werde das ULD Strafantrag stellen und die Staatsanwaltschaft informieren. Derzeit gebe es aber keinerlei Hinweise, dass die Daten vorsätzlich ins Internet gestellt wurden, sagte Weichert. Als mögliche Sanktionen können die Datenschützer ein Bußgeld verhängen oder eine Unterlassungserklärung verlangen.

Die Rebus Consulting- und Verwaltungs GmbH, ein Tochterunternehmen der Brücke-Gruppe, ist als Dienstleister für Träger sozialer Einrichtungen tätig. Das Sozial- und Therapiezentrum Brücke in Rendsburg war auch am stärksten von dem Datenleck betroffen. Laut Weichert wurden dem ULD 2500 ins Internet gestellte Patienten-Datensätze zur Sicherstellung übermittelt, dann sei die Übermittlung abgebrochen.

Auch medizinische Befunde abrufbar
Nach Angaben der „Lübecker Nachrichten“, die Weichert über den Daten-Skandal informiert hatten, konnten insgesamt 3593 Dokumente der Brücke im Internet abgerufen werden. Dabei handle es sich um Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen. Laut Weichert waren die Daten bis 15.50 Uhr Donnerstag im Internet abrufbar.
Betroffen von dem Datenleck ist auch eine Psychiatrie-Einrichtung im baden-württembergischen Winnenden. 162 Patienten-Dokumente dieser Einrichtung seien ins Internet gelangt, sagte Weichert.

Nach bisherigen Erkenntnissen Weicherts wurden die Datensätze bei Rebus eingescannt und von einem Subunternehmer im niedersächsischen Bad Gandersheim gehostet, also auf einem Rechner gelagert. Wie die Daten dann ins Internet gelangten, sei noch ungeklärt. „Wie lange dieses Leck bestanden hat, wissen wir noch nicht“, sagte Weichert. Laut „Lübecker Nachrichten“ sollen die Daten offenbar monatelang einsehbar gewesen sein.

Keine Erklärung
Rebus-Geschäftsführerin Heike Rullmann betonte am Freitag, dass die Dokumente nicht über eine Webseite hätten abgerufen werden können, allerdings übers Internet, „wenn man den genauen Weg wusste“. Nach ihren Angaben wurde Rebus von den „Lübecker Nachrichten“ informiert. Daraufhin habe man den Server in Bad Gandersheim stillgelegt. Laut Rullmann waren nicht die besonders sensiblen Daten zur Pflege öffentlich zugänglich, also nicht das Herzstück der Datenbank, sondern Begleitdokumente wie ärztliche Notwendigkeitsbescheinigungen. Laut Rullmann stellen Pflegekräfte extern Daten über ihre Arbeit in die Datenbank.

„Wir haben bislang keine Erklärung, wie das Leck passieren konnte“, sagte Rullmann. Jetzt wolle das Unternehmen den Vorfall mit Hilfe der Datenschützer aufklären. Das Unternehmen betreibt Datenbanken für mehrere soziale Dienste und Behörden in ganz Deutschland.