Politik
Auf Servern lagerten Millionen Patientendaten offenbar ungeschützt
Dienstag, 17. September 2019
München/Kempen – Sensible medizinische Daten von weltweit mehreren Millionen Patienten sind nach einem Bericht des Bayerischen Rundfunks (BR) auf offen zugänglichen Servern im Netz gelandet. In Deutschland seien mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte sind auch medizinische Bilder wie Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen enthalten.
Sie seien noch bis vergangene Woche zugänglich gewesen und stammten von mindestens fünf verschiedenen Serverstandorten. Der größte Teil der Datensätze entfalle auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen, hieß es.
Nach den Recherchen des BR mit der US-Investigativplattform ProPublica lagen die Bilder und andere Patientendaten auf ungesicherten Servern. Danach sollen in rund 50 Ländern von Brasilien über die Türkei bis Indien 16 Millionen Datensätze offen im Netz stehen. Besonders betroffen seien Patienten aus den USA. „Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor“, heißt es in dem Bericht weiter.
Dem Vernehmen nach hat es nicht ein einzelnes großes Datenleck gegeben, sondern eine Vielzahl von ungeschützten Servern. Der Experte für Informationssicherheit Dirk Schrader, habe weltweit mehr als 2.300 Rechner gefunden, auf denen die Datensätze offen lagen.
Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von IT-Sicherheitsforschern darüber informiert und hat die betroffenen Einrichtungen davon in Kenntnis gesetzt, teilte die Behörde mit. Es lägen keine Erkenntnisse vor, dass die Daten tatsächlich in krimineller Absicht abgeflossen seien.
Bei den Daten handelte es sich oft um Bilder, die von Magnetresonanztomographie-Untersuchungen stammen (MRT). Diese Bilder würden von den Geräten auf einen speziellen Server geschickt, berichtete der BR. Das System werde für die Bildarchivierung verwendet, ein „Picture Archiving and Communication System“ (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landeten auf diesen Servern.
Wir müssen noch stärker alle im Gesundheitswesen dafür sensibilisieren, wie wichtig Datensicherheit ist. Bundesgesundheitsminister Jens Spahn
Der Bundesbeauftragte für Datenschutz, Kelber, sprach von einem „verheerenden ersten Eindruck“. Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser betroffen, sagte Kelber. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.
Bundesgesundheitsminister Jens Spahn mahnte höchste Datenschutzvorkehrungen in der gesamten Branche an. „Wir müssen noch stärker alle im Gesundheitswesen dafür sensibilisieren, wie wichtig Datensicherheit ist“, sagte der CDU-Politiker heute. Dies gelte für jede einzelne Arztpraxis, jede Apotheke, jedes Krankenhaus und für Dienstleister. Dabei sei auch sicherzustellen, dass Server gesichert seien. Dies sei in diesem Fall offenkundig nicht so gewesen und müsse abgestellt werden.
Die Patientenbeauftragte der Bundesregierung hat Krankenhäuser und Arztpraxen zum besseren Schutz von Patientendaten aufgefordert. Der Skandal um ungesicherte Informationen über Patienten lege den Schluss nahe, dass Gesundheitsanbieter „minimale Standards bei der Absicherung ihrer Daten nicht eingehalten“ hätten, erklärte die Beauftragte Claudia Schmidtke. „Das darf nicht sein!“ Patienten hätten „ein Recht darauf, dass ihre Daten bestmöglich vor einem unrechtmäßigen Zugriff Fremder geschützt werden“.
Rufe nach Konsequenzen
Nötig seien nun einheitliche Datenschutzstandards, verschärfte Haftungsregelungen und die Berücksichtigung von Patientenrechten bei der Digitalisierung von Versorgungsleistungen. Schmidtke forderte alle Akteure im Gesundheitswesen auf, „die Patientenrechte und die Patientensicherheit für das digitale Zeitalter fit zu machen“.
Denn ohne das Vertrauen der Patienten werde es keine Digitalisierung im Gesundheitswesen geben – dabei biete die Digitalisierung „immense Vorteile“ im Gesundheitssystem, erklärte die Beauftragte. So könne die Digitalisierung durch neue Erkenntnisse über Krankheiten oder durch individualisierte Behandlungsoptionen die Patientenversorgung verbessern.
Maria Klein-Schmeink, gesundheitspolitische Sprecherin der Bundestagsfraktion der Grünen, verlangte angesichts der Vorfälle, dass dem Schutz der sensiblen Gesundheitsdaten eine größere Aufmerksamkeit gewidmet werden müsse. „Datenschutz und Datensicherheit müssen in unserem Gesundheitswesen so selbstverständlich werden wie Händewaschen“, sagte sie. Die Fälle müssten jetzt genau aufgeklärt werden.
„Wir müssen wissen, ob es sich um individuelle Fehler oder eine fehlerhafte Soft- oder Hardware handelt. Es muss geprüft werden, ob es bei der Zulassung und Überwachung solcher Medizinprodukte Lücken gibt, die solche Pannen ermöglichen“, erläuterte Klein-Schmeink.
Notwendig sei außerdem, dass die Datenschutzbehörden besser ausgestattet würden, um schnell und vielleicht sogar präventiv auf solche Vorkommnisse reagieren zu können. „Gerade in den sogenannten Primärsystemen in Krankenhäusern liegt noch manches im Argen. Hier sind erhebliche Investitionen nötig. Bund und Länder müssen daher zügig die Investitionsfinanzierung für Krankenhäuser reformieren“, so die Grünen-Politikerin.
Der SPD-Gesundheitspolitiker Karl Lauterbach forderte im SWR hohe Strafen bei Datenlecks in Krankenhäusern. Die Kliniken müssten ein zertifiziertes Datenschutzkonzept vorlegen. Der Linken-Gesundheitspolitiker Achim Kessler forderte Spahn auf, das Recht der Patienten „auf Schutz ihrer Daten ins Zentrum stellen, statt die Interessen der Digitalkonzerne durchzusetzen“.
Als Skandal bezeichnet Monika Buchalik, Vizepräsidentin der Landesärztekammer Hessen, das heute publik gewordene, vermutliche Patientendatenleck. Das vermutliche Datenleck sei eine Katastrophe, da es das Vertrauen in den Umgang mit hochsensiblen Patientendaten erschüttere. Zugleich mache es deutlich, dass veraltete digitale Sicherungssysteme schleunigst abgelöst werden müssten bzw. vorhandene, gute digitale Sicherungssysteme auch richtig eingesetzt werden müssen, um die Datensicherheit zu gewährleisten.
Buchalik fordert die Krankenkassen außerdem auf, auch die Kosten für die Sicherungssysteme zu übernehmen, die in Praxen und Kliniken durch die IT-Anbindung entstehen. Edgar Pinkowski, Präsident der Landesärztekammer Hessen und Vorsitzender des Ausschusses „Patientensicherheit“ bei der Bundesärztekammer, betonte, dass die Digitalisierung des Gesundheitswesens und die damit einhergehende Frage der Datensicherheit und des Datenschutzes in der kommenden Dekade eine zentrale Frage der Patientensicherheit sein werde.
© dpa/afp/may/aerzteblatt.de
Nachrichten zum Thema

Kommentare
Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.