Auf Servern lagerten Millionen Patientendaten offenbar ungeschützt

/dpa

München/Kempen – Sensible medizinische Daten von weltweit mehreren Millionen Pa­tienten sind nach einem Bericht des Bayerischen Rundfunks (BR) auf offen zugängli­chen Servern im Netz gelandet. In Deutschland seien mehr als 13.000 Datensätze von Patien­ten betroffen, in mehr als der Hälfte sind auch medizinische Bilder wie Brustkrebs­scree­nings, Wirbelsäulenbilder und Röntgenaufnahmen enthalten.

Sie seien noch bis vergangene Woche zugänglich gewesen und stammten von mindes­tens fünf verschiedenen Serverstandorten. Der größte Teil der Datensätze entfalle auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen, hieß es.

Nach den Recherchen des BR mit der US-Investigativplattform ProPublica lagen die Bil­der und andere Patientendaten auf ungesicherten Servern. Danach sollen in rund 50 Län­dern von Brasilien über die Türkei bis Indien 16 Millionen Datensätze offen im Netz stehen. Besonders betroffen seien Patienten aus den USA. „Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor“, heißt es in dem Bericht weiter.

Dem Vernehmen nach hat es nicht ein einzelnes großes Datenleck gegeben, sondern eine Vielzahl von ungeschützten Servern. Der Experte für Informationssicherheit Dirk Schra­der, habe weltweit mehr als 2.300 Rechner gefunden, auf denen die Datensätze offen la­gen.

Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von IT-Sicherheitsfor­schern darüber informiert und hat die betroffenen Einrichtungen davon in Kenntnis ge­setzt, teilte die Behörde mit. Es lägen keine Erkenntnisse vor, dass die Daten tatsächlich in krimineller Absicht abgeflossen seien.

Bei den Daten handelte es sich oft um Bilder, die von Magnetresonanz­tomogra­phie-Un­ter­suchungen stammen (MRT). Diese Bilder würden von den Geräten auf einen speziellen Server geschickt, berichtete der BR. Das System werde für die Bildarchivierung verwen­det, ein „Picture Archiving and Communication System“ (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landeten auf diesen Servern.

Wir müssen noch stärker alle im Gesundheitswesen dafür sensibi­li­sieren, wie wichtig Datensicherheit ist. Bun­des­ge­sund­heits­mi­nis­ter Jens Spahn

Der Bundesbeauftragte für Datenschutz, Kelber, sprach von einem „verheerenden ersten Eindruck“. Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser be­troffen, sagte Kelber. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.

Bun­des­ge­sund­heits­mi­nis­ter Jens Spahn mahnte höchste Datenschutzvorkehrungen in der gesamten Branche an. „Wir müssen noch stärker alle im Gesundheitswesen dafür sensibi­li­sieren, wie wichtig Datensicherheit ist“, sagte der CDU-Politiker heute. Dies gelte für je­de einzelne Arztpraxis, jede Apotheke, jedes Krankenhaus und für Dienstleister. Dabei sei auch sicherzustellen, dass Server gesichert seien. Dies sei in diesem Fall offenkundig nicht so gewesen und müsse abgestellt werden.

Die Patientenbeauftragte der Bundesregierung hat Krankenhäuser und Arztpraxen zum besseren Schutz von Patientendaten aufgefordert. Der Skandal um ungesicherte Informa­tio­­nen über Patienten lege den Schluss nahe, dass Gesundheitsanbieter „minimale Stan­dards bei der Absicherung ihrer Daten nicht eingehalten“ hätten, erklärte die Beauftragte Claudia Schmidtke. „Das darf nicht sein!“ Patienten hätten „ein Recht darauf, dass ihre Daten bestmöglich vor einem unrechtmäßigen Zugriff Fremder geschützt werden“.

Rufe nach Konsequenzen

Nötig seien nun einheitliche Datenschutzstandards, verschärfte Haftungsregelungen und die Berücksichtigung von Patientenrechten bei der Digitalisierung von Versorgungsleis­tun­gen. Schmidtke forderte alle Akteure im Gesundheitswesen auf, „die Patientenrechte und die Patientensicherheit für das digitale Zeitalter fit zu machen“.

Denn ohne das Vertrauen der Patienten werde es keine Digitalisierung im Gesundheits­we­sen geben – dabei biete die Digitalisierung „immense Vorteile“ im Gesundheitssystem, erklärte die Beauftragte. So könne die Digitalisierung durch neue Erkenntnisse über Krank­heiten oder durch individualisierte Behandlungsoptionen die Patientenversorgung verbessern.

Maria Klein-Schmeink, gesundheitspolitische Sprecherin der Bundestagsfraktion der Grü­nen, verlangte angesichts der Vorfälle, dass dem Schutz der sensiblen Gesundheits­daten eine größere Aufmerksamkeit gewidmet werden müsse. „Datenschutz und Datensicher­heit müssen in unserem Gesundheitswesen so selbstverständlich werden wie Händewa­schen“, sagte sie. Die Fälle müssten jetzt genau aufgeklärt werden.

„Wir müssen wissen, ob es sich um individuelle Fehler oder eine fehlerhafte Soft- oder Hardware handelt. Es muss geprüft werden, ob es bei der Zulassung und Überwachung solcher Medizinprodukte Lücken gibt, die solche Pannen ermöglichen“, erläuterte Klein-Schmeink.

Notwendig sei außerdem, dass die Datenschutzbehörden besser ausgestattet würden, um schnell und vielleicht sogar präventiv auf solche Vorkommnisse reagieren zu können. „Ge­­rade in den sogenannten Primärsystemen in Krankenhäusern liegt noch manches im Argen. Hier sind erhebliche Investitionen nötig. Bund und Länder müssen daher zügig die Investitionsfinanzierung für Krankenhäuser reformieren“, so die Grünen-Politikerin.

Der SPD-Gesundheitspolitiker Karl Lauterbach forderte im SWR hohe Strafen bei Daten­lecks in Krankenhäusern. Die Kliniken müssten ein zertifiziertes Datenschutzkonzept vor­legen. Der Linken-Gesundheitspolitiker Achim Kessler forderte Spahn auf, das Recht der Patienten „auf Schutz ihrer Daten ins Zentrum stellen, statt die Interessen der Digitalkon­zerne durchzusetzen“.

Als Skandal bezeichnet Monika Buchalik, Vizepräsidentin der Lan­des­ärz­te­kam­mer Hessen, das heute publik gewordene, vermutliche Patientendatenleck. Das vermutliche Datenleck sei eine Katastrophe, da es das Vertrauen in den Umgang mit hochsensiblen Patienten­da­ten erschüttere. Zugleich mache es deutlich, dass veraltete digitale Sicherungssysteme schleunigst abgelöst werden müssten bzw. vorhandene, gute digitale Sicherungssysteme auch richtig eingesetzt werden müssen, um die Datensicherheit zu gewährleisten.

Buchalik fordert die Krankenkassen außerdem auf, auch die Kosten für die Sicherungssys­teme zu übernehmen, die in Praxen und Kliniken durch die IT-Anbindung entstehen. Ed­gar Pinkowski, Präsident der Lan­des­ärz­te­kam­mer Hessen und Vorsitzender des Aus­schus­ses „Patientensicherheit“ bei der Bundes­ärzte­kammer, betonte, dass die Digitalisie­rung des Gesundheitswesens und die damit einhergehende Frage der Datensicherheit und des Datenschutzes in der kommenden Dekade eine zentrale Frage der Patientensicherheit sein werde.