2500 Patientendaten von psychisch Schwerkranken im Netz

Als potentialer und theoretischer Worst-Case für Datenlecks werden immer Patientendaten, vor allem von psychisch Schwerkranken, in die Diskussion geworfen. Das mit der Theorie können wir vergessen, weil in Schleswig-Holstein rund 2500 Patientendaten von psychisch Schwerkranken anscheinend monatelang im Netz herunterladbar waren. Der Fehler lag bei einem IT-Diensleister.

Das Beispiel kann man wunderbar für Werbemaßnahmen verwenden, um zukünftig mehr sensible Patientendaten in Cloud-Infrastrukturen zu packen. Was kann dabei denn schon passieren?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

28 Ergänzungen

  1. im gegenteil. es sollten mehr* daten gesammelt und ausgelagert werden denn dann sinkt langfristig die quote datenlecks / gesamtbestand

  2. Ich zitiere Leute aus meinen Bekanntenkreis: „Was sollen die schon mit meinen Daten anfangen wollen?“

    Und langsam kommt bei mir das Gefühl auf, weshalb so eine Aufregung um Datenlecks etc. gemacht wird. Es ist den meisten Leuten schlichtweg egal, wer damit was macht, siehe auch diverse Social Networks. Das Bewusstsein kommt erst mit einer Ohrfeige (Social Engineering, Account entführt, etc.). Aber bis dahin: Friede, Freude, Eierkuchen… „Ich habe nichts zu verbergen!“

    1. Ich glaube die meisten Leute können sich gar nicht vorstellen, was man mit ihren Daten machen kann und sind deshalb nicht besorgt.

      Wenn in deiner Wahrnehmung die grösstmöglichen Folgen von Datenlecks der Austausch der Kreditkarte oder das Einprägen neuer Passwörter sind, das ist das nicht sonderlich beunruhigend.
      Fälle wie dieser führen hoffentlich mehr Leuten vor Augen, dass es weit schlimmer kommen kann.

      Dazu passt auch der Kommentar von Thilo Weichert:
      „Wenn diese sensiblen Daten aus dem Internet kopiert wurden und herumgereicht werden sollten, ist der Schaden für die Patienten irreparabel“

      Wir brauchen ein Bewustsein, dass Datenlecks für Betroffene keine einmaligen Unfälle sind, sonder Folgen für Jahrzehnte haben können (hier drängt sich die Analogie zu Lecks in Versuchsendlagern auf).

      Neben der Politik ist aber auch die Justiz gefragt. Ich hoffe, dass die betroffenen Patienten oder ihre Angehörigen zivilrechtlich gegen den Datenbankbetreiber vorgehen.
      Wenn dieser für den entstandenen Schaden haften muss, wird dies ein grosser Ansporn sein, den Umgang mit so sensiblen Daten zu ändern.

      1. Ich würde derartige Daten ohnehin niemals an das Internet anschliessen. Das sind betriebsinterne Daten, die einen ganz besonderen Schutz vor Hackern benötigen und gar nicht erst über das Internet erreichbar sein sollten. Aber nunja, Fehler werden halt überall mal gemacht. Bleibt nur zu hoffen, dass die Beteiligten daraus gelernt haben.

  3. „Zuvor hatten die Lübecker Nachrichten berichtet, dass Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sogar heruntergeladen werden konnten.“

    Und das monatelang? Wtf!?

  4. Ich frage mich ganz ehrlich, warum der Gesetzgeber nicht schon längst geregelt hat, dass solche Systeme physisch nicht mit dem Internet verbunden sein dürfen.
    Gerade bei so sensiblen Geschichten wie Krankendaten muss ein Zugriff über das Internet von Haus aus unmöglich gemacht werden und das geht nur über eine physische Trennung.

    1. Das ist ja fies. Dann können ja die Datenbankverwalter gar kein n0rP mehr anschauen, währen sie die Datenbank verwalten.

      Die armen!

      Außerdem, denk doch an den Komfortverlust der damit einherginge.

    2. Vermutlich, weil der Gesetzgeber daran gar kein Beduerfnis hat.

      Es wird Zeit, dass sich einige Herrschaften der Verantwortung, die ihnen uebertragen wurde, mal wieder bewusst werden.

    3. Und was ist, wenn ich meine Daten aber dennoch in der Cloud gespeichert haben will, damit man eben schneller drankommt und das im Notfall entscheidend sein kann oder ich mir dadurch bessere Zusatzservices erhoffe?

      Wäre daher gegen ein generelles Verbot.

  5. Was machen denn die Krankenakten der Bundesregierung im Netz?

    SCNR

    Ok, ernsthaft. Datensparsamkeit/sicherer Umgang mit Daten in Deutschland ist ein Alptraum. Während dank elektronischem Personalausweis, Krankenkarte, freiem Zugang auf alle Daten durch Finanzämter/Polizeibehörden in Deutschland ein digitales Guantanamo entsteht, regen sich die Datenschützer über Facebook auf. Ich verstehe es nicht und die Datenschützer haben auf ganzer Linie versagt und spielen ein bisschen auf Nebenschauplätzen…

    gruß

  6. Es ging um Krankenakten von „psychisch Schwerkranken“ und denen ist es wahrscheinlich egal.

    Aber sollte man eine Gesellschaft nicht danach einschätzen wie sie mit den schwächsten umgeht?

    Diese Panne konnte durch ein Mausklick verursacht worden sein und das kann jedem Administrator passieren.
    Dieses Beispiel zeigt mal wieder das nur nicht erhobene Daten sicher sind. In diesem Fall mussten sie ja erhoben werden.
    Warum waren die Krankenakten von Politiker nicht betroffen dann würde was passieren.

    1. Wieso sollte es denen egal sein? Mit solchen Aussagen wäre ich sehr vorsichtig. Ist ein „psychisch Schwerkranker“ automatisch total gaga, so dass er nicht in der Lage ist, den Sachverhalt zu vestehen (ihm das nach deiner Aussage „wahrscheinlich egal“ ist)?
      Ich bin kein Mediziner, aber nach meinem Verständnis ist z. B. auch jemand mit einer schweren Depression „psychisch Schwerkrank“. Und wenn ich als solch ein Patient von so einer „Veröffentlichung“ betroffen wäre, dann würde ich… ja was würde ich dann eigentlich machen? Verzweifeln??? Egal wäre es mir ganz bestimmt nicht.

    2. Einspruch: Psychisch Schwerkranken ist das nicht egal. Zum Beispiel mir nicht. Ich gehe zwar offen damit um, aber die Details meiner Karriere, Taten und Äußerungen möchte ich dann auch nicht öffentlich haben!

    3. Wie werden wohl Menschen mit z.B. schwerer Depression oder einer Psychose mit extremer Paranoia darauf reagiern? Ich bin ja sonst nicht so der „Wegsperren!“-Typ, aber hinsichtlich den Verantwortlichen für diesen Skandal fällts mir wirklich schwer, den Wunsch nach Strafe zu unterdrücken…

  7. Da freuen wir uns ja auf die neue Gesundheitskarte. Was mich immer so wundert in diesen Zusammenhängen: Ständig Meldungen über Datenlöcher, Datenpannen und so weiter. Hat hier mal einer was von juristischen Schritten danach gehört? Von Schadensersatzklagen, von irgendeinem Echo der Betroffenen, der Justiz, des Staates?? Genauso dieses Schwarzbuch des Bundes der Steuerzahler. Jedes Jahr diese Pressekonferenz, jedes Jahr ein Buch. So what???? Wer braucht denn Fingerzeiger, wenn danach nichts geschieht? Das macht mich fassungslos und megasauer. Das ist so, als wenn AI jedes Jahr den Bericht in Buchform rausbringt, aber nicht weiter hilft. Bei denen macht man jedoch wenigstens was. Man arbeitet, hilft, versucht zu ändern! Ganz allgemein: Der Fingerzeig alleine auf ein Unfallopfer rettet diesem nicht das Leben.

    Dani

  8. Jammer, heul, jammer, heul sehe ich oben! IHR sollt STRAFANZEIGE erstatten. IHR sollt UNTERLASSUNGSKLAGEN einreichen, IHR sollt SCHADENSERSATZKLAGEN erwirken! Ist das eigentlich so schwer zu verstehen???? Wehrt Euch endlich!

    Dani

  9. Deshalb brauchen wir nun unbedingt die elektronischen Patientenakte. Dann sind nicht nur 2.500 Netz sondern bald alle.
    Hellau im Irrenhaus BRD!!

  10. faszinierend wie wenig selbst die leute hier wissen was so eine veröffentlichung für die betroffenen bedeuten kann. kleiner hinweis: das durchsickern solcher daten kann menschen in gefahr bringen und existenzen zerstören. das ist kein scherz. wir warten drauf das der erste politiker seine karriere beenden muss weil seine/ihre verbindungsdaten ins netz durchgesickert sind.

  11. Oehm. Ich hab eine befreundete Ärztin gefragt, die mehrere Unikliniken und kirchliche Krankenhäuser aus eigener Erfahrung kennt. (*) Die arbeiten da mit e-Mail. Die verschicken Patientendaten, selten auch Daten von bildgebenden Verfahren, per mail. Unverschlüsselt. Aber sie dürfen nicht mal ein Fax benutzen. Weil: wegen Datenschutz.

    1) Kann das jemand bestätigen?
    2) Man beantworte mir bitte folgende Frage: warum machen wir dann uns Sorgen über die Cloud?!?

    Hallo, ich bin durch, kann ich mal Arzt?

    (*) Ich werde hier nicht ausbreiten, wo diese Kliniken liegen. Aber ich werde da dranbleiben und weitere Ärzte befragen.

    1. Ja, habe ich auch so gehört.

      Eine weitere sehr hübsche Geschichte ist der Umgang mit den Labordaten, hat bis jetzt anscheinend noch niemand auf dem Schirm. Die gehen zwischen den Arztpraxen und den Großlabors teilweise unverschlüsselt hin und her. Schöne Stilblüte:

      Der Einfachheit halber empfehlen wir, mit dem Labor die Vereinbarung zu treffen, die Labordaten unverschlüsselt
      zu übertragen. In diesem Fall wird das Kästchen „Labor-DFÜ entschlüsseln“ mit „aus“ belegt, andernfalls mit „an“.

      Wurde auch in einigen Ärztezeitungen schon drauf hingewiesen.

      1. @vera:

        1) Die Links sind Gold. Das Blog des software-Autors gesehen?
        http://praxissoftware.wordpress.com/ – Einträge zum Staatstrojaner, zum ePerso usw…

        2) Zu Lab-Daten: in gleicher Richtung geht das röntgen. Machen z.B. Unikliniken z.T. aus Einsparungsgründen nicht mehr selber. Wenn irgendwas nicht stimmt, darf die behandelnde Ärztin *nicht* schriftlich per fax nachfragen (wg. Datenschutz), aber auf Anruf schickt die Röntgenpraxis das Material! Nu: Festhalten.
        Der Anruf kam zwar aus der Klinik. Aber vom Handy. Und ich würde mich arg wundern, wenn die Röntgenpraxis das trianguliert.

        Warte mal ein paar Wochen, dann bitte ich mal darum, sowas auch mit Blutwerten zu testen. Vielleicht noch auf eine private Mailadresse. Während der Chemo. Auf der Onko. Oder vielleicht mit Parasitenbefund, auf der Gynaäkologie.

        @Markus: liest du hier noch mit?
        Kannst du mal übernehmen und dir Ärzte an Kliniken suchen, die mal einen Gastbeitrag zum Patientendatenschutz schreiben.

        Fun fact: dieses Jahr haben sich etliche Kliniken neue Tastaturen angeschafft. Hab die schon in zweien gesehen und von zwei weiteren gehört: Cherry. Mit eingebautem Kartenleser. Damit man die so-called Gesundheitskarte auslesen kann. Auf die die Ärzte jetzt zwar (schon ausprobiert!) speichern können – aber von der sie nicht lesen können, weil es keine PIN dazu gibt.

  12. @aeon
    Nach Deiner Recherche übergebe bitte die Daten an die Sender. Report und Monitor freuen sich darüber. Sie berichten das!

    Dani

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.