Rebus-Fall: Patientenakten seit Jahren im Netz?
Wer trägt Schuld am Rebus-Patientendatenleck im Norden? Tausende sensible Informationen waren im Internet zu sehen. Die bange Frage: Wie lange schon?Jetzt knöpft sich Schleswig-Holsteins oberster Datenschützer den vermeintlichen Verursacher vor.
Veröffentlicht:KIEL (di). Vernichtende Kritik der Datenschützer, aber vorerst keine Gefahr weiterer Datenlecks: Nachdem über 3500 Datensätze über psychisch kranke Menschen im Internet abrufbar waren, arbeitet man beim Dienstleister Rebus in Rendsburg an einer Bestandaufnahme - begleitet von massiver Kritik.
"Aktuell besteht - soweit für uns ersichtlich - keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet", sagte Schleswig-Holsteins oberster Datenschützer Thilo Weichert nach einem Kontrollbesuch des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bei Rebus.
Das in die Kritik geratene Unternehmen zählt zur Brücke-Gruppe, einem Träger sozialer Einrichtungen in Schleswig-Holstein, und ist als Dienstleister auch für andere Träger in diesem Bereich tätig.
Mängel an der Organisation
Nach Meinung des ULD haben organisatorische Mängel das Datenleck beim Dienstleister ermöglicht. Es waren rund 3600 Datensätze über Patienten mit psychischen Problemen für einen noch nicht bekannten Zeitraum im Internet einsehbar.
Als Fehler zählte das ULD unklar geregelte Arbeitsverhältnisse und Verantwortlichkeiten, fehlende Dokumente sowie nicht stattgefundene Qualitätskontrollen beim IT-Einsatz des Unternehmens auf.
"Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde. Es ist nicht auszuschließen, dass die zutage getretene Datenlücke schon seit Jahren bestand", teilte das ULD nach der Kontrolle durch drei Datenschützer mit.
Naturwüchsig und handgestrickt
Nach ihrer Einschätzung hatte keiner der auf Unternehmensseite an der Prüfung beteiligten Personen einen Überblick über die Verarbeitung der Daten der psychisch Kranken.
Weichert verpflichtete Rebus, innerhalb einer kurzen Frist Dokumente vorzulegen, die Auskunft über die bestehenden Strukturen geben.
"Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten", sagte Weichert.
Unzureichende Verschlüsselung?
Über Sanktionen soll erst nach einer umfassenden Bestandsaufnahme entschieden werden. Selbsthilfeverbände denken bereits über Schadensersatzforderungen nach.
Dr. Franz-Joseph Bartmann, Präsident der Ärztekammer Schleswig-Holstein und Vorsitzender des Ausschusses Telematik der Bundesärztekammer, hat Rückschlüsse aus dem aktuellen Fall auf die Datensicherheit der elektronischen Gesundheitskarte zurückgewiesen.
Er verwies darauf, dass die Verschlüsselungstechnologie der eGK im Rebus-Fall nicht eingesetzt wurde. Zielsetzung des eGK-Projekts sei unter anderem, genau solche Datenpannen zu verhindern.
Lesen Sie dazu auch den Kommentar: Datenschutz muss Chefsache sein