Akten psychisch Kranker im Netz öffentlich
Ein weiterer, schon etwas älterer Artikel aus der Süddeutschen Zeitung von Anfang November, der noch einmal das Thema der Daten psychisch Kranker im Netz thematisiert. Leider ist nicht erwähnt, wie die von Schleswig-Holstein offenbar geplanten schärferen Bestimmungen zur Verhinderung solcher Vorfälle aussehen sollen.
Quelle: http://www.sueddeutsche.de/digital/akten-psychisch-kranker-im-netz-datenschuetzer-warnt-vor-schlamp-firmen-1.1184250
von Jens Schneider
3000 Akten psychisch Kranker im Netz Datenschützer warnt vor Schlamp-Firmen
Medizinische Befunde und psychologische Dokumentationen – über Monate frei im Netz einsehbar: Nach der jüngsten Panne mit Patientendaten plant Schleswig-Holstein schärfere Bestimmungen. Der Datenschutzbeauftragte Thilo Weichert fürchtet weitere Fälle dieser Art.
Es war ein Datenleck, das es so in diesem sensiblen Bereich noch nicht gegeben hat. Mehr als 3000 Datensätze mit Einzelheiten über psychisch Kranken vor allem aus Schleswig-Holstein waren bis vergangenen Donnerstag frei im Internet zugänglich.
Die Ursache war nach den Erkenntnissen des Datenschutzbeauftragten Thilo Weichert „eine Kombination von schwerwiegenden organisatorischen Mängeln“ beim verantwortlichen Unternehmen in Rendsburg.
Die Panne dürfte nach Weicherts Einschätzung „wahrscheinlich nicht der einzige Fall“ dieser Art sein. Der schleswig-holsteinische Datenschützer will deshalb demnächst eine Liste mit Standards vorlegen, an denen sich Einrichtungen orientieren können, die mit solch sensiblen Daten umgehen.
Das betrifft etwa die sichere Verschlüsselung der Datenbanken. Auch müsse klar geregelt und dokumentiert werden, wer auf Daten zugreift. Es gehe darum, bestehende Regeln verantwortungsbewusst umzusetzen.
Datenschützer kontrolliert Unternehmen
Nach Bekanntwerden des Datenlecks hat Weichert zu Wochenbeginn das Rendsburger Unternehmen Brücke und deren Tochterfirma Rebus GmbH kontrolliert, bei der das Leck auftrat.
Die Rebus unterhielt bis zum vergangenen Donnerstag die Datenbank, auf der Betreuer von psychisch Kranken ihre Arbeit dokumentieren konnten. Weichert schließt nicht aus, dass die Datenlücke schon seit Jahren bestand. Wie es heißt, hätte jeder, der den entsprechenden Weg kannte, mit wenigen Schritten über das Internet Einsicht etwa in Arztbriefe von Schwerkranken nehmen können.
Für die Zustände sind laut Weichert bei der Rendsburger Firma mehrere Stellen verantwortlich, „zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind“. Die Verantwortlichen hätten keine aussagekräftigen Dokumente über die Datenverarbeitung vorlegen können.
Keine Qualitätskontrollen
Es habe keine Qualitätskontrollen beim IT-Einsatz gegeben. „Die Sicherheit der Software wurde anscheinend nie ernsthaft hinterfragt.“ Weichert spricht von einem undurchsichtigen Unternehmensgeflecht, „in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten“.
Das Unternehmen war selbst von dem Leck überrascht worden. Klaus Magesching, Vorstand der Brücke, spricht von einem „Super-Gau“. Man nehme die Sache „sehr ernst“. Er widerspricht aber dem Eindruck, dass es keine klaren Organisationsstrukturen gegeben habe.
Die Brücke lasse den Fall jetzt von einer Sicherheitsfirma prüfen. Noch ist unklar, wie viele unbefugte Zugriffe es gab.