Tausende Patientendaten abrufbar: Datenschützer prüfen Leck

Tausende hochsensible Daten psychisch kranker Patienten waren im Internet abrufbar. Datenschützer untersuchen nun wie die Dokumente der Consultingfirma Rebus dorthin kamen.

Übersicht über den Kabelsalat verloren? Wie schafften es die Daten in die Öffentlichkeit? Bild: dapd

KIEL/RENDSBURG dpa | Schleswig-Holsteins Datenschützer Thilo Weichert versucht zu klären, wie tausende hochsensible Daten psychisch kranker Patienten ins Internet gelangen konnten.

Das Prüfteam des Unabhängigen Landeszentrums für Datenschutz (ULD) werde am Montag den verantwortlichen Internet-Dienstleister, die Rebus Consulting- und Verwaltungs GmbH in Rendsburg, aufsuchen, sagte Weichert. Es gehe dabei um Ermittlungs- und Sicherungsmaßnahmen sowie die Klärung, ob rechtswidriges Verhalten vorliege.

Am Donnerstag war das laut Weichert in Schleswig-Holstein bislang größte Datenleck im Gesundheitsbereich bekanntgeworden. Sollten bei der Prüfung strafrechtlich relevante Aspekte auftauchen, werde das ULD Strafantrag stellen und die Staatsanwaltschaft informieren. Derzeit gebe es aber keinerlei Hinweise, dass die Daten vorsätzlich ins Internet gestellt wurden, sagte Weichert. Als mögliche Sanktionen können die Datenschützer ein Bußgeld verhängen oder eine Unterlassungserklärung verlangen.

Die Rebus Consulting- und Verwaltungs GmbH, ein Tochterunternehmen der Brücke-Gruppe, ist als Dienstleister für Träger sozialer Einrichtungen tätig. Das Sozial- und Therapiezentrum Brücke in Rendsburg war auch am stärksten von dem Datenleck betroffen. Laut Weichert wurden dem ULD 2.500 ins Internet gestellte Patienten-Datensätze zur Sicherstellung übermittelt, dann sei die Übermittlung abgebrochen.

Nach Angaben der Lübecker Nachrichten, die Weichert über den Daten-Skandal informiert hatten, konnten insgesamt 3.593 Dokumente der Brücke im Internet abgerufen werden. Dabei handle es sich um Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen. Laut Weichert waren die Daten bis nachmittags am Donnerstag im Internet abrufbar.

Betroffen von dem Datenleck ist auch eine Psychiatrie-Einrichtung im baden-württembergischen Winnenden. 162 Patienten-Dokumente dieser Einrichtung seien ins Internet gelangt, sagte Weichert.

Welche Rolle spielte der Subunternehmer?

Nach bisherigen Erkenntnissen Weicherts wurden die Datensätze bei Rebus eingescannt und von einem Subunternehmer im niedersächsischen Bad Gandersheim gehostet, also auf einem Rechner gelagert. Wie die Daten dann ins Internet gelangten, sei noch ungeklärt. "Wie lange dieses Leck bestanden hat, wissen wir noch nicht", sagte Weichert. Laut Lübecker Nachrichten sollen die Daten offenbar monatelang einsehbar gewesen sein.

Rebus-Geschäftsführerin Heike Rullmann betonte am Freitag, dass die Dokumente nicht über eine Webseite hätten abgerufen werden können, allerdings übers Internet, "wenn man den genauen Weg wusste". Nach ihren Angaben wurde Rebus von den Lübecker Nachrichten informiert.

Daraufhin habe man den Server in Bad Gandersheim stillgelegt. Laut Rullmann waren nicht die besonders sensiblen Daten zur Pflege öffentlich zugänglich, also nicht das Herzstück der Datenbank, sondern Begleitdokumente wie ärztliche Notwendigkeitsbescheinigungen. Laut Rullmann stellen Pflegekräfte extern Daten über ihre Arbeit in die Datenbank.

"Wir haben bislang keine Erklärung, wie das Leck passieren konnte", sagte Rullmann. Jetzt wolle das Unternehmen den Vorfall mit Hilfe der Datenschützer aufklären. Das Unternehmen betreibt Datenbanken für mehrere soziale Dienste und Behörden in ganz Deutschland.