Patientendaten im Internet auffindbar: Skandal, aber über Dienstleister nicht strafbar

Das EU-Recht sieht vor, dass es nicht strafbar sei, wenn ein Geschäfts-Dienstleister seine Plattform zur Verfügung stelle, damit dort ein anderes Unternehmen sensible Daten hochladen kann, diese sensiblen Daten aber dann über diese Webseite zu einem späteren Zeitpunkt öffentlich über das Internet abrufbar sind. Der Grund für diese öffentliche Abrufbarkeit spielt dabei juristisch keine Rolle.

So geschehen bei einer Hamburger Webseite, die als Dienstleistung anbietet, dass Unternehmen dort PDFs und Dokumente auf Viren überprüfen lassen können:

• Ein Madrider Mitarbeiter des französischen Immobilienhändlers BNP Paribas, eine auch in Deutschland aktive Großbank, hatte den kompletten Kreditantrag eines Deutschen auf dieser Hamburger Webseite, eine Art PDF-Virenscanner, hochgeladen.
• Er hatte überprüfen wollen, ob auf dem Kreditantrag möglicherweise Viren seien.
• Erhalten hatte der Mitarbeiter der BNP Paribas die Anfrage auf einen Immobilienkredit über eine deutsche Kreditvergleichsplattform, wovon es im Internet zu Hauf gibt.
• Bekannt sind Webseiten wie finanzcheck.de, Check24 oder finanzscout24.
• Sie alle bieten Kreditrechner an, über welche Verbraucher mittels Dateneingabe bei Banken Kreditanfragen, auch Immoblienkreditanfragen, automatisiert auslösen können.

Die Preisvergleichsplattformen senden die nicht unterschriebenen Kreditanfragen dann in Form von individuell ausgestellten PDFs an Banken – eben an Banken wie die BNP Paribas.

Dass dann solche Kreditanfragen in Deutschland plötzlich in Madrid bei Mitarbeitern von Banken auftauchen, ist den meisten Verbrauchern wohl eher nicht klar. Datenschutz? Ein weites Feld.

So einfach entziehen sich Webseiten dem Datenschutz – geschützt durch EU-Recht und Gerichte

In einem hier bekannten Fall hatte ein Betroffener, ein Berliner Akademiker, beim Googeln nicht schlecht gestaunt, als er im Internet auf dem Virus-Dienstleister öffentlich einsehbar seine komplette original Kreditanfrage sah:

• Er sah seinen Namen, die Höhe des gewünschten Immoblienkredits, seine Gehaltsangaben, seine private Adresse – faktisch alles, die gesamten sensibelsten Daten.
• Daraufhin beauftragte er einen bekannten Berliner Medienanwalt mit Schwerpunkt Presserecht, Internetrecht, aber auch Wettbewerbsrecht: Jörg Thomas von der Berliner Kanzlei Rosenberger & Koch mit der Prüfung des Falls. Er sah sich in seinen Persönlichkeitsrechten massiv verletzt.

Zwar stand von Anfang an fest, dass eine Klage gegen die PDF-Virenscanwebseite schwierig würde. Die Erfolgsaussichten standen nur bei 50 zu 50 Prozent.

Dennoch wurde auf Wunsch des Klienten ein Antrag auf eine Einstweilige Verfügung beim Landgericht Hamburg gestellt.

• Die dortige Richterin lehnte eine Strafe ab und halste dem Datenopfer auch noch die Kosten auf.
• Ihre Begründung: Es sei auch bei sensibelsten persönlichen Daten nicht strafbar, diese auf der eigenen Webseite zu veröffentlichen, solange man diese nicht selber hochgeladen habe.
• Man müsse solche Daten als Dienstleister lediglich umgehend innerhalb von 24 Stunden öffentlich entfernen, sobald man Kenntnis von der Unrechtmäßigkeit der Veröffentlichung erhalten habe.
• Dass die Webseite selber für das Datenleak durch mangelnde Datensicherheit verantwortlich sei, spiele keinerlei Rolle.
• Deshalb sei es auch nicht strafbar, dass in diesem Fall die Webseite den kompletten Kreditantrag öffentlich über Google auffindbar über Monate im öffentlichen Internet belassen habe.

Das Opfer war entsprechend über ein solches Gerichtsurteil sauer. Doch das dürfte künftig kein Einzelfall sein.

Jetzt wurde bekannt, dass ein Dienstleister, der Ärzten und Krankenhäusern anscheinend anbietet, dass dort Röntgenbilder hochgeladen und ausgewertet werden, Tausende solcher Röntgenaufnahmen weitgehend ungesichert auf seiner Webseite hochladen habe lassen.

• Auch diese Tausenden privatesten Krankheitsdokumente seien öffentlich unter Angabe der Namen der Kranken, auffindbar gewesen.

Es waren bildliche private Diagnosen rund um Brustkrebsscreenings, Wirbelsäulenbilder, Herzschrittmacher.

Der Bayerische Rundfunk (BR) hatte den Skandal nun gemeinsam mit der US-Investigativplattform ProPublica öffentlich gemacht.

• Betroffen waren aber nicht nur Deutsche, sondern alleine in der Schweiz seien 1500 Patienten betroffen, deren Krankenakten im Netz so auffindbar gewesen seien. So schreibt das Portal watson.ch:

„In der Schweiz sind laut einem Bericht der Greenbone Networks GmbH zwei Systeme mit 1500 Datensätzen von Patientinnen und Patienten und insgesamt 197’000 Bilder betroffen.“[i]

In Deutschland könnten es Zehntausende Patientendaten sein.

Greenbone Networks wurde nach eigenen Angaben im Jahr 2008 gegründet. Das Unternehmen hat als Geschäftsschwerpunkt die Netzwerksicherheit sowie Freie Software. Sitz des privaten Unternehmens ist Osnabrück.

Greenbone Networks hatte zwischen Juli und September 2019 eine Analyse von rund 2300 mit dem Internet verbundene Bildarchivierungssysteme (PACS) durchgeführt.

Dabei hätten dann, so der BR und ProPublica, die Osnabrücker Sicherheitsexperten festgestellt, wonach mehrere hundert Systeme weltweit ohne jegliche Art von Schutz der gespeicherten privaten Daten diese weitgehend öffentlich abrufbar belassen hätten.

“Ein nicht unerheblicher Teil dieser Systeme erlaube auch den Zugriff auf einzelne Bilddaten eines beliebigen Patienten, hieß es im Bericht. Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst”, schreibt watson weiter.

Auf dem Schwarzmarkt, auch im Dark Net, seien solche Datensätze über eine Milliarde Euro wert.

Insgesamt hatte der Datensicherheits-Spezialist Greenbone 590 Archivsysteme weltweit gescreent und festgestellt, dass Millionen privater Daten weitgehend ungesichert waren:

• Rund 24,5 Millionen privateste Datensätze seien deshalb preisgegeben worden.
• Insgesamt seien 737 Millionen Patientendaten von dem mangelnden Datenschutz betroffen, wovon 400 Millionen frei einsehbar gewesen seien.

„39 Systeme erlauben via unverschlüsseltem Webviewer – ohne jeglichen Schutz – Zugriff auf Patientendaten.“ Betroffen seien 52 Länder weltweit.

Doch auch für solche Dienstleister dürfte gelten: Patienten, deren Daten dort von Krankenhäusern, Krankenschwester und -Pflegern oder Ärzten hochgeladen wurden, haben kaum eine Chance sich zu wehren.

Denn es genügt, wenn solche Archiv-Dienstleister nachlässig gesicherte Daten nach Bekanntwerden einfach schnell wieder vom Netz nehmen.

Die Mär vom Datenschutz bei Gesundheitskarten

Dass in der Zwischenzeit vielleicht eigentlich Unbefugte die privaten Gesundheits- oder Krankendaten längst entwendet haben, spielt dann keine Rolle. Haftbar ist eine solche Webseite laut EU-Datenschutzrichtlinie dafür nicht.

Deshalb: Auch wenn deutsche Politiker gerne davon erzählt, die Gesundheitskarten der Krankenkassen seien datenschutzrechtlich angeblich sicher:

Man sieht einmal mehr: Alles, was Ärzte oder Krankenhäuser irgendwo digital abspeichern, insbesondere, wenn sie es an Dienstleister übergeben, ist natürlich nicht sicher.

Einzelnachweise

[i] Globale Datenpanne: Millionen hochsensible Patientendaten ungeschützt im Netz. Sensible medizinische Daten von Millionen Patienten waren jahrelang ungesichert im Netz gespeichert. Weltweit sind über 24 Millionen Patientendaten betroffen. Es geht unter anderem um Röntgenbilder und MRT-Aufnahmen. Ob Schweizer betroffen sind, ist noch unklar, in: watson.ch vom 17.9.2019. Abgerufen am 18.9.2019.