DSGVO-Verstoß
Patientendatenklau: Aufsichtsbehörde und Patienten müssen informiert werden
Die finnische Datenschutzbehörde ahndet den Umgang eines privaten Psychotherapieanbieters mit Patientendaten nach einem Hackerangriff mit einem Bußgeld von 600.000 Euro. Details zum Angriff hätten protokolliert werden müssen.
Veröffentlicht:
Albtraum Cyber-Angriff: Für Gesundheitseinrichtungen kann ein DSGVO-Verstoß teuer werden, wie ein Fall aus Finnland zeigt.
© solarseven / Getty Images / iStock
Helsinki. Im September 2020 hatte der private finnische Psychotherapieanbieter Psykoterapiakeskus Vastaamo der nationalen Datenschutzbehörde einen Hackerangriff gemeldet, wonach Tausende von Patientendaten gestohlen worden seien. Den Fall hatte damals das Deutsche Psychotherapeuten-Netzwerk zum Anlass genommen, um vor den Gefahren der Telematikinfrastruktur sowie der elektronischen Patientenakte für die Patientendaten in den Praxen zu warnen. Nun ist der inzwischen seit fast einem Jahr insolvente Anbieter von der finnischen Datenschutzbehörde wegen Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) zu einem Bußgeld in Höhe von 608.000 Euro verurteilt worden. Die Forderung sei der anderer Schuldner nachrangig, so die Behörde.
Wie eine technische Untersuchung im Auftrag der Datenschutzbehörde im Oktober 2020 ergab, musste sich der Hacker mindestens zwei Mal im Zeitraum Dezember 2018 bis März 2019 Zugriff auf die Datenbank verschafft haben. Die unternehmensseitig defizitäre Protokollierung habe dazu geführt, dass weder das genaue Datum der Panne noch die vom Hacker genutzten Netzwerkadressen identifiziert werden konnten.
Wie die Datenschutzbehörde anmerkt, hätte Vastaamo unverzüglich die Aufsichtsbehörde sowie auch seine Patienten über den Vorfall informieren müssen.
MySQL-Port der Datenbank als Einfallstor?
Laut der technischen Untersuchung gilt es als am wahrscheinlichsten, dass der Angreifer über einen ungeschützten MySQL-Port der Datenbank, bei dem das Root-Benutzerkonto nicht mit einem Passwort geschützt war, in das System eindringen konnte. Da der betroffene Server zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz online zugänglich gewesen sei, habe sich der Angreifer mit jeder beliebigen IP-Adresse in der Datenbank anmelden können.
Kommentar zum Schutz von Praxis-EDV
Datenschutz in der Praxis kein Pappkamerad!
Diesen Sachverhalt wertet die finnische Datenschutzbehörde als Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit seitens Vastaamo. Der Klinikbetreiber hätte es verabsäumt, personenbezogene Daten durch angemessene Maßnahmen vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen.
Anbieter verteidigt sein Handeln
In einer Erklärung auf seiner Unternehmens-Website geht Vastaamo in die Verteidigung und gibt an, aufgrund laufender polizeilicher Ermittlungen keine Erlaubnis gehabt zu haben, früher als zum Zeitpunkt der feindlichen Veröffentlichung im Oktober 2020 an die Öffentlichkeit zu gehen. Man habe, umgehend nach der Kontaktaufnahme durch den Cyber-Erpresser das Finnish National Cyber Security Centre, die Finnish National Supervisory Authority for Welfare and Health (Valvira) sowie die finnische Datenschutzbehörde informiert.
