DSGVO-Verstoß

Patientendatenklau: Aufsichtsbehörde und Patienten müssen informiert werden

Die finnische Datenschutzbehörde ahndet den Umgang eines privaten Psychotherapieanbieters mit Patientendaten nach einem Hackerangriff mit einem Bußgeld von 600.000 Euro. Details zum Angriff hätten protokolliert werden müssen.

Matthias WallenfelsVon Matthias Wallenfels Veröffentlicht:
Albtraum Cyber-Angriff: Für Gesundheitseinrichtungen kann ein DSGVO-Verstoß teuer werden, wie ein Fall aus Finnland zeigt.

Albtraum Cyber-Angriff: Für Gesundheitseinrichtungen kann ein DSGVO-Verstoß teuer werden, wie ein Fall aus Finnland zeigt.

© solarseven / Getty Images / iStock

Helsinki. Im September 2020 hatte der private finnische Psychotherapieanbieter Psykoterapiakeskus Vastaamo der nationalen Datenschutzbehörde einen Hackerangriff gemeldet, wonach Tausende von Patientendaten gestohlen worden seien. Den Fall hatte damals das Deutsche Psychotherapeuten-Netzwerk zum Anlass genommen, um vor den Gefahren der Telematikinfrastruktur sowie der elektronischen Patientenakte für die Patientendaten in den Praxen zu warnen. Nun ist der inzwischen seit fast einem Jahr insolvente Anbieter von der finnischen Datenschutzbehörde wegen Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) zu einem Bußgeld in Höhe von 608.000 Euro verurteilt worden. Die Forderung sei der anderer Schuldner nachrangig, so die Behörde.

Wie eine technische Untersuchung im Auftrag der Datenschutzbehörde im Oktober 2020 ergab, musste sich der Hacker mindestens zwei Mal im Zeitraum Dezember 2018 bis März 2019 Zugriff auf die Datenbank verschafft haben. Die unternehmensseitig defizitäre Protokollierung habe dazu geführt, dass weder das genaue Datum der Panne noch die vom Hacker genutzten Netzwerkadressen identifiziert werden konnten.

Wie die Datenschutzbehörde anmerkt, hätte Vastaamo unverzüglich die Aufsichtsbehörde sowie auch seine Patienten über den Vorfall informieren müssen.

MySQL-Port der Datenbank als Einfallstor?

Laut der technischen Untersuchung gilt es als am wahrscheinlichsten, dass der Angreifer über einen ungeschützten MySQL-Port der Datenbank, bei dem das Root-Benutzerkonto nicht mit einem Passwort geschützt war, in das System eindringen konnte. Da der betroffene Server zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz online zugänglich gewesen sei, habe sich der Angreifer mit jeder beliebigen IP-Adresse in der Datenbank anmelden können.

Lesen sie auch

Diesen Sachverhalt wertet die finnische Datenschutzbehörde als Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit seitens Vastaamo. Der Klinikbetreiber hätte es verabsäumt, personenbezogene Daten durch angemessene Maßnahmen vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen.

Anbieter verteidigt sein Handeln

In einer Erklärung auf seiner Unternehmens-Website geht Vastaamo in die Verteidigung und gibt an, aufgrund laufender polizeilicher Ermittlungen keine Erlaubnis gehabt zu haben, früher als zum Zeitpunkt der feindlichen Veröffentlichung im Oktober 2020 an die Öffentlichkeit zu gehen. Man habe, umgehend nach der Kontaktaufnahme durch den Cyber-Erpresser das Finnish National Cyber Security Centre, die Finnish National Supervisory Authority for Welfare and Health (Valvira) sowie die finnische Datenschutzbehörde informiert.

Mehr zum Thema
Das könnte Sie auch interessieren
Wie patientenzentriert ist unser Gesundheitssystem?

© Janssen-Cilag GmbH

Video

Wie patientenzentriert ist unser Gesundheitssystem?

Höhen- oder Sturzflug?

© oatawa / stock.adobe.com

Zukunft Gesundheitswesen

Höhen- oder Sturzflug?

Patientenzentrierte Versorgung dank ePA & Co?

© MQ-Illustrations / stock.adobe.com

Digitalisierung

Patientenzentrierte Versorgung dank ePA & Co?

Verschiedene Gesichter

© Robert Kneschke / stock.adobe.com / generated with AI

Seltene Erkrankungen

GestaltMatcher – Per Gesichtsanalyse zur Orphan Disease-Diagnose

Künstliche Intelligenz gilt auch in der Medizin als Schlüsseltechnologie, mit deren Hilfe zum Beispiel onkologische Erkrankungen stärker personalisiert adressiert werden könnten.

© Kanisorn / stock.adobe.com

EFI-Jahresgutachten 2024 übergeben

KI: Harter Wettbewerb auch in der Medizin

Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Weniger Rezidive

Hustenstiller lindert Agitation bei Alzheimer

Lesetipps
Experten fordern von Bund und Ländern verbindliche Vorgaben für die Kooperation von Rettungsleitstellen (Bild) und ärztlichem Bereitschaftsdienst.

© Heiko Rebsch / dpa / picture alliance

Reform des Rettungsdienstes

Bereitschaftsdienst und Rettungsleitstellen sollen eng aneinanderrücken

Die Gesundheitsversorgung der Bevölkerung steht in vielen Ländern vor großen Herausforderungen. Ein Arzt aus Israel fordert deshalb mehr Zusammenarbeit.

© Vladislav / stock.adobe.com

Weiterentwicklung der Versorgung

Experte: Bei der Transformation international die Kräfte bündeln!

KBV-Chef Dr. Andreas Gassen forderte am Mittwoch beim Gesundheitskongress des Westens unter anderem, die dringend notwendige Entbudgetierung der niedergelassenen Haus- und Fachärzte müsse von einer „intelligenten“ Gebührenordnung flankiert werden.

© WISO/Schmidt-Dominé

Gesundheitskongress des Westens

KBV-Chef Gassen fordert: Vergütungsreform muss die Patienten einbeziehen