DSGVO-Verstoß

Patientendatenklau: Aufsichtsbehörde und Patienten müssen informiert werden

Die finnische Datenschutzbehörde ahndet den Umgang eines privaten Psychotherapieanbieters mit Patientendaten nach einem Hackerangriff mit einem Bußgeld von 600.000 Euro. Details zum Angriff hätten protokolliert werden müssen.

Von Matthias WallenfelsMatthias Wallenfels Veröffentlicht:
Albtraum Cyber-Angriff: Für Gesundheitseinrichtungen kann ein DSGVO-Verstoß teuer werden, wie ein Fall aus Finnland zeigt.

Albtraum Cyber-Angriff: Für Gesundheitseinrichtungen kann ein DSGVO-Verstoß teuer werden, wie ein Fall aus Finnland zeigt.

© solarseven / Getty Images / iStock

Helsinki. Im September 2020 hatte der private finnische Psychotherapieanbieter Psykoterapiakeskus Vastaamo der nationalen Datenschutzbehörde einen Hackerangriff gemeldet, wonach Tausende von Patientendaten gestohlen worden seien. Den Fall hatte damals das Deutsche Psychotherapeuten-Netzwerk zum Anlass genommen, um vor den Gefahren der Telematikinfrastruktur sowie der elektronischen Patientenakte für die Patientendaten in den Praxen zu warnen. Nun ist der inzwischen seit fast einem Jahr insolvente Anbieter von der finnischen Datenschutzbehörde wegen Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) zu einem Bußgeld in Höhe von 608.000 Euro verurteilt worden. Die Forderung sei der anderer Schuldner nachrangig, so die Behörde.

Wie eine technische Untersuchung im Auftrag der Datenschutzbehörde im Oktober 2020 ergab, musste sich der Hacker mindestens zwei Mal im Zeitraum Dezember 2018 bis März 2019 Zugriff auf die Datenbank verschafft haben. Die unternehmensseitig defizitäre Protokollierung habe dazu geführt, dass weder das genaue Datum der Panne noch die vom Hacker genutzten Netzwerkadressen identifiziert werden konnten.

Wie die Datenschutzbehörde anmerkt, hätte Vastaamo unverzüglich die Aufsichtsbehörde sowie auch seine Patienten über den Vorfall informieren müssen.

MySQL-Port der Datenbank als Einfallstor?

Laut der technischen Untersuchung gilt es als am wahrscheinlichsten, dass der Angreifer über einen ungeschützten MySQL-Port der Datenbank, bei dem das Root-Benutzerkonto nicht mit einem Passwort geschützt war, in das System eindringen konnte. Da der betroffene Server zwischen dem 26. November 2017 und dem 13. März 2019 ohne Firewall-Schutz online zugänglich gewesen sei, habe sich der Angreifer mit jeder beliebigen IP-Adresse in der Datenbank anmelden können.

Lesen sie auch

Diesen Sachverhalt wertet die finnische Datenschutzbehörde als Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit seitens Vastaamo. Der Klinikbetreiber hätte es verabsäumt, personenbezogene Daten durch angemessene Maßnahmen vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen.

Anbieter verteidigt sein Handeln

In einer Erklärung auf seiner Unternehmens-Website geht Vastaamo in die Verteidigung und gibt an, aufgrund laufender polizeilicher Ermittlungen keine Erlaubnis gehabt zu haben, früher als zum Zeitpunkt der feindlichen Veröffentlichung im Oktober 2020 an die Öffentlichkeit zu gehen. Man habe, umgehend nach der Kontaktaufnahme durch den Cyber-Erpresser das Finnish National Cyber Security Centre, die Finnish National Supervisory Authority for Welfare and Health (Valvira) sowie die finnische Datenschutzbehörde informiert.

Mehr zum Thema

Kommentar zum Schutz von Praxis-EDV

Datenschutz in der Praxis kein Pappkamerad!

Wichtige Weichenstellung im Jahr 2022?

Forschungsdaten: Datenschutzbeauftragter soll für Harmonie sorgen

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Jetzt anmelden »Kostenlos registrieren »

Die Newsletter der Ärzte Zeitung

» kostenlos und direkt in Ihr Postfach

Am Morgen: Ihr individueller Themenmix

Zum Feierabend: das tagesaktuelle Telegramm

Newsletter bestellen »

Top-Meldungen
Ab September greift die Tarifpflicht zur Bezahlung von Pflege- und Betreuungskräften in Altenheimen und bei ambulanten Pflegediensten. Pflegeeinrichtungen stehen zur Umsetzung drei Optionen offen.

© Sabine Naumann / Fotolia

Bessere Bezahlung

Richtlinien zur Tarifbindung in der Altenpflege genehmigt