Rebus-Fall: Patientenakten seit Jahren im Netz?

Wer trägt Schuld am Rebus-Patientendatenleck im Norden? Tausende sensible Informationen waren im Internet zu sehen. Die bange Frage: Wie lange schon?Jetzt knöpft sich Schleswig-Holsteins oberster Datenschützer den vermeintlichen Verursacher vor.

Veröffentlicht:
Datenschützer Weichert: Undurchsichtiges Unternehmensgeflecht.

Datenschützer Weichert: Undurchsichtiges Unternehmensgeflecht.

© dpa

KIEL (di). Vernichtende Kritik der Datenschützer, aber vorerst keine Gefahr weiterer Datenlecks: Nachdem über 3500 Datensätze über psychisch kranke Menschen im Internet abrufbar waren, arbeitet man beim Dienstleister Rebus in Rendsburg an einer Bestandaufnahme - begleitet von massiver Kritik.

"Aktuell besteht - soweit für uns ersichtlich - keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet", sagte Schleswig-Holsteins oberster Datenschützer Thilo Weichert nach einem Kontrollbesuch des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bei Rebus.

Das in die Kritik geratene Unternehmen zählt zur Brücke-Gruppe, einem Träger sozialer Einrichtungen in Schleswig-Holstein, und ist als Dienstleister auch für andere Träger in diesem Bereich tätig.

Mängel an der Organisation

Nach Meinung des ULD haben organisatorische Mängel das Datenleck beim Dienstleister ermöglicht. Es waren rund 3600 Datensätze über Patienten mit psychischen Problemen für einen noch nicht bekannten Zeitraum im Internet einsehbar.

Als Fehler zählte das ULD unklar geregelte Arbeitsverhältnisse und Verantwortlichkeiten, fehlende Dokumente sowie nicht stattgefundene Qualitätskontrollen beim IT-Einsatz des Unternehmens auf.

"Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde. Es ist nicht auszuschließen, dass die zutage getretene Datenlücke schon seit Jahren bestand", teilte das ULD nach der Kontrolle durch drei Datenschützer mit.

Naturwüchsig und handgestrickt

Nach ihrer Einschätzung hatte keiner der auf Unternehmensseite an der Prüfung beteiligten Personen einen Überblick über die Verarbeitung der Daten der psychisch Kranken.

Weichert verpflichtete Rebus, innerhalb einer kurzen Frist Dokumente vorzulegen, die Auskunft über die bestehenden Strukturen geben.

"Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten", sagte Weichert.

Unzureichende Verschlüsselung?

Über Sanktionen soll erst nach einer umfassenden Bestandsaufnahme entschieden werden. Selbsthilfeverbände denken bereits über Schadensersatzforderungen nach.

Dr. Franz-Joseph Bartmann, Präsident der Ärztekammer Schleswig-Holstein und Vorsitzender des Ausschusses Telematik der Bundesärztekammer, hat Rückschlüsse aus dem aktuellen Fall auf die Datensicherheit der elektronischen Gesundheitskarte zurückgewiesen.

Er verwies darauf, dass die Verschlüsselungstechnologie der eGK im Rebus-Fall nicht eingesetzt wurde. Zielsetzung des eGK-Projekts sei unter anderem, genau solche Datenpannen zu verhindern.

Lesen Sie dazu auch den Kommentar: Datenschutz muss Chefsache sein

Mehr zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Leitartikel zum MFA-Tarif

Nicht auf Palliativstation

Lesetipps
Verschiedene Gesichter

© Robert Kneschke / stock.adobe.com / generated with AI

Tag der Seltenen Erkrankungen

GestaltMatcher – Per Gesichtsanalyse zur Orphan Disease-Diagnose

Eine Koloskopie

© Kzenon / stock.adobe.com

Nutzen-Risiko-Evaluation

Familiär gehäufter Darmkrebs: Screening ab 30 sinnvoll