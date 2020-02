Durch einen Bedienungsfehler beim Anschalten eines sogenannten Pacs-Servers, der etwa zur Speicherung von Röntgenbildern dient, hat ein Ingolstädter Facharzt in seiner Praxis vor einigen Monaten ungewollt Daten von 7000 Patienten ins Internet gestellt. Am Donnerstag wurde der Rechtsausschuss im Landtag über diesen Vorfall informiert. Zum Glück waren sowohl Cybercrime-Experten der Polizei als auch Mitarbeiter des Landesamtes für Datenschutzaufsicht in Ansbach rasch auf diesen gestoßen. "Wir haben unter Hochdruck gearbeitet", teilten Landesamts-Präsident Michael Will und Vizepräsident Andreas Sachs mit. Die gute Nachricht: Die sensiblen Daten waren nicht von Kriminellen abgegriffen worden, auch hätten Laien sie nicht entdecken können. "Der Arzt war furchtbar erschrocken, er hat sofort den Stecker gezogen und den Rechner freiwillig zu uns nach Ansbach gebracht", sagte Sachs. Ohne Schaden ging auch der Fall aus, bei dem eine bayerische Klinik eine Studie mit Daten von 30 Patienten unbeabsichtigt ins Netz gestellt hatte. So weit die Erkenntnisse, die dem bayerischen Innenministerium zum Thema Gefährdung von Patientendaten vorliegen.

Aber die folgenreichen Hacker-Angriffe auf die Kliniken in Fürstenfeldbruck und in Fürth stehen nach wie vor im Raum. Bereits im September 2019 hatten die Landtagsgrünen angefragt, wie es in Bayern um die Sicherheit von Patientendaten steht. Thomas Petri, der bayerische Landesbeauftragte für den Datenschutz, stellte im Ausschuss klar, dass die relativ glimpflichen Fälle, die nun vorgetragen wurden, nicht von den Gefahren mangelnder Datensicherung ablenken dürfen. "Für die Kliniken würde ich meine Hand nicht ins Feuer legen", sagte Petri, da gebe es gleich mehrere Fälle von Sicherheitsproblemen. Bei zwei Häusern - "ein kleines und mittelgroßes Haus", wie Petri nach der Sitzung sagte - musste er sogar anordnen, welche Sicherheitsmaßnahmen dort umgehend zu treffen sind. "Wenn sie das nicht machen, droht ein Bußgeldverfahren", betonte Petri. Grundproblem sei, dass die Träger der Häuser - das sind in Bayern vor allem die Kommunen - noch nicht genug in die IT-Sicherheit investierten. "Das gehört heute aber zur Basisausstattung", sagte Petri.

Bekanntermaßen kämpfen aber ohnehin viele Kliniken augenblicklich gegen ein Defizit an. "Die haben zu wenig Geld für IT-Sicherheit", ist sich Petri sicher. Wenn dann Krankenhausmanager entscheiden müssten, ob nun ein Diagnosegerät - etwa zur Magnetresonanztomographie (MRT) - angeschafft werde oder ein stattdessen ein zur Datensicherung benötigter Back-up-Server, "dann lautet die Antwort MRT". Klar sei aber auch, alle Kliniken bräuchten endlich "eine IT-Sicherheitsabteilung, die diesen Namen verdient". Doch selbst einzelne große Häuser hielten diese nicht im notwendigen Umfang vor. Die Bayerische Krankenhausgesellschaft erklärte dazu auf Nachfrage: "Die kriegen schlicht und ergreifend kein Personal dafür." Das liege nicht nur an der begrenzten Zahl von Experten, sondern auch daran, dass tarifgebundene Häuser nicht so viel zahlen könnten, wie auf dem freien Markt für IT-Experten geboten wird.