Süddeutsche Zeitung

3000 Akten psychisch Kranker im Netz:Datenschützer warnt vor Schlamp-Firmen

Medizinische Befunde und psychologische Dokumentationen - über Monate frei im Netz einsehbar: Nach der jüngsten Panne mit Patientendaten plant Schleswig-Holstein schärfere Bestimmungen. Der Datenschutzbeauftragte Thilo Weichert fürchtet weitere Fälle dieser Art.

Es war ein Datenleck, das es so in diesem sensiblen Bereich noch nicht gegeben hat. Mehr als 3000 Datensätze mit Einzelheiten über psychisch Kranken vor allem aus Schleswig-Holstein waren bis vergangenen Donnerstag frei im Internet zugänglich.

Die Ursache war nach den Erkenntnissen des Datenschutzbeauftragten Thilo Weichert "eine Kombination von schwerwiegenden organisatorischen Mängeln" beim verantwortlichen Unternehmen in Rendsburg.

Die Panne dürfte nach Weicherts Einschätzung "wahrscheinlich nicht der einzige Fall" dieser Art sein. Der schleswig-holsteinische Datenschützer will deshalb demnächst eine Liste mit Standards vorlegen, an denen sich Einrichtungen orientieren können, die mit solch sensiblen Daten umgehen.

Das betrifft etwa die sichere Verschlüsselung der Datenbanken. Auch müsse klar geregelt und dokumentiert werden, wer auf Daten zugreift. Es gehe darum, bestehende Regeln verantwortungsbewusst umzusetzen.

Datenschützer kontrolliert Unternehmen

Nach Bekanntwerden des Datenlecks hat Weichert zu Wochenbeginn das Rendsburger Unternehmen Brücke und deren Tochterfirma Rebus GmbH kontrolliert, bei der das Leck auftrat.

Die Rebus unterhielt bis zum vergangenen Donnerstag die Datenbank, auf der Betreuer von psychisch Kranken ihre Arbeit dokumentieren konnten. Weichert schließt nicht aus, dass die Datenlücke schon seit Jahren bestand. Wie es heißt, hätte jeder, der den entsprechenden Weg kannte, mit wenigen Schritten über das Internet Einsicht etwa in Arztbriefe von Schwerkranken nehmen können.

Für die Zustände sind laut Weichert bei der Rendsburger Firma mehrere Stellen verantwortlich, "zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind". Die Verantwortlichen hätten keine aussagekräftigen Dokumente über die Datenverarbeitung vorlegen können.

Keine Qualitätskontrollen

Es habe keine Qualitätskontrollen beim IT-Einsatz gegeben. "Die Sicherheit der Software wurde anscheinend nie ernsthaft hinterfragt." Weichert spricht von einem undurchsichtigen Unternehmensgeflecht, "in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten".

Das Unternehmen war selbst von dem Leck überrascht worden. Klaus Magesching, Vorstand der Brücke, spricht von einem "Super-Gau". Man nehme die Sache "sehr ernst". Er widerspricht aber dem Eindruck, dass es keine klaren Organisationsstrukturen gegeben habe.

Die Brücke lasse den Fall jetzt von einer Sicherheitsfirma prüfen. Noch ist unklar, wie viele unbefugte Zugriffe es gab.

Bestens informiert mit SZ Plus – 14 Tage kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1184250
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 09.11.2011/joku
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.