Datenpannen und Datenlecks im Gesundheitswesen in Deutschland – eine (unvollständige) Übersicht
In der nachfolgenden Übersicht sind insgesamt 25 Fälle von Datenpannen, Datenlecks und Mal- bzw. Ransomware-Angriffen aufgelistet, die Krankenhäuser und Arztpraxen in Deutschland in den Jahren seit 2015 betrafen. Vermutlich ist diese Auflistung unvollständig. Hinweise auf weitere Vorfälle nimmt die Redaktion dieser Homepage gern entgegen. Nachricht bitte per Mail an kontakt [at] ddrm.de oder durch Nutzung der Kommentarfunktion.
- BerufsgenossenschaftlichesKlinikum Boberg in Hamburg: BILD meldet am 06.03.2021: „Am 22. Januar informierte ein Mitarbeiter das Krankenhaus, dass ihm vier Tage zuvor sein Rucksack gestohlen worden sei. Darin befand sich ein dienstlicher USB-Stick. Darauf eine Excel-Tabelle mit Namen von Behandelten, der Fallnummer, der Station, dem Entlassungsdatum, der Diagnose oder Art der Versorgung.“Wie in nahezu allen Fällen von Datenlecks und Datenpannen im Gesundheitswesen in Deutschland: Auf der Homepage der BG Klinikum Hamburg gGmbH sind Antworten auf notwendige Fragen nicht zu finden.
- Die Süddeutsche Zeitung berichtet am 15.02.2021: „Die Urologische Klinik München Planegg(UKMP) und ihre Patienten sind vor Kurzem Opfer eines Hackerangriffs geworden. Das geht aus einem Informationsschreiben hervor, das die Klinik Anfang Februar an Patientinnen und Patienten verschickte… Auf eine Anfrage… reagierte die Klinikleitung bis zum Wochenende nicht. Die Generalstaatsanwaltschaft Bamberg bestätigte jedoch den Angriff… Nach allem, was bisher bekannt ist, haben Erpresser die Klinik angegriffen, möglicherweise auch weitere Institutionen…“
- “Das Universitätsklinikum Ulm hat dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg am 19.01.2021 den Verlust und das Wiederauffinden eines unverschlüsselten USB-Sticks mit Patientendaten gemeldet. Der USB-Stick wurde an einer Klinik im Stuttgarter Raum entdeckt und an das UKU zurückgegeben. Bei dem darauf gespeicherten Material handelt es sich um Daten von bis zu 7.000 Parodontitis-Patient*innen der Klinik für Zahnerhaltungskunde und Parodontologie sowie niedergelassener Zahnarztpraxen… Der verantwortliche Mitarbeiter hatte die Daten nach eigener Aussage sichten wollen, um zu klären, ob diese eventuell für eine Studie nutzbar sein könnten.” Das ist einer Pressemitteilung der Uniklinik Ulm vom 05.02.2021 zu entnehmen.
- Auf seinem Streifzug durch sogenannte “Lost Places” (Vergessene Orte) hat ein Youtuber im heruntergekommenen St. Nikolaus-Hospital in Büren tausende Krankenakten und Röntgenbilder gefunden. Alle Personendaten lagen dort offen und ganze Krankengeschichten waren nachzulesen. Das berichtet dieNeue Westfälische am 30.05.2020. Das ehemalige Krankenhaus im Kreis Paderborn sei seit zehn Jahren geschlossen, habe mehrfach den Besitzer gewechselt und gammele langsam vor sich hin. Obwohl eigentlich ein Sicherheitsdienst für die Immobilie zuständig sei, seien die Türen nicht verschlossen und der Zutritt problemlos möglich. Mittlerweile sei das Gebäude nach Angaben der Stadt abgesperrt und ein Ermittlungsverfahren wurde eingeleitet.
- Das baden-württembergische Innenministerium und die Polizei nutzen nach eigenen Angaben Listen mit persönlichen Daten von Corona-Patienten, die ihnen von Gesundheitsämtern übermittelt werden. In einem Bericht des SWR wird ein Vertreter des Innenministeriums zitiert mit der Aussage, dass die Informationsweitergabe der Gesundheitsämter erfolge “indem das einzelne Gesundheitsamt dem Polizeipräsidium, das für den Stadt- oder Landkreis zuständig ist, Daten über die Infizierten regelmäßig übermittelt.” Und weiter: “Wenn die Polizei beispielsweise zu einem Verkehrsunfall gerufen wird, kann sie so überprüfen, ob der Betroffene infiziert ist.” So könne sie vorab konkrete Schutzmaßnahmen ergreifen.
- Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg sind jahrelang leicht zugänglich gewesen, darunter auch sensible Gesundheitsinformationen von Patienten. In zwei Pressemitteilungen des DRK Landesverbands Brandenburg vom 04.02.2020 und vom 05.02.2020 wird das große Ausmaß dieses Datenlecks deutlich.
- Die Süddeutsche Zeitung meldet am 13.12.2019: „Wegen einer Hacker-Attacke auf das IT-System des Klinikums in Fürth ist der Betrieb stark eingeschränkt worden. Seit Freitagvormittag seien vorerst keine Patienten mehr aufgenommen worden, teilte das Krankenhaus mit… Das Computervirus ist nach erster Einschätzung der Klinik per E-Mail in die Computersysteme eingedrungen. Die Internetverbindung des Klinikums sei vorsorglich gekappt worden…“
- Aus dem Auguste-Viktoria-Klinikum in Berlin-Schöneberg „ist bei einem Einbruch am 19./20. November 2019 aus einem verschlossenen Dienstraum der Klinik für Urologie… eine externe Festplatte gestohlen worden.“ Diese sei nach Mitteilung des Vivantes-Krankenhaus-Konzerns vom am 27.01.2020 „mit einem Passwort gegen unberechtigten Zugriff geschützt…“ Auf der gestohlenen Festplatte befanden sich „Sicherungskopien…die rund 18.000 Datensätze von Patientinnen und Patienten betreffen… Bei den Daten handelt es sich meist um Identitätsdaten (Name, Adresse, Geburtsdatum), zum Teil auch um Informationen zu Diagnose und/oder Krankheitsbild.“
- „Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden.“ Das berichtet der Bayrische Rundfunk am 17.09.2019.
- Die Rhein-Zeitung aus dem Kreis Altenkirchen (Rheinland-Pfalz) meldet am 27.08.2019: „Wissen am vergangenen Mittwochmorgen. Ein junger Mann betritt einen Supermarkt und sieht im Eingangsbereich ein Papier liegen. Er bückt sich und traut seinen Augen kaum. In den Händen hält er vertrauliche Patientendaten aus der Psychiatrie in Wissen.“ Passiert ist dies alles im St. Antonius-Krankenhaus in Wissen.
- Heise.de meldet am 16.08.2019: „In der Gesundheits-App Vivy ist der Medikationsplan zahlreicher Nutzer durcheinander geraten. Daher sperrte das Unternehmen die betroffenen Accounts. Grund sei eine ‚Aktualisierung des Softwarecodes‘, die dazu führte, ‚dass Dosierungen der Medikamente am Abend für die Dosierung am Mittag übernommen wurden‘. Der Fehler konnte nicht vonseiten des Unternehmens behoben werden.“ Die Accounts der betroffenen Nutzer wurden dann wohl gesperrt, die entsprechenden Medikationspläne auf den Servern gelöscht. Aber: da laut einer Vivy-Sprecherin die Mitarbeiter keinen Zugriff auf die Daten haben, müssten die Benutzer die Daten im eigenen Gerät selbst löschen.
- Die Wormser Zeitung meldet am 16.07.2019: Krankenhäuser und andere Einrichtungen der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland sind von einem Online-Angriff Krimineller betroffen. Schadsoftware habe das komplette Netzwerk des Krankenhausverbunds mit fünf Akutkrankenhäusern und sechs Fachkliniken befallen.
- Die Rhein-Neckar-Zeitung meldet am 16.01.2019: “‘Datenklau’ musste das Universitätsklinikum Heidelberg jetzt einigen Patienten melden. Wie der Klinikumsvorstand den Betroffenen mitteilte, waren Mitte November aus einem verschlossenen Büro drei USB-Sticks entwendet worden, also kleine, mobile Datenträger, die an Computer angeschlossen werden können. Darauf befanden sich nach Angaben einer Kliniksprecherin Namen, Geburtsdaten und Informationen zu Infektionserregern, die bei den üblichen Screeninguntersuchungen von Patienten festgestellt worden waren. Betroffen waren insgesamt 287 Erkrankte… Das Universitätsklinikum hat seine Mitarbeiter nun noch einmal darauf eingeschworen, ‘die Nutzung von USB-Sticks auf ein absolutes Mindestmaß zu reduzieren’. Sie werden angehalten, stattdessen für die Weitergabe von Daten das interne Kliniknetz zu verwenden. ‘Wir arbeiten an technischen Lösungen, dass die Sticks, wenn sie unbedingt genutzt werden müssen, nur mit Verschlüsselung funktionieren’, sagte die Kliniksprecherin der RNZ.” Ein Ausbund an Fahrlässigkeit, der an Vorsatz grenzt!
- Das Klinikum Buch in Berlin, seit 2001 Helios Klinikum Berlin-Buch, hat in einem stillgelegten Gebäudeteil Patientenakten gefunden, die in die Hände von Unbefugten gelangt sein könnten. Wie ein Sprecher am 15.01.2019 des Klinikums mitteilte, war es einem Hinweis nachgegangen, dass bei einem Umzug vor mehreren Jahren nicht alle Patientenakten mitgenommen wurden und noch immer in dem leerstehenden Gebäudeteil lagern. Als Mitarbeiter den Verdachten prüften, entdeckten sie tatsächlich Dokumente.
- Das Klinikum Fürstenfeldbruck war mehr als eine Woche durch einen Computervirus in weiten Bereichen lahmgelegt.
- Mit einer kleinen Anfrage an die Hessische Landesregierung wurde im Juli 2018 bekannt: Jede vierte hessische Klinik war seit 1. Januar 2016 Opfer von Schadsoftware (Malware) oder eines Hackerangriffs.
- Der Hessische Datenschutzbeauftragte hat in seinem 46. Tätigkeitsbericht für das Jahr 2017 im Abschnitt 7.1 (S. 80 des Berichts) einen erneuten Fall unberechtigter interner Zugriffe von Beschäftigten des Klinikums Frankfurt-Höchst auf Patientenakten dargestellt. Beschäftigte des Klinikums hatten wiederholt auf Patientenakten von anderen Beschäftigten zugegriffen, die wg. einer Erkrankung im Klinikum behandelt wurden. Eine medizinische oder andere Notwendigkeit für diesen Zugriff war nicht gegeben. In seiner Zusammenfassung des Problems stellt der Hessische Datenschutzbeauftragte fest, dass der “Fall unberechtigter interner Zugriffe auf Patientenakten zeigt, dass neben der technischen Umsetzung eines angemessenen Rollen- und Berechtigungskonzepts für die Zugriffe auf das Krankenhausinformationssystem auch organisatorische Maßnahmen erforderlich sind, um ein angemessenes Datenschutzniveau im Krankenhaus zu gewährleisten.” Am Ende seines Berichts steht die Aussage: “Da es in den vergangenen Jahren im Klinikum wiederholt zu unberechtigten Zugriffen auf Patientendaten von Mitarbeitern gekommen ist, lässt dies vermuten, dass es einzelnen Mitarbeitern an der entsprechenden Sensibilität für den Datenschutz mangelt. Es sind daher geeignete Maßnahmen zu ergreifen, um das Datenschutzbewusstsein der Mitarbeiter zu verbessern (z. B. Schulungen, Infos etc.).”
- Es sind nur wenige Sätze in einem längeren Beitrag in der Eßlinger Zeitung vom 12.01.2018. Aber sie haben Brisanz. Der Landesdatenschutzbeauftragte von Baden-Württtemberg wird von der Zeitung mit der Aussage zitiert: “…verhängte der Landesbeauftragte für den Datenschutz, Stefan Brink, bislang nur in zwei Fällen Bußgelder. Das betraf ein soziales Netzwerk, das unverschlüsselt Passwörter von Nutzern gespeichert hatte, die nach einem Hackerangriff im Netz auftauchten. Hier wurde eine Strafe von 20.000 Euro fällig. Ein Bußgeld von 80.000 Euro wurde in einem zweiten Fall verhängt, bei dem Gesundheitsdaten versehentlich im Internet landeten. Details dazu nannte Brink nicht.”
- Die Schwäbische Zeitung meldete am 21.12.2017: “103 Leitz-Ordner mit Krankenakten von Patienten der Oberschwabenklinik (OSK) sind offenbar ungeschreddert im Altpapiercontainer auf dem Ravensburger Wertstoffhof gelandet… Der Inhalt der Akten ist äußerst brisant. Sie enthalten nicht nur die kompletten Namen und Anschriften der Patienten, ihre Medikation und Behandlung, sondern auch sensible Details wie die Verweisung ins Zentrum für Psychiatrie nach einem Suizidversuch oder Angaben über Drogen- und Medikamentenmissbrauch…”
- Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet am 21.02.2017 in einer Pressemitteilung über einen schwerwiegenden Verstoß gegen den Schutz von Sozial- und Gesundheitsdaten: “Ein Bürger hatte uns darauf aufmerksam gemacht, dass in einem Mehrfamilienhaus mit einer Zahnarztpraxis und einer Bankfiliale in einem Kellergang herkömmliche unverschlossene Aktenschränke stünden. Dort würden sich Akten und anderes Material mit personenbezogenen Daten aus einer Zahnarztpraxis befinden. Das Gebäude sei durch eine unverschlossene Haustür und eine stets offene Tiefgarage leicht zu betreten… Wir konnten ungehindert in das Gebäude gelangen und die Schränke öffnen… Wir ordneten mündlich an, die Akten und anderen Gegenstände mit personenbezogenen Daten aus den Schränken zu entfernen und eine andere sichere Aufbewahrungsmöglichkeit zu finden…”
- Am 10.02.2016 wurde das Lukaskrankenhaus in Neuss durch einen Cyberangriff lahm gelegt. Unbekannte hatten das IT-System mit Schadsoftware infiziert. Durch das Virus wurden alle Daten verschlüsselt und unbrauchbar.
- Stiftung Warentest hat Ende Februar 2016 die Ergebnisse eines Tests in 30 Arztpraxen in Deutschland veröffentlicht. Die Quintessenz des Berichts: „Bei der Hälfte der Praxen stießen wir auf Verstöße gegen Datenschutzregeln, teils leichte, teils sogar drastische. Bei acht von zehn Anrufen gaben Mitarbeiter Vertrauliches über die Testpatienten preis, etwa Laborwerte oder verordnete Arzneien – ohne die Berechtigung der Anrufer zu hinterfragen… Ebenfalls bedenklich: der sorglose Umgang mit Patienten-E-Mails. Bei vier unserer Anfragen schickten Praxismitarbeiter Infos unverschlüsselt an Adressen, die nun wirklich von jedermann stammen könnten, wie sommerwind_x@gmx.de…“
- Heise.de meldete am 11.02.2016 einen Vorfall, für den das Klinikum Bad Salzungen verantwortlich war: “Beim Straßenkarneval in Dermbach (Wartburgkreis) sind zerschredderte Patientenakten als Konfetti unters Volk gebracht worden. Auf den nicht fachgerecht zerkleinerten Papierschnipseln seien personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen, sagte der Landesdatenschutzbeauftragte Lutz Hasse… “
- Im Februar 2015 wurde bekannt, dass im Münchner Stadtteil Neuperlach vier Säcke mit Röntgenbildern von Patienten der Klinik Weilheim gefunden wurden. Die Röntgenbilder enthielten auch Namen und Geburtsdaten der betroffenen Patienten. Dr. Thomas Petri, der Bayrische Landesbeauftragte für den Datenschutz hat in einer Pressemitteilung vom 19.02.2015 zu diesem Vorfall Stellung genommen. Unter der Überschrift „Vorsicht beim Outsourcing – Entsorgung von Patientenakten außerhalb des Krankenhauses ist regelmäßig unzulässig!“ weist Dr. Thomas Petri auf die Rechtslage hin: “Das Bayerische Krankenhausgesetz sieht besonders strenge Regelungen vor, um das Patientengeheimnis zu schützen. Bei der Verarbeitung von Patientendaten darf sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen. Das betrifft auch die Vernichtung bzw. Entsorgung von Patientendaten. Entsorgungsaufträge an Dritte sind damit im Regelfall tabu. Ein solches Outsourcing kann auch gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen. Dieser Vorfall zeigt wieder einmal die Brisanz des Einsatzes externer Dienstleister im Krankenhausbereich… “
- Die Frankfurter Allgemeine Zeitung (FAZ) informierte in einem Beitrag vom 30.01.2015: „Rechtlich gesehen ist es Ärzten und Pflegern nicht erlaubt, in Akten von Fällen einzusehen, mit denen sie nicht direkt zu tun haben. Im Sana-Klinikum (in Offenbach) ist aber genau dies geschehen im Fall der getöteten Tugce. Dies bestätigte das Krankenhaus am Freitag. Rund 90 Mitarbeiter hätten illegal die Akte gelesen…“
Update 18.03.2021
136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar. Das wird in einem Beitrag vom 18.03.2021 auf der Homepage des Chaos Computer Club e. V. mitgeteilt.
Update 02.06.2021
Bayrisches Rotes Kreuz: Datenpanne bei Blutspendedienst – Gesundheitsdaten an Facebook übermittelt
Update 15.07.2021
Durch eine Cyberangriff auf das Städtische Klinikum Wolfenbüttel wurden Teile des IT-Systems der Klinik lahmgelegt.
Update 23.09.2021
Durch eine Cyberangriff auf den Klinik- und Bildungs-Konzern SRH Holding wurden große Teile des IT-Systems lahmgelegt.
Update 20.11.2021
Der erste deutsche Praxisverwaltungs- und Cloudanbieter wurde gehackt. Es geht um niemand geringeren als die Firma Medatixx, deren Praxissoftware von ca. 25 % aller deutschen Arztpraxen genutzt werden soll.
Update 03.12.2021
Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG wurde am 27.11.2021 mit einer Schadsoftware infiziert. Die BKG ist ein Zusammenschluss der Krankenhausträger und von deren Spitzenverbänden in Bayern.
Update 27.12.2021
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) macht in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) auf einen illegalen Zugriff von Krankenhauspersonal auf Patient*innenakten aufmerksam und informiert, wie solche Zugriffe wirksam und unter Wahrung der Rechte auch der Beschäftigten unterbunden werden können.
Update 13.01.2022
Der Klinikverbund Medizin Campus Bodensee im Bodenseekreis (Baden-Württemberg) ist seit 13.01.2022 von einem Hackerangriff betroffen. In den Kliniken Friedrichshafen und Tettnang fiel die komplette Informationstechnik aus.
Update 25.01.2022
Wie in Kliniken rechtswidrige Zugriffe auf Patient*Innen- und Behandlungsdaten stattfinden, macht ein Urteil des Landgerichts Flensburg vom 19.11.2021 (Aktenzeichen: 3 O 227/19) beispielhaft deutlich. Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter*innen der Krankenhauses etwa 150-mal auf die Patientendaten des Klägers zu. Der Kläger forderte das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Bei seinen Recherchen stellte der Kläger u. a. fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patient*innen-Namens den Koronarfilm und die bei diesem Patienten durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.
In den Leitsätzen seines Urteils stellt das Gericht fest: „Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen…“