Unter dem Dach der Nanz medico GmbH & Co. KG sind mit dem Begriff ZAR (Reha Zentren für ambulante Rehabilitation) mehr als 30 ambulante Rehabilitationszentren in Deutschland vereint. Die Eigenwerbung lautet: „Deutschlands Nr. 1 für ambulante Reha“.

Am 30.01.2025 meldete heise.de: „Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte.“ Aus dem Beitrag geht hervor, wie das Problem bekannt wurde: „Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen. Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat… Hackerkenntnisse waren zur Einsicht der Daten nicht nötig… Beim Aufruf der URL des Servers, von dem die App die Termine lud… wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung. Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden… Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.“

Der in jeder Hinsicht betroffene Nutzer informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI), die im Rahmen seiner Therapie besuchte ZAR-Reha-Klinik und auch die Redaktion von heise.de.

Auf der Homepage der Nanz medico GmbH & Co. KG fehlt bisher jeder Hinweis auf das Problem. Ob es eine Meldung der Datenschutzlücke an die zuständige Datenschutz-Aufsichtsbehörde gab und die betroffenen Patient*innen informiert wurden, ist derzeit nicht bekannt.

Betroffene Patient*innen sollten ihre Rechte kennen und nutzen:

• Nutzer*innen der App „ZAR PAT“ haben auf der Grundlage des Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind.
• Den Betroffenen entsteht infolge dieses Datenlecks auch ein sogenannter immaterieller Schaden. Nach Art. 82 Abs. 1 DSGVO genügt bereits ein immaterieller Schaden, um Schadensersatzansprüche geltend machen zu können.

Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.