Bayerischer Landtag

Rechtsausschuss informiert sich über Datenleck von Patientendaten im Internet

13.02.2020

Auf Antrag der Fraktion BÜNDNIS 90/DIE GRÜNEN berichteten die Staatsregierung und Datenschutzexperten über ein vergangenes Jahr bekannt gewordenes Datenleck: Datensätze medizinischer Patienteninformationen, standen auf ungesicherten Servern im Internet. In der Anhörung ging es auch um die Frage, wie solche Vorfälle künftig verhindert werden können.

Röntgenbilder, Brustkrebs-Screenings, Aufnahmen von Wirbelsäulen – solche
hochsensiblen medizinischen Informationen waren im Netz offen zugänglich. Das hat ein Recherchenetzwerk von Journalisten im vergangenen September herausgefunden. In Bayern ging es um Daten von rund 7.000 Patienten aus dem Raum Ingolstadt, die auf einem Server gespeichert waren, der für die Archivierung von hochauflösenden Bildern genutzt wurde, ein so genannter PACS-Server. Dieser Server war nicht durch eine Firewall und Passwort gesichert.

Schnelle Reaktion auf Datenleck

Eine Sprecherin des Innenministeriums betonte im Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration, dass bereits an dem Tag, an dem das Leck entdeckt wurde, das System sofort abgeschaltet wurde. Konkret ging es um die Praxis eines niedergelassenen Arztes in Ingolstadt.
Das Bayerische Landesamt für Datenschutzaufsicht, das für den nicht-öffentlichen Bereich zuständig ist und unter anderen private Krankenhäuser kontrolliert, sieht in dem Vorfall kein strukturelles Problem. Vizepräsident Andreas Sachs sprach vom Versehen eines Einzelnen: „Der Arzt hat beim Set-Up einfach auf den falschen Knopf gedrückt.“ Nach Erkenntnissen der Datenschützer hat niemand auf die ungesicherten Patientendaten zugegriffen. „Ein Normalanwender weiß nicht, wie man an diese Daten herankommt“, erklärte Sachs.

Der Bayerische Landesbeauftragte für den Datenschutz, zuständig für den öffentlichen Bereich wie Behörden, bezeichnete die Speicherung von Patientendaten auf einem PACS-Server als eher ungewöhnlich. Nach den Worten von Professor Dr. Thomas Petri nutzen bayerische Kliniken typischerweise eigene Speichermöglichkeiten. Dennoch warnte der Landesbeauftragte mit Blick auf die allgemeine IT-Sicherheit an Krankenhäusern: „Da würde ich meine Hand für die Kliniken nicht ins Feuer legen.“ Hier gebe es durchaus strukturelle Mängel. Grund sei zu wenig geschultes IT-Personal an den Krankenhäusern. Verantwortlich dafür seien die Kostenträger, meist Kommunen, die die Krankenhäuser mit zu wenig Geld für die IT-Sicherheit ausstatteten.

Faktor Mensch als Problem

Auf die Frage des GRÜNEN-Abgeordneten Benjamin Adjei nach Unterstützung und einem Leitfaden zur IT-Sicherheit in Arztpraxen antwortete der frisch gekürte Präsident des Bayerischen Landesamts für Datenschutzaufsicht Michael Will, es gebe weder einen erhöhten Beratungsbedarf noch spezifische Probleme speziell im Gesundheitssystem. Sein Kollege Sachs ergänzte, die Sensibilität bei Ärzten sei allerdings hoch, gerade im Hinblick auf die Telematik-Infrastruktur, also die Vernetzung aller Beteiligten im Gesundheitswesen wie Ärzte, Krankenhäuser, Apotheken.  

Die Ausschuss-Vorsitzende Petra Guttenberger (CSU) lobte die schnelle und effektive Reaktion auf das Datenleck. Guttenberger fasste zusammen: „Der Faktor Mensch war das Problem.“ Mehrere Abgeordnete fragten zudem, wie sich ein solches Datenleck künftig verhindern ließe. Prävention sieht das Bayerische Landesamt für Datenschutzaufsicht als schwierig an. Vizepräsident Sachs sagte „wir müssen die Folgen eines Fehlers möglichst schnell einfangen.“

Der Landesbeauftragte für Datenschutz verwies auf IT-Sicherheits-Schulungen der Landesärztekammer und machte zugleich deutlich, dass flächendeckende präventive Überprüfungen nicht Aufgabe der Datenschutzbeauftragten sein könnten, sondern lediglich Stichproben. „Wir prüfen etwa zehn Kliniken pro Jahr, anlassfrei.“

Miriam Zerbel

Seitenanfang