Patientendaten ungeschützt im Netz
Datenschutzrechtlich verantwortlich ist letztendlich die Arztpraxis
Am 11. August war eine Sicherheitslücke einer Praxissoftware bekannt geworden, bei der laut NDR und WDR medizinische Daten für Fremde einsehbar waren.
Das Sicherheitsproblem bestand bei dem Arzt- und Praxissoftwarehersteller Doc Cirrus. Daten von mehreren 10.000 Patienten deutscher Arztpraxen (persönliche Daten, Rechnungen und Befunde) waren weitgehend ungesichert einsehbar. Eigentlich sollte das Konzept des „Datensafes“ der Firma Doc Cirrus Sicherheitslecks vorbeugen. Anstatt Daten zentral auf Servern des Praxissoftware-Anbieters oder in einer Cloud zu speichern, bot die Firma Arztpraxen eigene Mikro-Server an, die in der Praxis selbst stehen. Dort konnten die Patientendaten von den Ärzten bearbeitet werden, Patienten hatten über das Internet Zugriff auf die sie betreffenden Dokumente.
Doc Cirrus wirbt auf ihrer Homepage, dass die Software „wartungs- und sorgenfrei“ sei, eine „maßgeschneiderte und zukunftsorientierte Lösung“ für jede Arztpraxis – die Patientendaten seien sicher. Doc Cirrus verspricht ein „360°- IT- Sicherheitskonzept“ und den Schutz vor unbefugten Zugriffen.
Sicherheitsforscher fanden über das zentrale Zugangsportal von Doc Cirrus die internen Zugriffsdaten der Arztpraxen, so dass es möglich war, auf die gesammelten E-Mails der Ärzte zuzugreifen oder gar E-Mails in deren Namen zu schreiben. Zusätzlich war es möglich, über diese Links auf Patientendokumente zuzugreifen, die auf dem jeweiligen Praxisserver abgelegt waren.
Laut WDR und NDR geht der zuständige Berliner Datenschutzbeauftragte davon aus, dass 270 Arztpraxen und mehr als 60.000 Patienten betroffen waren. Laborbefunde und Blutwerte waren für Dritte zugänglich.
Das Unternehmen bestätigte einen Programmierfehler, die betroffenen Dienste seien unverzüglich deaktiviert und überprüft worden.
Dr. Gernot Petzold, Vorstand des Bayerischen Facharztverbandes (BFAV) und niedergelassener Augenarzt in Kulmbach fragt: „Wer ist hier verantwortlich für diese Verletzung des Datenschutzes?“
Die Antwort gibt der Sprecher des Bundesdatenschutzbeauftragten Christof Stein: „Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten." Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich sei seinen Angaben zufolge die Arztpraxis. Sie müsse überprüfen, dass die Software datenschutzkonform sei - und dürfe sich nicht auf Zertifikate oder Gütesiegel verlassen.
Das bedeutet in letzter Konsequenz, so Petzold vom BFAV, „…dass jede Verbindung des Praxisservers mit dem Internet zu einem Sicherheitsrisiko für eine Arztpraxis werden kann, für das der Praxisinhaber allein verantwortlich ist“.
Insofern ist es nur folgerichtig, dass der BFAV Klage beim Sozialgericht München gegen den Honorarabzug bei Nichtanschluss an die Telematik-Infrastruktur (TI) eingelegt hat.
Petzold resümiert:“ Wenn der Arzt das Sicherheitsrisiko für die Patientendaten in seiner Praxis letztendlich allein trägt, muss er auch allein entscheiden können, ob er sich an die TI anbinden lässt oder nicht“.