Patienten-Datenschutzpanne Handgestrickte Lösung war schuld

Die Ursache für die Datenschutzpanne, durch die tausende Patientendaten aus Schleswig-Holstein frei zugänglich auf den Servern des IT-Dienstleister Rebus lagen, ist Desorganisation und der Einsatz handgestrickter Lösungen. Das hat Landesdatenschützer Thilo Weichert am 7. November 2011 erklärt. Das Unternehmen betreibt Datenbanken für fünf soziale Dienste in Deutschland.

Ein Kontrollbesuch von drei Mitarbeitern der Landesdatenschutzstelle bei dem Unternehmen Rebus und dem Verein Brücke Rendsburg-Eckernförde habe offenbart, dass das Datenleck mit über 3.000 hochsensiblen Psychiatriedatensätzen durch eine Kombination von schwerwiegenden organisatorischen Mängeln entstanden sei.

Beteiligt waren mehrere Einrichtungen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt waren, so der Datenschützer. "Qualitätskontrollen fanden beim IT-Einsatz nicht statt. Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde. Es ist nicht auszuschließen, dass die zutage getretene Datenlücke schon seit Jahren bestand", gab die Landesdatenschutzstelle bekannt. "Die vorläufige Bestandsaufnahme ergab, dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden."

Weichert: "Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten. Dies hat vorläufig Vorrang vor möglichen Sanktionen." Bei den offengelegten Daten soll es sich um Akten der Brücke, New Start und des Kirschberg Vereins handeln. Betroffen seien rund 3.600 Dokumente mit personenbezogenen Daten aus den Jahren 2002 bis 2011. Der Server mit den sensiblen Daten, darunter amtsärztliche Gutachten und Verhaltensstudien von Patienten, ist nun abgeschaltet.