100.000 Arzt-Daten gestohlen: Was bedeutet das für Patienten?

In Hamburg hat ein Dieb einen Datenträger mit 100.000 Patientendaten gestohlen. Die Frage ist nun: Was will er damit? © Getty Images | andresr

Hamburg. Hamburgs oberster Datenschützer alarmiert: So einen „äußerst merkwürdigen“ Fall gab es noch nie. Will ein Unbekannter Patienten erpressen?

• „Dieser Diebstahl ist bisher einmalig für uns“, sagt der Datenschutzbeauftragte Thomas Fuchs
• Ein Unbekannter hat aus Hamburger Arztpraxen 100.000 Patientendaten gestohlen
• Was will der Dieb mit den intimen Gesundheitsdaten?

Die Meldung ging Anfang vergangener Woche ein. Über ein Onlineformular meldete eine Arztpraxis dem Hamburgischen Beauftragten für Datenschutz den Diebstahl von 100.000 Patientendaten.

„Dieser Diebstahl ist bisher einmalig für uns“, sagt der Datenschutzbeauftragte Thomas Fuchs. Es komme zwar immer wieder vor, dass es Hackerangriffe auf Arztpraxen gebe und die Daten auf den Computern verschlüsselt und nur gegen Lösegeld freigegeben werden – „aber dass analog eine Festplatte mit Daten geklaut wird, ist ein Novum und äußerst merkwürdig“, so Fuchs.

Was will der Dieb mit den Daten? Will er den Arzt oder womöglich die betroffenen Patienten mit den Daten erpressen?

Daten-Diebstahl in Arztpraxis in Hamburg: Will Täter Patienten erpressen?

Über die Hintergründe der Tat kann bisher nur spekuliert werden. Da die Polizei keine Einbruchsspuren fand, liegt der Verdacht nahe, dass sich der Dieb mit einem Türöffner oder Schlüssel Zugang zu den beiden betroffenen Praxen südlich der Elbe sowie in der Innenstadt verschaffen konnte.

Nachdem er die Datenträger aus dem PC ausgebaut hatte, verschwand er mit der Beute. Die beiden Praxen gehören zu demselben Unternehmen. Der Schaden dürfte in die Millionen gehen. Der Imageverlust für die Praxis ist groß.

Einbruch bei Ärzten in Hamburg: Patienten müssen informiert werden

Denn die beiden betroffenen Praxen sind nicht nur verpflichtet, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden – sie müssen jetzt auch alle Patienten informieren.

Hamburgs Datenschutzbeauftragter Thomas Fuchs will genau kontrollieren, ob und wie die Patienten über den Daten-Klau informiert wurden. © FUNKE Foto Services | Mark Sandten / FUNKE FOTO SERVICES

„Laut Paragraf 34 der Datenschutz-Grundverordnung müsse bei einer sogenannten Verletzung des Schutzes personenbezogener Daten die betroffene Person benachrichtigt werden – und zwar unverzüglich, wie es heißt“, so der Datenschutzbeauftragte Thomas Fuchs.

Er kündigte eine genaue Überprüfung an. „Wir werden in den Praxen nachfragen, wann und in welcher Form sie die Patienten informiert haben“, sagt Fuchs.

Daten-Diebstahl in Arztpraxis: 100.000 Patientendaten entwendet – warum?

Noch ist unklar, ob es sich bei den entwendeten Datensätzen um Kontaktdaten handelt oder auch sensible Krankenakten gestohlen wurden. „Die Patienten haben ein Recht zu erfahren, welche Daten genau betroffen sind“, sagt Fuchs und gibt zu bedenken, dass der Täter vielleicht nicht die Praxis schädigen wolle, sondern direkt die Patienten. Ob der mutmaßliche Täter Patienten mit seiner Beute erpressen möchte, ist bislang also noch ungeklärt. 

Was die Patienten tun können? „Leider nichts“, sagt der Daten-Experte. Man müsse abwarten, welches Ziel der Täter verfolgt.

Daten in Arztpraxen unterliegen in Deutschland besonderen Sicherheitsanforderungen. So dürfen Patientendaten nicht in sogenannten Clouds, also Speichern in Datenzentren, hinterlegt werden, weil sie als sensibel gelten. Die Ermittlungen dauern weiter an.