Zurück zur Übersicht
08.06.2020

Gesundheitsdaten im Web

Tausende medizinische Bilddaten im Internet führte auch nach Bayern.

Im September 2019 veröffentlichte der Bayerische Rundfunk einen Artikel, der sich mit über das Internet aufrufbaren medizinischen Daten beschäftigte. Es seien weltweit Millionen radiologische Bilddaten von sogenannten PACS-Servern abrufbar, von denen einige Systeme auch in Deutschland stehen würden.

Die Aufsichtsbehörde hat daraufhin Anhaltspunkte hinsichtlich eines Betreibers eines solchen Systems in ihrer Zuständigkeit wahrgenommen. Im Rahmen der aufsichtlichen Tätigkeit und Prüfroutinen wurden medizinische Bilddaten ohne Passwortschutz vorgefunden. Es stellte sich heraus, dass dieses System ein falsch konfigurierter Rechner eines Arztes in Bayern war, der diesen – nachdem er durch die Aufsichtsbehörde kontaktiert wurde – unmittelbar vom Internet trennte. Im Rahmen einer anschließenden forensischen Untersuchung des Vorfalls hat die Behörde den betroffenen Rechner vom verantwortlichen Arzt persönlich erhalten und analysiert. Es wurden dabei keine Anhaltspunkte gefunden, die Rückschlüsse ermöglichten, dass kriminelle Personen auf den Rechner bzw. die medizinische Daten zugegriffen hatten.


Da der betroffene Arzt bei uns eine Meldung nach Art. 33 DSGVO durchgeführt hatte, wurde auf Grund der Einschränkungen durch die Bußgeldvorschriften des neuen BDSG kein Ordnungswidrigkeitsverfahren eingeleitet (§ 43 Abs. 4 BDSG).


Die betroffenen Patienten mussten zudem nicht gemäß Art. 34 DSGVO informiert werden, da nicht von einem hohen Risiko hinsichtlich deren Rechte und Freiheiten ausgegangen werden konnte. Hintergrund hierbei war, dass es letztendlich im Ergebnis der Untersuchungen keine nachhaltigen Anhaltspunkte für einen Zugriff auf die Daten mit dem Ziel einer missbräuchlichen Verwendung gab.

Bei vergleichbaren Fällen wäre dies dann anders zu bewerten, wenn die Daten im Internet frei zugänglich auftauchen oder in krimineller Absicht (z.B. Erpressung) verwendet werden – dann wäre eine Meldung nach Art. 34 DSGVO an alle betroffenen Patienten erforderlich.

Quelle: BayLDA

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks