Klinik-Daten gestohlen - Was Patienten jetzt tun können
Der Cyberangriff auf einen Klinik-Dienstleister weitet sich aus. Gestohlen wurden Daten von Patientinnen und Patienten. Was Betroffene jetzt wissen sollten.
Freiburg/Tübingen (dpa/lsw) - Bei einem Hackerangriff auf einen bundesweit tätigen Klinik-Dienstleister sind Daten Zehntausender Patientinnen und Patienten gestohlen worden. Laut dem Unternehmen Unimed mit Sitz im Saarland waren ausschließlich Privatpatienten und Selbstzahler betroffen.
Diese müssen nach Auskunft des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg gemäß Datenschutz-Grundverordnung (DSGVO) darüber informiert werden. Unimed erklärte, spezialisierte externe Datenforensiker hätten den Datenabfluss im April im Detail analysiert. So hätten die Betroffenen festgestellt werden können. Man habe den Krankenhäusern die Angaben zur Verfügung gestellt, «sobald dies ab Mitte Mai möglich wurde». So hätten diese die Betroffenen informieren können.
Welche Kliniken und Daten sind vom Leck betroffen?
Die genaue Zahl bundesweit ist weiterhin unklar. Unimed will keine Auskunft über seine Kunden und Zahlen geben. In Baden-Württemberg hat der Landesdatenschutzbeauftragte von 17 Krankenhäusern Meldungen erhalten.
Aus den Mitteilungen der in Baden-Württemberg unter anderem betroffenen Unikliniken geht hervor, dass zu den gestohlenen Daten neben Namen, Adressen und Geburtsdaten auch Finanzinformationen wie Kontonummern sowie Gesundheitsdaten zu Diagnosen und Krankheitsverläufen gehören können. Unimed teilte mit: «Bei der weit überwiegenden Mehrheit der abgeflossenen Daten handelt es sich nicht um besonders sensible Finanz- und Gesundheitsdaten von Patienten.»
Welche Rechte haben Patientinnen und Patienten?
Grundsätzlich haben Betroffene gemäß der DSGVO zahlreiche Rechte, es kommt letztendlich aber auf den konkreten Fall an. Sie können zum Beispiel erfragen, ob und welche ihrer Daten konkret von dem Vorfall betroffen seien, wie der Landesdatenschutzbeauftragte erklärte. Auf zivilrechtlichem Weg könne man Schadenersatz für entstandenen materiellen oder immateriellen Schaden vom Verantwortlichen oder Dienstleister verlangen, wenn ein DSGVO-Verstoß wie mangelhafte Sicherheit Ursache des Vorfalls gewesen sei und der Vorfall zu einem tatsächlichen, spürbaren Nachteil geführt habe.
Was muss ich als Betroffener jetzt beachten?
Die Verbraucherzentrale rät, jetzt besonders aufzupassen, zum Beispiel auf verdächtige Mails zu achten und die Kontoauszüge genau zu kontrollieren. Mögliche Ansprüche könnten die Betroffenen auf der Internetseite der Verbraucherzentrale einsehen. Der Landesdatenschutzbeauftragte mahnt auch zu Vorsicht, wenn bislang unbekannte Anbieter jemanden kontaktieren und Bezug auf die möglicherweise abhanden gekommenen Informationen nehmen. «Ebenso sollten sie bei der Bezahlung von Rechnungen die Empfänger genau prüfen, da möglicherweise manipulierte Rechnungen verschickt werden.»
Wie empfehlen die Kliniken?
Die Universitätsklinik in Tübingen beispielsweise hat alle 902 Menschen angeschrieben, die vom Leck bei Unimed betroffen sind. Wenn Gesundheitsdaten entwendet wurden, sei es wichtig, keine sensiblen Gesundheitsinformationen bei einer unerwarteten Kontaktaufnahme herauszugeben, steht in dem Schreiben. Betroffene sollten die Identität der Menschen prüfen, die sich möglicherweise in diesem Zusammenhang melden. Unerwartete Anrufe, Mails oder Nachrichten, in denen auf medizinische Behandlungen, Versicherungen oder Gesundheitsleistungen Bezug genommen wird, sollten zudem kritisch geprüft werden.
Wurden Finanzdaten entwendet, sollten Patienten genau auf Konten und Zahlungsdienste achten, Kontoauszüge und Kreditkartenumsätze regelmäßig kontrollieren. Bei Auffälligkeiten sollte man sofort die Bank informieren. Sorgfältige Prüfung sei auch geboten bei Abfragen von Zugangsdaten oder Sicherheitsinformationen in unerwarteten Nachrichten, Anrufen oder Mails.
Auch die Unikliniken Freiburg und Ulm haben Menschen, bei denen es Hinweise darauf gibt, dass Gesundheitsdaten gestohlen worden sein könnten, persönlich kontaktiert. Für Fragen sei eine E-Mail-Adresse eingerichtet worden. «Es haben sich rund 100 Menschen gemeldet und gefragt, ob ihre Daten betroffen sind», sagte ein Sprecher in Freiburg.
Können sich Patienten auch an Unimed wenden?
Eine Hotline oder Ähnliches gibt es nicht. Betroffene werden in der Regel von den behandelnden Kliniken persönlich informiert, wie das Unternehmen mitteilte. In Ausnahmefällen könne in Absprache mit Kunden auch eine Information von Patienten durch Unimed im Auftrag von Kliniken erfolgen.
Der Anbieter betonte, bei dem Vorfall seine Informationspflichten eingehalten zu haben. Zugleich sei Unimed bewusst, dass der Vorfall Kunden vor Herausforderungen stelle. «Wir arbeiten entschlossen daran, dies partnerschaftlich zu lösen und das Vertrauen von Kunden und deren Patienten zu wahren.» Gefragt nach Kompensationen und Haftungsregelungen machte ein Sprecher mit Verweis auf die Vertraulichkeit keine Angaben zu Vertragsverhältnissen oder deren Inhalten.
