Hunderte Patienten-Blätter frei im Internet
Mehrere 100 Datenblätter mit Blutanalysen von Patienten des Münchner Klinikums "rechts der Isar" sind im Internet frei zugänglich gewesen.
Mehrere 100 Datenblätter mit Blutanalysen von Patienten des Münchner Klinikums "rechts der Isar" sind im Internet frei zugänglich gewesen. Wie Recherchen von c't und des hessischen Fernsehens ergaben, trugen etliche der Datenblätter neben den kompletten medizinischen Blutbildern den vollen Namen und das Geburtsdatum der Patienten. Auf einigen Blättern war als Grund für die Einlieferung der Patienten "Drugs", oder "Unfall" angegeben. Die Daten waren offenbar seit vielen Monaten im Internet.
Beim Nachschlagen von medizinischen Fachausdrücken mit der Suchmaschine Altavista war ein c't-Leser auf einen Befundbericht des Instituts für Klinische Chemie und Pathobiochemie gestoßen, in dem der Name des Patienten zu lesen war. Die c't-Redaktion entdeckte die weiteren Befunde in mehreren Verzeichnissen des Servers, die in keiner Weise gegen den Abruf aus dem Internet geschützt waren. Das Hessen Fernsehen konnte bestätigen, dass es sich hierbei um Originaldaten handelt.
Um Möglichkeiten eines elektronischen Befundberichts zu verdeutlichen, hatte das Institut 872 Datensätze aus dem März 1998 in anonymisierter Form der Öffentlichkeit präsentieren wollen. Dabei wurden versehentlich auch nicht-anonymisierte Daten aufgespielt. Doch auch die anonymisierte Form zeigt Defizite in Sachen Datenschutz: Nur jeweils die ersten vier Zeichen des Vor- und Nachnamens wurden unkenntlich gemacht.
Institutsleiter Prof. Dr. Dieter Neumeier bedauerte den Vorfall gegenüber c't: "Eine Anonymisierung von nur vier Zeichen im Namen halte auch ich für unzureichend. Ich hatte zum Start des Demo-Servers daher eine vollständige Anonymisierung gefordert und das wurde auch so umgesetzt. Offenbar muss später beim Neuladen des Angebots irgendwann wieder die ursprüngliche Version ins Netz gestellt worden sein." Wie die kompletten Befundberichte ins Internet gelangt sind, konnte Neumeier nicht sagen: "Mein EDV-Leiter vermutet, dass eine Rohdatei irrtümlich übertragen wurde. Das ist ein schlimmer Fehler, das ist nicht wegzudiskutieren. Wir werden die betroffenen Patienten schriftlich informieren und den Sachverhalt erklären."
Nach der Information durch c't hat das Institut die Daten unverzüglich vom Netz genommen. Der Bayerische Landesbeauftragte für den Datenschutz, Reinhard Vetter, äußerte in einer ersten Stellungnahme: "Ich beurteile die Sache als gewichtig. Die Veröffentlichung von echten Patientendaten ohne Einwilligung verstößt gegen das Arztgeheimnis und das bayerische Datenschutzgesetz." Seine Behörde werde den Vorfall aufmerksam prüfen. (cp)
