Frankreich: Medizinische Daten von 500.000 Personen im Netz

Vor zwei Wochen hatte das Online-Magazin "Zataz" erstmals darüber berichtet, dass in einem von Cyberkriminellen frequentierten Internet-Forum medizinische Daten von fast 500.000 Franzosen zum Verkauf angeboten würden. Die Zeitungen "Libération" und "Le Monde" brachten dazu Anfang der Woche weitere Details. Die französische Datenschutzbehörde CNIL hat nun Ermittlungen in dem Fall eingeleitet. Erste Ergebnisse deuten ihr zufolge darauf hin, "dass es sich tatsächlich um eine besonders große und schwerwiegende Datenverletzung handelt".

Datensatz verkauft

Den Berichten zufolge stammen die feilgebotenen Informationen aus den Akten von etwa dreißig medizinischen Analyselabors, die ihren Sitz hauptsächlich in den Départements Morbihan, Côtes-d'Armor, Eure, Loiret und Loir-et-Cher haben. Die bisherigen Erkenntnisse der CNIL decken sich damit weitgehend. Angeblich soll der umfangreiche Datensatz bereits vor einigen Monaten erstmals einen Käufer gefunden haben. Der kriminelle Hacker ruft einen Preis von 1000 US-Dollar für das Paket auf.

Die CNIL erinnerte die potenziell betroffenen Einrichtungen zugleich an ihre Pflicht nach der Datenschutz-Grundverordnung (DSGVO), die Datenschutzaufsicht binnen 72 Stunden nach Bekanntwerden eines Lecks über einen solchen Vorgang zu informieren. Ferner müssten die verantwortlichen Stellen in einem Fall mit hohen Risiken für die Grundrechte die betroffenen Personen einzeln darüber zu informieren, dass ihre Daten kompromittiert und online veröffentlicht wurden.

Die Nationale Agentur für die Sicherheit von IT-Systemen (Anssi) erklärte parallel gegenüber der Nachrichtenagentur AFP, dass sie den "Ursprung" des Gesundheitsdatenlecks identifiziert und schon im November 2020 an das Gesundheitsministerium gemeldet habe. Man habe auch Empfehlungen gegeben, wie mit dem Vorfall umgegangen werden sollte. Mit der CNIL hatte sich die Anssi aber offenbar nicht ausgetauscht.

(mho)