Ingolstadt (dpa/lby) - Weil ein Arzt den Computer seiner Ingolstädter Praxis falsch eingestellt hat, sind sensible Gesundheitsdaten von rund 7200 Patienten offen zugänglich im Internet gelandet. Das bestätigte das Landesamt für Datenschutzaufsicht (LfD) am Dienstag. Zuvor hatten der Bayerische Rundfunk (BR) und die US-Investigativplattform ProPublica berichtete, dass weltweit 16 Millionen medizinische Datensätze offen im Netz stünden. Darin fänden sich unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen - alles personalisiert.
In Ingolstadt sind die Patienteninformationen laut LfD ohne Passwortschutz auf einem Praxisrechner gespeichert worden. Das Problem: Der Computer sei mit dem Internet verbunden gewesen, wodurch die Daten für jeden einsehbar waren. Derzeit prüft die Behörde, wer alles auf den Rechner zugegriffen hat. Danach werde entschieden, ob die Patienten informiert werden müssen. Derzeit sei noch offen, ob gegen den Arzt ein Bußgeldverfahren eingeleitet wird.
Bundesweit sind nach Recherchen des BR und ProPublica mehr als 13 000 medizinische Datensätze offen zugänglich. Weltweit seien noch weit mehr Patienten betroffen. Der Bundesbeauftragte für Datenschutz sprach von einem "verheerenden ersten Eindruck". Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Ulrich Kelber. Derweil teilte das bayerische Gesundheitsministerium mit, den Ausbau einer bundesweiten Telematikinfrastruktur vorantreiben zu wollen. Dies ermögliche den sicheren Austausch von Gesundheitsdaten und die medizinische Vernetzung verschiedener Einrichtungen.
Bei den Daten handele es sich oft um Bilder, die von Magnetresonanztomographie-Untersuchungen stammen (MRT). Diese Bilder würden auf einen speziellen Server geschickt, berichtete der BR. Das System werde für die Bildarchivierung verwendet. Auch Röntgenaufnahmen und Bilder aus der Computertomographie landeten auf diesen Servern. In Ingolstadt wurden die Daten dagegen direkt auf dem Rechner gespeichert - nicht auf einem Server oder in der Cloud. Trotzdem waren sie von außen zugänglich.
Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von IT-Sicherheitsforschern darüber informiert und hat die betroffenen Einrichtungen davon in Kenntnis gesetzt, teilte die Behörde am Dienstag mit. Es lägen keine Erkenntnisse vor, dass die Daten tatsächlich in krimineller Absicht abgeflossen seien. Bundesgesundheitsminister Jens Spahn (CDU) mahnte höchste Datenschutzvorkehrungen an.
Nach Angaben des LfD ist es grundsätzlich problematisch, wenn Praxisrechner über das Internet erreichbar sind. Derzeit überprüften die Datenschutzbehörden bundesweit 38 solche Fälle. Gegebenenfalls werde man die Einrichtungen zwingen, zusätzliche Schutzsysteme zu installieren, sagte ein Sprecher der Deutschen Presse-Agentur. Das seien jedoch Einzelfälle Es gebe keine "massehaft offenen Server" mit medizinischen Informationen.
Das bestätigte auch der Landesdatenschutzbeauftragte Thomas Petri: Nach seinen Informationen ist keine der öffentlichen Kliniken im Freistaat direkt betroffen. Das Risiko sei trotzdem hoch: Immer wieder seien medizinische Einrichtungen das Ziel von Cyberangriffen. Mit spezieller Schadsoftware könne der gesamte Betrieb lahmgelegt werden.
Das Klinikum in Ingolstadt und das Diagnosticum, eine große radiologische Praxis, teilten mit, dass ihre Server nicht von der Datenpanne betroffen seien. Doch viele ihrer Patienten bekämen nach der Untersuchung eine CD mit nach Hause, auf der beispielsweise Röntgenbilder gespeichert sind. Diese Aufnahmen könnten durchaus in der betroffenen Praxis gelandet sein.