Immer auf dem Laufenden bleibenDatenpanne und wie man es besser nicht macht: Deine Daten könnten geklaut worden sein – finde das bitte selbst heraus und melde dich dann bei uns.
Kann man machen, ist dann halt nicht rechtskonform. Oder anders gesagt: Genau so funktioniert der Umgang mit einem Datenschutzvorfall und der Information der betroffenen Personen nicht.
Der Klinik-Konzern Ameos gehört, mit mehr als 100 Einrichtungen an über 50 Standorten, zu den größten privaten Klinikbetreibern im DACH-Raum neben Helios und Sana. Bei einem Angriff auf die IT-Systeme des Konzerns im Juli dieses Jahres wurden nicht nur die Systeme und damit der Betrieb massiv gestört (sogar der örtliche Rettungsdienst war von den Auswirkungen betroffen). Mutmaßlich wurden auch unzählige (Gesundheits-)Daten von Patienten und Mitarbeitern entwendet. Nun liegen bei mehreren Landesdatenschutzbehörden Beschwerden wegen des Umgangs mit dieser Datenpanne vor.
Warum? Der Konzern hatte kurzerhand auf seiner Website ein Formular bereitgestellt. Hier sollten sich potenziell Betroffene nicht nur selbst melden und ihre Daten angeben, sondern darüber hinaus noch eine digitale Kopie eines Ausweisdokuments hochladen. Mittlerweile wurde das Vorgehen geändert und man stellt auf der Website klar, dass man die Betroffenen selbstverständlich proaktiv und individuell informieren würde. Die Nutzung des Formulars sei demnach keine Notwendigkeit, sondern eine freiwillige Zusatzmaßnahme, die allerdings die Bearbeitungsdauer verkürzen könne, da die interne Bearbeitung vereinfacht werde. Zusätzliche Unterlagen, a. k. a. Ausweisdokumente, muss man inzwischen nicht mehr hochladen.
Die Moral von der Geschichte? In den vergangenen zwei Jahren sind zunehmend medizinische Einrichtungen Ziel von Angriffen. Diese zeigen nicht nur Schwächen bei der IT-Sicherheit der Einrichtungen auf. Auch die medizintechnischen Geräte selbst sind alles andere als sicher. Unser Gesundheitssystem ist auf die möglichen Cyber-Gefahren nicht gut vorbereitet. Das muss anders werden.
Und was man bei einem Datenschutzvorfall unter anderem falsch machen kann, weißt du jetzt auch.
