Sind Daten einer großen Anzahl von Kliniken bei einer anonymen Internet-Plattform gelandet? Ein Krankenhausverband in Nordrhein-Westfalen ist nach einem Hinweis tätig geworden.
Daten über Behandlungen von Patienten aus mehr als 100 Krankenhäusern in Nordrhein-Westfalen könnten illegal gestohlen worden sein. Der Krankenhauszweckverband Rheinland (KHZV), der für eine ganze Reihe von Kliniken Daten verarbeitet, prüft nach eigenen Angaben einen entsprechenden Verdacht.
Dabei soll es sich allerdings nicht um eine Cyber-Attacke von außen handeln. Vielmehr lägen Indizien vor, die einen mittlerweile gekündigten Mitarbeiter des Verbandes belasten. Es sei möglich, dass er sich die Daten "unrechtmäßig angeeignet" habe, erklärte der KHZV am Montag in Köln. Belege, dass er sie auch an Dritte weitergab, gebe es aber noch nicht.
"Wir haben keine Hinweise darauf, dass die Daten tatsächlich nach außen gegangen sind, können es aber auch nicht zu 100 Prozent ausschließen", sagte ein Sprecher. Daher habe man sofort mit Maßnahmen reagiert. Zuvor hatte die Bild-Zeitung berichtet.
Der KHZV ist ein Zusammenschluss von mehreren Krankenhausverbänden mit insgesamt 164 Krankenhäusern. Für seine Mitglieder stellt er "Benchmarking-Daten" zur Verfügung. Ein Krankenhausmanager kann daran etwa ablesen, wie das eigene Haus im Vergleich zu anderen steht. Für die Auswertung nutzt der Verband Daten, die die Kliniken übermitteln. Dazu zählen etwa auch Geburtsjahr oder Geschlecht von Patienten, aber zum Beispiel keine Namen. Ein Rückschluss auf einzelne Patienten sei damit nicht möglich, betonte der Verband. Es handele sich um Daten, die die Krankenhäuser laut Gesetz erheben müssen.
Der Verband wurde nach eigenen Angaben am 11. April von der Internet-Plattform "medileaks.cc" informiert, dass sie Daten einer großen Anzahl von Krankenhäusern veröffentlichen wolle. Da man nicht habe ausschließen können, dass es sich um Daten des Verbandes handelt, sei man tätig geworden. Die Staatsanwaltschaft Köln wurde informiert. Ein Sprecher der Behörde bestätigte, dass nach Eingang der Anzeige Ermittlungen aufgenommen wurden. Zu Details äußerte er sich nicht.
Wer genau hinter medileaks.cc steckt, ist unklar. Die Seite behauptet, von einem "Team von Krankenhausberatern" betrieben zu sein. medileaks.cc wolle "die ungute Ökonomisierung im Krankenhausbereich" aufdecken und verfüge über einen "riesigen Datensatz mit pseudonymisierten Patientendaten". Der erste Eintrag auf der Seite ist auf den 1. Februar 2018 datiert.
Der Krankenhauszweckverband beauftragte in dem Fall zudem eine Wirtschaftsprüfungsgesellschaft mit internen Untersuchungen. Alle Laptops seien eingesammelt worden. "Wir hatten einen Mitarbeiter unter Verdacht, weil es mehrere Hinweise gab", erläuterte ein Sprecher. Auf dem Rechner seien dann auch Indizien gefunden worden. Dem Mitarbeiter sei mittlerweile fristlos gekündigt worden. Die Staatsanwaltschaft habe eine Durchsuchung bei ihm veranlasst, es seien auch technische Geräte sichergestellt worden.
"Wenn wir Glück haben, sind die Daten hier nie aus dem Haus raus", sagte der Verbandssprecher. Ob der Mitarbeiter womöglich selbst der Betreiber von medileaks.cc sein könnte, sei noch unklar.
Mit dem Thema Datensicherheit im Gesundheitswesen befasste sich kürzlich das Aktionsbündnis Patientensicherheit e.V. (APS) auf einer Tagung.