Patientendaten in Gefahr

Aus unserer beliebten Serie „Blick in den Abgrund“ heute: Arztpraxen verschicken Befunde unverschlüsselt per E-Mail – Daten über medizinische Notfalleinsätze liegen offen im Internet. Was ist da los im Gesundheitswesen? Hat man dort noch nie von Datensicherheit gehört?

Wie der Deutschlandfunk berichtet, gibt es anscheinend Standard-Software für Arztpraxen, die „Laborergebnisse unverschlüsselt per Mail verschickt“. Die Stiftung Warentest hat ausprobiert, wie leicht man an sensible Patientendaten kommt. Mit Einverständnis der Patienten fragte man beim Hausarzt per E-Mail nach persönlichen medizinischen Informationen – und bekam sie in 40 Prozent der Fälle. Dass die Mails unverschlüsselt waren, war dabei noch nicht einmal das Hauptproblem. Viel schlimmer: Der Absender war jedesmal eine neue, beim Arzt nicht registrierte E-Mail-Adresse!

Ein Schlaglicht auf solche Praktiken wirft eine Diskussion im Benutzerforum des Praxissystems Tomedo. Ein Arzt fragt, wie er Laborwerte per E-Mail an Patienten schicken kann. Die Antwort erläutert die nötigen Klicks, es ist keine Rede von Verschlüsselung. Erst als ein anderer Nutzer das Vorgehen „bedenklich“ findet, wird es überhaupt thematisiert. Einer teilt mit, dass er seine Patienten unterschreiben lässt, dass sie mit dem Versand ihrer Daten per E-Mail einverstanden sind. Das höchste der Gefühle ist dann ein verschlüsseltes PDF, zu dem das Passwort per SMS verschickt wird. PGP oder S/MIME sind anscheinend völlig unbekannt. Da wundert es einen schon kaum noch, wenn man erfährt, dass Rettungsdienste ihre Einsatzdaten unverschlüsselt per Funk hinausposaunen.

Wer will, kann das mit billiger Hardware abhören. Wir können froh sein, dass sich das noch nicht zu Einbrecher- und Trickbetrügerbanden herumgesprochen hat. „Herr Meier, Mühlenweg 12, ist gerade ins Krankenhaus gekommen! Nix wie hin, die Bude plündern!“ Einen ganz anderen Umgang mit gestohlenen Patientendaten pflegt dagegen die Plattform medileaks.cc. Hier hat man – anscheinend mit Hilfe von Insidern – Daten aus 300 Krankenhäusern über 10 Jahre erbeutet. Und nutzt sie jetzt, um Missstände im Gesundheitswesen aufzudecken. Einer davon ist offensichtlich eine völlig unzureichende Datensicherheit.