Datenpanne in Finnland – Psychotherapiedaten gehackt!

Sensible Patientendaten wurden von Hackern erbeutet – was lernen wir daraus?

19.11.2020

Nach aktuellen Berichten wurde ein großes Psychotherapie-Zentrum in Finnland, welches landesweit 22 Praxen mit rund 300 Psychotherapeuten betreibt, von kriminellen Hackern (leider erfolgreich) angegriffen (hierzu vgl. den Online-Beitrag auf heise.de vom 27.10.2020). Dabei wurden möglicherweise Zehntausende Datensätze von Patientinnen und Patienten erbeutet.

Darunter sind nach den aktuellen Erkenntnissen nicht nur allgemeine Informationen wie beispielsweise Name oder Kontaktdaten gewesen, sondern auch besonders sensible Patientendaten.

Was ist konkret vorgefallen?

Den Hackern sei es nach eigenen Behauptungen gelungen, Zugriff auf personenbezogene Daten von insgesamt 40.000 teils minderjährigen Patienten zu erhalten. Neben den Kontaktinformationen und Daten wie beispielsweise Name oder Geburtsdatum gehören zu den erbeuteten Daten wohl auch sensible Patientendaten wie Diagnosen oder Tagebücher der betroffenen Personen.

Aus Sicht der betroffenen Patienten ist dies natürlich eine desaströse Situation, denn bei den erbeuteten Daten handelt es sich um besonders sensible Daten im  Sinne des Art. 9 DSGVO. Insbesondere bei Gesundheitsdaten und gegebenenfalls weiteren Daten hinsichtlich anderer in Art. 9 DSGVO aufgeführten Datenkategorien hat deren Veröffentlichung für die betroffenen Personen regelmäßig ein sehr hohes Risiko für ihre Rechte und Freiheiten zur Folge.

Psychische Erkrankungen werden aus Angst vor negativen Folgen (zum Beispiel gesellschaftlicher Ächtung, Verlust des Arbeitsplatzes, Verschlechterung der Karrierechancen oder geschäftlicher Beziehungen oder gar deren Abbruch) von den betroffenen Personen nur selten öffentlich gemacht.

Werden sensible Patientendaten öffentlich, so dass nicht mehr nachvollziehbar ist, wer und diese im Internet abruft und zu welchen Zwecken sie verwendet (missbraucht) werden, müssen die Betroffenen befürchten dass beispielsweise eine Bewerbung nicht erfolgreich war weil der potenzielle Arbeitgeber ein Online-Screening durchgeführt hat und dabei auf die offengelegten Daten gestoßen sein könnte. Zwar müsste die betroffene Person über die in diesem Zusammenhang erfolgte Verarbeitung der personenbezogenen Daten informiert werden, sofern ein Online-Screening stattfindet. Es ist jedoch fraglich, ob dies in jedem Einzelfall entsprechend der gesetzlichen Forderung nach Transparenz und Vollständigkeit erfolgen würde (siehe Artt. 12 ff. DSGVO oder unser Artikel hier). Auch andere Gefährdungsszenarien sind denkbar bzw. realisieren sich offenbar gerade.

Wie hoch sind die Forderungen der Kriminellen und gegenüber wem?

In dem konkreten Fall in Finnland ist es so, dass sowohl das Psychotherapie-Zentrum selbst als auch die einzelnen Patientinnen und Patienten von den Erpressern kontaktiert und genötigt werden, Geld zu zahlen. Wie bekannt wurde, wird von dem Therapiezentrum eine halbe Million Euro gefordert, damit die Patientendaten nicht veröffentlicht werden. Die Patienten werden aufgefordert, einen Gegenwert von ca. 200,00 EUR in Bitcoin zu bezahlen. Wie viele der 40.000 betroffenen Patienten dabei kontaktiert wurden, ist unklar.

Offenbar wusste der (inzwischen entlassene) Geschäftsführer um die Datenpanne bereits seit November 2018, denn der Vorfall wurde im Unternehmen bereits zu diesem Zeitpunkt erkannt. Im März 2019 soll ein weiterer Datenabfluss stattgefunden haben, von dem man nach der nun erfolgten Veröffentlichung ebenfalls wusste. Zwischen dem ersten Datenabfluss und der Erpressung durch die Täter liegen also insgesamt fast 2 Jahre.

Aus Sicht des Datenschutzes handelt es sich bei der vorliegenden Situation um eine klassische Datenpanne, die das Gesetz als „Verletzung des Schutzes personenbezogener Daten“ bezeichnet. In Art. 33 DSGVO wird festlegt, dass in solchen Fällen der Verantwortliche binnen 72 Stunden ab Bekanntwerden der Datenschutzverletzung diese an die zuständige Aufsichtsbehörde melden muss. Darüber hinaus schreibt Art. 34 DSGVO vor, dass soweit die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, auch die betroffenen Personen über die Verletzung unverzüglich zu informieren wären.

In der vorliegenden Situation hätten also sowohl die Aufsichtsbehörde als auch die betroffenen Personen (Patienten) direkt von dem Psychotherapiezentrum informiert werden müssen. Inwiefern dies geschah, kann den aktuellen Presseberichten nicht entnommen werden.

Wie konnte so etwas passieren?

Eine solche Datenpanne, wie es sie in Finnland gegeben hat, passiert, weil die technischen und organisatorischen Maßnahmen (TOM), die in Art. 32 DSGVO festgelegt sind, nicht oder nur unzureichend umgesetzt wurden. Wenn 10 Gigabyte an Daten (von einer solchen Datenmenge gehen IT-Experten, die den Fall untersucht haben, derzeit aus) entwendet werden können, ohne dass dies durch den Verantwortlichen umgehend bemerkt oder verhindert werden kann, deutet alles darauf hin, dass die gesetzliche Forderung nach Datensicherheit im betroffenen Unternehmen nicht oder nur ungenügend umgesetzt wurde. Dass der Angriff in diesem Fall sogar gleich zwei Mal mit einen gewissen zeitlichen Abstand erfolgreich durchgeführt werden konnte, wirft ebenfalls kein gutes Licht auf die Sicherheitsmaßnahmen bei dem betroffenen Unternehmen.

Zwar kann es auch durch eine bestmögliche Umsetzung der TOM keinen hundertprozentigen Schutz vor Kriminellen geben. Durch die Umsetzung geeigneter Maßnahmen kann deren Arbeit jedoch deutlich erschwert und Risiken für die betroffenen Personen damit erheblich minimiert werden. In der Regel können damit zumindest derart schwerwiegende Datenschutzverstöße wie im vorliegenden Fall, vermieden werden.

Fazit

Der aktuelle Fall aus Finnland zeigt deutlich, wie wichtig die Umsetzung der technischen und der organisatorischen Maßnahmen in einer Organisation oder einem Unternehmen ist.

Insbesondere dann, wenn es sich bei dieser Organisation um eine medizinische Einrichtung handelt, die in großem Umfang Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten verarbeitet, sind wirksame Sicherheitsmaßnahmen zu ergreifen. Auch die Sensibilisierung der Mitarbeiter spielt in diesem Fall eine sehr große Rolle. Denn nur durch aufmerksame und gut geschulte Mitarbeiter kann sichergestellt werden, dass Datenpannen wie die hier geschilderte, nicht stattfinden.

Benötigen Sie Unterstützung im Rahmen der Umsetzung der technischen und organisatorischen Maßnahmen oder möchten Ihre Beschäftigten im Bereich des Datenschutzes sensibilisieren? Rufen Sie uns an, wir helfen Ihnen gerne!