Verheerende Zustände: Datenleck bei Psychatrie-Daten existiert offenbar schon seit Jahren

Der heutige Kontrollbesuch von drei Mitarbeiterinnen und Mitarbeitern des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bei der Rebus gGmbH bzw. der Brücke Rendsburg-Eckernförde e.V. hat ein vernichtendes Fazit der Datenschützer erbracht: Das in den letzten Tagen öffentlich bekannt gewordene Datenleck mit über 3.000 hochsensiblen Psychiatriedatensätzen ist durch eine Kombination von schwerwiegenden organisatorischen Mängeln entstanden:

Beteiligt sind mehrere Einrichtungen bzw. Stellen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind; aussagekräftige Dokumente konnten nicht vorgelegt werden, Qualitätskontrollen fanden beim IT-Einsatz nicht statt. Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde.

Es ist nicht auszuschließen, dass die zutage getretene Datenlücke schon seit Jahren bestand. Keine der auf Unternehmensseite an der Prüfung beteiligten Personen hatte einen Überblick über die erfolgte Verarbeitung der Daten der psychisch Kranken.

Die vorläufige Bestandsaufnahme ergab, dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden.

Thilo Weichert, Leiter des ULD: „Aktuell besteht, soweit für uns ersichtlich, keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet. Dies hat kurzfristig zur Folge, dass die dokumentierten Daten auch für den Wirkbetrieb nicht verfügbar sind. Die Unternehmen wurden verpflichtet, innerhalb einer kurzen Frist eine Vielzahl von Dokumenten vorzulegen, die Auskunft über die bestehenden …