Die Informationspolitik der Ameos Gruppe nach dem Hackerangriff auf ihre deutschen Einrichtungen im Juli steht in der Kritik. Mehrere Datenschutzbehörden der Länder prüfen jetzt, ob das Unternehmen möglicherweise gegen Regeln des Datenschutzes verstoßen hat. Nach Informationen der Deutschen Presse-Agentur geht es dabei um die Informationspflichten des Gesundheitskonzerns gegenüber Personen, deren Patientendaten möglicherweise von den Kriminellen gespeichert wurden.
Die Landesbeauftragte für Datenschutz in Sachsen-Anhalt, Maria Christina Rost, teilte auf Anfrage mit, dass mehrere Beschwerden in diesem Kontext vorlägen. Es seien mehrere Bundesländer mit der Prüfung befasst und in der Abstimmung. Weitere Informationen könnten aufgrund des laufenden Verfahrens nicht gegeben werden.
Der Angriff auf die IT-Systeme von Ameos hatte im Juli zu erheblichen Störungen in den deutschen Einrichtungen des Konzerns geführt. Die Ameos Gruppe behandelt nach eigenen Angaben mehr als 500.000 Patienten jährlich. Zum Klinikverbund gehören mehr als 100 Einrichtungen an über 50 Standorten. Zuletzt hatte der Konzern bekanntgegeben, dass bei dem Hackerangriff auch Daten von Patienten und Mitarbeitern erbeutet worden seien. Das Landeskriminalamt Sachsen-Anhalt ermittelt wegen des Cyberangriffs.
Nutzer sollten Ausweis hochladen
Kritik hatte es unter anderem daran gegeben, dass der Konzern auf seiner Internetseite ein Formular bereitgestellt hatte, über das sich potenziell Betroffene eigenständig bei Ameos melden und dazu auch Ausweisdokumente hochladen sollten. Nach Artikel 34 der Datenschutzgrundverordnung müssen Unternehmen dagegen von sich aus Betroffene informieren.
Der Klinikkonzern hat das Vorgehen in der Zwischenzeit auf seiner Internetseite geändert und weist in einer neuen Mitteilung darauf hin, dass nach Rücksprache mit der zuständigen Datenschutzbehörde, Betroffene unaufgefordert und proaktiv informiert würden. Unabhängig von der Nutzung der bereitgestellten Formulare würden Sie nach Abschluss des Prüfverfahrens unaufgefordert (postalisch) individuell informiert, heißt es.
Durch die freiwillige Verwendung des Formulars könne die Bearbeitungsdauer und damit die Zeit bis zu einer Rückmeldung allerdings verkürzt werden, da dies die interne Bearbeitung vereinfache, erklärt Ameos weiter. Zusätzliche Unterlagen seien nicht erforderlich. Soweit das Formular bereits genutzt worden sei, bestätige Ameos, „dass zur Identifikation abgefragte Daten bereits gelöscht worden sind“.
Kritik von Verdi
Der Verdi-Landesbezirk Niedersachsen-Bremen hat Ameos unterdessen aufgefordert, künftig deutlich mehr für den Schutz personenbezogener Daten zu tun als bislang. „Deren Schutz muss für Unternehmen an oberster Stelle stehen – insbesondere bei Einrichtungen des Gesundheitswesens“, sagt der zuständige Fachbereichsleiter David Matrai. Nach dem Angriff im Juli würden die möglichen Betroffenen erst jetzt darüber informiert, kritisiert Matrai. So könne ein Konzern in einer Situation, „in der es auch um Daten von Patienten in psychiatrischen Einrichtungen geht“ nicht vorgehen. Auch der Umstand, dass die Ameos Gruppe nicht von sich aus die Standorte benenne, die vom Datenklau betroffen sind, sei „absolut intransparent“.
Verdi kritisierte zudem das in der Zwischenzeit revidierte Vorgehen, dass mögliche Geschädigten selbst Informationen darüber einholen sollten, ob ihre Daten unrechtmäßig an Dritte gelangt sind oder nicht, und dafür eine Kopie ihres Personalausweises im Internet hochladen sollten. „Wer garantiert, dass diese personenbezogenen Daten nicht gleich wieder in die falschen Hände gelangen“, fragt Matrai. Das Vertrauen in die IT-Sicherheit des Krankenhauskonzerns sei „nachhaltig zerstört“.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen