Im Register für Brustoperationen klaffen Sicherheitslücken

Die Schweizer Datenbank "Mammoregister" muss in Sachen Datenschutz nachbessern. Laut einem Bericht von "SRF" weist das Register, in dem Ärzte Tausende Brustoperationen dokumentieren, gravierende Sicherheitsmängel auf.

Konkret werden in "Mammoregister" Kontaktdaten zu Patientinnen sowie Details zu deren Brustimplantaten (etwa Hersteller und Seriennummer sowie Volumen) erfasst, schreibt "SRF". Dies geschieht, um Patientinnen im Falle von Komplikationen oder fehlerhaften Implantaten schnellstmöglich kontaktieren zu können.

Jeder kann Daten erfassen und abrufen

Diese Daten sollten eigentlich nur Ärzte erfassen können. Doch die "SRF"-Recherche zeigt, dass sich jede beliebige Person als Fachperson registrieren konnte. Die Betreiberin "Swiss Plastic Surgery" prüfe die Identität der registrierten Personen nur ungenügend, urteilt "SRF".

Einmal angemeldet, sei es möglich gewesen, neue Datenbankeinträge zu erstellen. Und noch schlimmer: "Mit weiterem IT-Wissen" liessen sich die sensiblen Daten tausender Patientinnen einsehen.

EDÖB untersucht, Betreiberin schweigt

Brigitte Röösli, Co-Präsidentin der Patientenstelle Zürich, spricht gegenüber "SRF" von einem "Verrat an der Glaubwürdigkeit und der Vertrauensbasis zwischen dem Arzt und der Patientin". Und die Datenschutz-Expertin Ursula Sury von der Hochschule Luzern führt aus, dass "Mammoregister" in mehrfacher Hinsicht gegen das Datenschutzgesetz verstosse. Denn einerseits müsse der Betreiber eines solchen Registers sicherstellen, dass niemand die Daten sehen dürfe, der nicht berechtigt dazu sei. Andererseits müsse sichergestellt werden, dass jene, die berechtigterweise im Register sind, nur das machen können, was unbedingt nötig sei.

Der Schweizerische Öffentlichkeits- und Datenschutzbeauftragte (EDÖB) hat laut "SRF" eine Untersuchung eingeleitet. "Die Betreiberin hat bereits reagiert und zeigt sich kooperativ. Das 'Mammoregister' ist bereits offline und wird erst nach Absprache mit dem EDÖB wieder online gestellt", zitiert ihn "SRF".

Derweil gibt sich "Swiss Plastic Surgery", die das "Mammoregister" betreibt, wortkarg: Die Gesellschaft bestätigt gegenüber "SRF", mit dem EDÖB in Kontakt zu stehen, gibt aber keine weiteren Kommentare oder Antworten. Auch auf Anfrage teilt die Geschäftsstelle mit, Medien zu diesem Thema aktuell keine Auskünfte zu geben.

Die Liste der medizinischen Datenbanken, die wegen ungenügendem Datenschutz in die Bredouille geraten, wird immer länger. Vor knapp einem Jahr machte das Schweizer Impfregister "Meineimpfungen.ch" von sich reden. Auch hier konnten sich fast beliebige Personen als Ärzte ausgeben und Daten abgreifen. Das Register wurde nach Bekanntwerden der Sicherheitsmängel offline genommen. Kurz darauf ging die Stiftung, die die Plattform betrieb, pleite.

Anfang Jahr sorgte die Organisation Swisstransplant mit ihrem Organspende-Register für recht ähnliche Schlagzeilen. Auch hier kritisierten Experten, dass die Identität der sich registrierenden Fachpersonen ungenügend überprüft und der Datenzugriff nicht eingeschränkt wurde.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.