Datenschutzkonforme Aktenvernichtung kann den Aufenthalt im Gefängnis ersparen

Joachim Jakobs,
IT-ManagementIT-ProjekteKarrierePolitikRechtSicherheit
sicherkmu-logo (Gafik: ITespresso)

Normalerweise würde ich annehmen, dass Krankenhäuser nach der schier endlosen Liste irgendwelcher Pannen mittlerweile wenigstens wüssten, wie sie mit den Ihnen anvertrauten analogen Informationen umgehen! Jetzt bin ich schlauer.

Datenschutzkonforme Aktenvernichtung kann den Aufenthalt im Gefängnis ersparen (Gafik: ITespresso)

Der Reihe nach: Die “Bild” berichtete im Februar von Röntgenunterlagen des Klinikums Weilheim, die im sechzig Kilometer entfernten München “sackweise” auf der Straße gefunden worden sein sollen: Knochenbrüche und Schädeldecken sind auf den Bildern zu sehen, die die Springer-Seite im Netz veröffentlichte. Die Bilder hätten von einem Dienstleister entsorgt werden sollen, so die Klinik. Wurden sie aber nicht.

Das ist heikel: Jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung bringt Bares auf dem Markt: Das Geburtsdatum einer Person ist Kriminellen drei Dollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar. Wer diesen Betrag mit der Summe seiner Patienten multipliziert, erhält den Wert der gesamten Patientendatenbank.

Jetzt wird der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri aktiv: “Ich gehe von einem Datenschutzverstoß aus und werde dem Sachverhalt nachgehen. Wir werden klären, wer die Verantwortung trägt.” Das Wort ‘Verantwortung’ ist in dem Zusammenhang eine wichtige Vokabel. §203 des Strafgesetzbuchs droht: “Wer unbefugt ein fremdes Geheimnis […] offenbart, das ihm als Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.”

Der „Madridman“ hat Menschen beobachtet, die Papier „sackweise“ aus einem Container in ein Auto verfrachtet haben – und vermutet, dass es sich um Datendiebe handelt. Dienstleister sollten das bei der Entsorgung von Akten mit personenbezogenen Daten berücksichtigen (Bild: MadridMan.com).
Der “Madridman” hat Menschen beobachtet, die Papier aus einem Container in ein Auto verfrachtet haben – und vermutet, dass es sich um Datendiebe handelt. Dienstleister sollten das bei der Entsorgung von Akten mit personenbezogenen Daten berücksichtigen (Bild: MadridMan.com).

Nach Ansicht von medizinrecht-ratgeber.de gehört dazu allein schon die Information darüber, wer bei welchem Arzt in Behandlung ist. Angesichts dieser strengen Regeln muss der Weg vom Aktenordner bis zur Vernichtung systematisch abgeklopft werden: Selbst wenn die Röntgenbilder im Container landen, muß die Ärztin damit rechnen, dass sie dort, bei externen Aktenvernichtern oder beim Abfallentsorger gefunden oder gestohlen werden.

Somit ist der Arzt praktisch gezwungen, seine Krankenakten selbst zu vernichten. Heuert er einen externen Dienstleister an, muss dieser das Papier nach Ansicht des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein in Gegenwart des Arztes oder dessen Gehilfen vernichten.

Das Versäumnis ist für die Interessenten anderlei Daten praktisch: Hätten die Röntgenbilder wenigstens in einem Container gesteckt, hätten sich die Angreifer zumindest die Mühe machen müssen, in denselben hinabzusteigen. Zumindest in einem Fall sollen sich vor Jahren in Madrid zwei Personen die Mühe gemacht haben, nach Papier zu “tauchen”. Der Fotograf des “MadridMan.com” bezweifelte damals, dass die beiden sich ums Papierrecycling verdient machen wollten.

Und selbst wenn das Papier physisch vernichtet ist, muss damit gerechnet werden, dass es mit Hilfe cleverer Software wieder zu neuem Leben erweckt wird: Die israelische Firma Safe Guard Ltd. bietet etwaigen Neukunden einen entsprechenden Service für nur 90 Dollar monatlich. Die kommerzielle Software scheint aktuell aber nur die Rekonstruktion von Streifenschnitt zu beherrschen.

Selbst geschreddertes Papier lässt sich wieder zusammenpuzzlen. Kostenpunkt: 90 Dollar monatlich. Deshalb müssen bestimmte Sicherheitsstufen beim Aktenvernichten eingehalten werden (Bild: Unshred.com).
Selbst geschreddertes Papier lässt sich wieder zusammenpuzzlen. Kostenpunkt: 90 Dollar monatlich. Deshalb müssen bestimmte Sicherheitsstufen beim Aktenvernichten eingehalten werden (Bild: Unshred.com).

Zum Glück! Denn somit wären die Heilberufe sicher, die der Empfehlung der Ärztekammer Baden Württemberg folgen (PDF) und die Patientenakten entsprechend Schutzstufe 3-4 zerkleinern. Klaus Foitzick, Vorstand der Münchner ActiveMind AG ist der Ansicht, Röntgenbilder stellten “sogenannte besondere Arten personenbezogener Daten” dar; deshalb verlangt der Berater von den Heilberufen bei Röntgenbildern “mindestens Schutzstufe P-4” einzuhalten: “Das bedeutet, dass die Fläche der Materialteilchen max. 160 Quadratmillimeter und für gleichförmige Partikel die Breite des Streifens maximal 6 Milimetr betragen darf.” Für Streifen-Puzzle-Dienste wie den von Safe Guard würde das locker ausreichen.

Doch die Technik wird auch in diesem Bereich leistungsfähiger: 2011 veranstaltete die die Forschungsbehörde des US-Verteidigungsministeriums den “Darpa Shredder Challenge”. Die Wettbewerbsteilnehmer sollten fünf Dokumente mit 10.000 Schnipseln rekonstruieren. Die ersten beiden Dokumente waren offenbar noch von Hand zu puzzlen. Die letzten drei konnten wohl nur noch mit Computerunterstützung gemeistert werden.

Der Gruppe “All Your Shreds Are Belong To U.S.” (“Eure Fetzen gehören alle den Vereinigten Staaten”) ist gelungen, die fünf Dokumente mit 10.000 Schnipseln zu rekonstruieren. Die Gewinner haben dabei auch künstliches Sehen eingesetzt, um zusammengehörende Papierstreifen anhand von Merkmalen wie Rissen oder Schrift zu erkennen. Wie lang die Beachtung von Sicherheitsklasse 4 für die Ärzte noch ausreicht, ist unklar.

SicherKMU hat keine Reaktion auf die Bitte um Stellungnahme aus Weilheim erhalten. Die dort Verantwortlichen müssen jetzt jedenfalls mit Knast rechnen. Zu Recht. Das jedoch wäre leicht zu vermeiden gewesen. Normalerweise.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :

Auskunftei Dun & Bradstreet verliert Millionen vertraulicher Firmendaten

Hälfte der Unternehmen nicht auf Datenschutz-Grundverordnung vorbereitet

Was bedeutet Datenhoheit in der Cloud?