Bei dem kontroversen Telemedizinanbieter DrAnsay.com kam es zu einer schwerwiegenden Datenpanne. Dies bestätigte der Geschäftsführer Dr. Can Ansay am 14.05.2024 in seiner eigenen Pressemitteilung.
Welche Daten sind betroffen?
Demnach seien Patientendaten der verschriebenen Rezepte über eine Suchmaschine frei einseh- und abrufbar. Hierzu zählen
- Ausstellender Arzt, z.T. mit Fachrichtung wie Neurologie
- Vorname und Nachname
- Anschrift, PLZ und Ort
- Geburtsdatum
- Datum des Rezepts
Anhand der Pressemitteilung von Dr. Ansay wird zudem der Bezug zu den bestellten „Blüten“ – gemeint ist wohl das online verschriebene Medizinalcannabis. Damit wird in der Gesamtschau deutlich, dass es sich überwiegend oder sämtlich um Cannabis-Konsumenten handelt.
Welche Nutzer sind betroffen?
Dr. Ansay selbst gibt an, dass rund 20% der Nutzer betroffen seien.
Unser eigene Recherche am 16.05.2024 ergab, dass über 2.000 Nutzerdatensätze über die Suchmaschine öffentlich einsehbar waren. Auch die in der s.g. Sitemap verlinkten Rezept-PDFs beliefen sich auf etwas über 2.000 Datensätze,.
Laut Heise.de gingen bei dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereits „zahlreiche Beschwerden“ ein.
Dr. Ansay selbst kündigte in seiner vormaligen Pressemitteilung vom 14..05.2024, die inzwischen inhaltlich stark verkürzt worden ist, an, dass man die betroffenen Nutzer per E-Mail kontaktieren werde. Die Pressemitteilung ist (Stand 17.05.2024) inzwischen stark verkürzt worden.
Was ist der Grund für die Datenpanne?
Dr. Ansay selbst sprach in der ersten Fassung seiner Pressemitteilung vom 14.05.2024 von einem „geringen Sicherheitsniveau“, das durch ehemalige Mitarbeiter verursacht worden sei, die inzwischen für ein Konkurrenzunternehmen tätig seien.
Insoweit räumte Dr. Ansay bereits ein, dass ein zu niedriges Sicherheitsniveau vorläge – wenn auch durch das Handeln seiner Mitarbeitenden begründet.
Die Pressemitteilung ist in der aktuellen Fassung ergebnisoffener formuliert.
Unsere Recherchen deuten darauf hin, dass es sich um einen indexierten Webshare handelt, der über die Suchmaschinen „abgetastet“ und in den regulären Suchergebnissen angezeigt werden konnte.
Was Betroffene wissen sollten
Die Veröffentlichung der Patientendaten stellen Gesundheitsdaten dar, die einem ganz besonderen Schutz unterliegen. Die unbeabsichtigte Veröffentlichung von über 2.000 Datensätzen in regulär genutzten Suchmaschinen stellt aus unserer Sicht eine erhebliche Datenpanne dar.
Betroffene sollten deshalb prüfen, ob sie Ansprüche gegen den Anbieter von DrAnsay.com geltend machen möchten.
Denn gem. Art. 82 DSGVO können Betroffene einen Anspruch auf Schmerzensgeld und Schadenersatz haben, der aufgrund der betroffenen Daten (Gesundheitsdaten) und der einfachen Zugriffsmöglichkeiten über eine reguläre Suchmaschinenabfrage erheblich sein dürfte.
