Ärzte geben ganze Krankenakten an Schuldeneintreiber weiter

Durch ein Datenleck sind zehntausende Schuldnerdaten in die Hände Dritter gelangt. Ein Schweizer Inkassobüro erhielt demnach illegalerweise Patientenakten.

Gehören nicht in die Hände von Inkassobüros: Patientenakten bei einem Arzt.

Gehören nicht in die Hände von Inkassobüros: Patientenakten bei einem Arzt. Bild: Gaetan Bally/Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Durch ein schwerwiegendes Datenleck beim Inkassounternehmen EOS Schweiz sind Zehntausende sensible Schuldnerdaten in die Hände Dritter gelangt. Ein Informant hat der «Süddeutschen Zeitung» Anfang April mehr als 33'000 Dateien zugespielt, insgesamt drei Gigabyte. Es handelt sich um Daten der Schweizer Tochter der EOS-Gruppe, einem der grössten Inkassounternehmen Europas.

Die Dokumente enthalten Namen der Gläubiger und Schuldner, ihre Meldeadressen und die Höhe der ausstehenden Forderungen. Betroffen sind Zehntausende Menschen, die grösstenteils in der Schweiz leben. Die Dokumente reichen teilweise bis ins Jahr 2002 zurück.

Besonders brisant ist der Inhalt eines Ordners mit dem Namen «Uploads». Die enthaltenen Unterlagen veranlassten den Informanten, die Dokumente an die «Süddeutsche Zeitung» weiterzugeben. Ärzte schickten EOS ganze Patientenakten, mitsamt aller Vorerkrankungen der Patienten und den Details ihrer Behandlungen. Das Inkassounternehmen speicherte eingescannte Ausweise und Reisepässe, seitenlange Kreditkartenabrechnungen, Briefwechsel und private Telefonnummern. Aus diesen Daten lassen sich detaillierte Rückschlüsse auf das Leben der Schuldner ziehen.

Weitergabe von Patientenakten strafbar

Als Inkasso-Dienstleister hat sich EOS darauf spezialisiert, Schulden einzutreiben. Die EOS-Gruppe gehört zum deutschen Versandhandelskonzern Otto und hat im vergangenen Jahr mehr als 660 Millionen Euro umgesetzt. Das Geschäftsmodell: Firmen, Behörden oder Ärzte beauftragen EOS, gegen eine Gebühr Mahnungen zu verschicken oder Betreibungen einzuleiten. EOS nimmt unbezahlte Rechnungen entgegen und wendet sich dann direkt an die Schuldner. Mit 55 Unternehmen in 26 Ländern zählt die EOS-Gruppe nach eigenen Angaben zu den grössten Finanzdienstleistern Europas.

Um Schulden einzutreiben, reichen nach Expertenmeinung Name und Anschrift des Schuldners und der offene Rechnungsbetrag. Teilweise enthalten die Dokumente aber Informationen, die weit darüber hinausgehen. Wer Inkassounternehmen sensible Dokumente wie Patientenakten zur Verfügung stelle, begehe nicht nur eine Dummheit, sondern eine Straftat, sagt der Schweizer Datenschutzbeauftragte, Adrian Lobsiger. Ein solches Vorgehen sei «unverhältnismässig und somit nicht zulässig».

Grundsätzlich sind Unternehmen gesetzlich verpflichtet, alle Informationen über Schuldner zu löschen oder zu sperren, die nicht mehr benötigt werden. Die EOS-Gruppe hat ihren Hauptsitz in Hamburg. Betroffen sind jedoch nur Kunden von der Schweizer Tochterfirma.

Hacker soll IT-Sicherheitslücke ausgenutzt haben

Man habe gleich nach der Anfrage der Süddeutschen Zeitung «eine umfassende Revision der Prozesse angeordnet», teilt eine Firmensprecherin mit. EOS wolle nun klären, weshalb sensible Daten von Schuldnern überhaupt erhoben und aufbewahrt wurden. Schweizer Behörden und Kunden habe man nun über das Leck informiert.

Nach Angaben des Informanten habe ein Hacker eine IT-Sicherheitslücke ausgenutzt, um an die Daten zu kommen. Vielen moderne Webseiten basieren auf einem Grundgerüst namens Apache Struts. Dort habe es eine Schwachstelle gegeben, über die es Dritten gelungen sei, auf EOS-Server zuzugreifen.

Es handelt sich um die gleiche Schwachstelle, die Hacker ausgenutzt haben, um sich im vergangenen September illegal Daten von 143 Millionen US-Amerikanern zu verschaffen: Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen. Betroffen war die Wirtschaftsauskunftei Equifax. Anschliessend brach erst der Aktienkurs ein, dann trat der Chef zurück.

Auf Nachfrage teilt eine EOS-Sprecherin mit, dass Anfang April Versuche bemerkt wurden, in denen «ungewöhnlich viele Pakete» an fremde Computer gesendet werden sollten. EOS habe jedoch «trotz intensivster Analysen nach wie vor nicht feststellen» können, «dass wir Opfer eines erfolgreichen Hacker-Angriffs geworden sein sollen». EOS gehe von einem «Verdachtsfall» aus und habe externe Unterstützung in Anspruch genommen.

Nach den Unregelmässigkeiten im Frühling habe man den «Server komplett neu aufgesetzt. Die Sicherheitslücke wurde damit geschlossen». Nun werden die Systeme erneut analysiert. Es lässt sich nicht sagen, ob tatsächlich ein Angreifer von aussen die EOS-Daten stahl, oder ob sie von jemandem weitergegeben wurden, der bereits Zugriff hatte – einem verärgerten Mitarbeiter, zum Beispiel. Die betroffene Webseite ist derzeit offline.


«Das waren für mich die Bilder des Jahres»

Bildredaktor Boris Müller über Trumps Fake-Triumph und den berührenden Abschied von toten Rockstars.


(Süddeutsche Zeitung)

Erstellt: 27.12.2017, 09:20 Uhr

Artikel zum Thema

Grosses Datenleck bei Velovermieter O-Bike

Laut Medienberichten waren zum Beispiel die Telefonnummern und Profilbilder der Nutzer im Internet frei einsehbar. Die Sicherheitslücke sei weltweit aufgetreten. Mehr...

Hacker erbeuten fast 70 Millionen Dollar in Bitcoins

Der Bitcoin-Hype zieht offenbar immer mehr Kriminelle an: Jüngstes Hacker-Opfer ist die Online-Börse NiceHash. Mehr...

«Es könnte ein illegaler Handel mit Gesundheitsdaten entstehen»

Interview Datenschützer Bruno Baeriswyl warnt vor lockerem Umgang mit Patientendaten. Geraten diese in falsche Hände, ist der Schaden nicht mehr zu korrigieren. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Die Welt in Bildern

Sonnenbaden mit gummigem Halsband: Dieses Krokodil trägt schon seit zwei Jahren einen Pneu um den Hals.
(Bild: Antara Foto/Mohamad Hamzah/ via REUTERS) Mehr...