Wenn über die Risiken von Datenverarbeitung im Netz debattiert wird, gelten unfreiwillig veröffentlichte psychiatrische Patientenakten immer als der GAU. In Schleswig-Holstein ist dieser größte anzunehmende Unfall nun passiert. Die Lübecker Nachrichten berichteten als Erste , dass Tausende Dokumente von mehreren psychiatrischen Einrichtungen eine unbekannte Zeit lang frei über das Netz zugänglich waren.

Datenschützer bestätigten den Fall inzwischen. Ungefähr 4.000 Dokumente seien betroffen, sagte Thilo Weichert, der Landesdatenschutzbeauftragte und Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD). Die Daten seien "tagesaktuell" gewesen, die neuesten stammten vom Vortag, vom gestrigen Donnerstag. Inzwischen wurde der Server jedoch komplett abgeschaltet.

Medizinische Befunde, psychiatrische Gutachten, eingescannte Berichte, Briefe der Kliniken, Verhaltensstudien von Patienten – alles, was für die psychiatrische Betreuung von Patienten relevant sein könnte, lag ungeschützt auf einem Server der Rebus gGmbH, einem IT-Dienstleister, der für verschiedene Betreuungseinrichtungen arbeitet.

Betroffen waren mehrere soziale Dienste, hauptsächlich aber der Verein Die Brücke aus Rendsburg-Eckernförde . Zu diesem Verein gehören mehrere Gesellschaften für die Betreuung von Behinderten und Kranken und auch der IT-Dienstleister namens Rebus. Dieser unterhielt die betroffene Datenbank.

Ursache des Lecks unklar

Wer oder was genau das Leck verursacht hat, ist bislang nicht klar. Man ermittele das noch, sagte Weichert. Auch die Firma Rebus hat noch keine Ursache identifizieren können, ein "Konfigurationsfehler" sei ebenso möglich wie ein "Hackerangriff". Erklären könne man sich den Fall nicht und habe "stets alles getan, diese vertraulichen Daten zu sichern".

Wie und ob überhaupt die Daten ursprünglich gesichert gewesen seien, müsse noch geklärt werden, sagte Weichert und fügte hinzu: "Solche Rechner haben im Internet eigentlich überhaupt nichts zu suchen."

Bei Rebus heißt es, die Datenbank sei selbstverständlich "hoch verschlüsselt" und die Zugänge dazu gesichert. Die Datenbank mit den Patientenakten selbst sei auch gar nicht betroffen gewesen. Über das Netz zugänglich seien Dokumente gewesen, die als Anhänge mit den Krankenakten verknüpft seien, eben all die Dinge, die wie Briefe und Beurteilungen auch zu einer Patientenakte gehörten. Der Ordner mit diesen Begleitdokumenten habe sich nicht in der Datenbank selbst befunden, sondern sei an einem anderen Ort im System abgelegt gewesen.

Er sei über einen Zugang erreichbar gewesen, "den wir selbst nicht kannten", sagte eine Sprecherin von Rebus.