Berlin – Ein erheblicher Datenskandal erschüttert den Telemedizin-Anbieter Dr. Ansay. Ende Jänner 2026 wurde bekannt, dass eine Sicherheitslücke es ermöglichte, Rezept- und Gesundheitsdaten von rund 1,7 Millionen Rezepten, verteilt auf etwa 500.000 Kunden, einzusehen. Dies wirft ernsthafte Bedenken hinsichtlich des Datenschutzes und der Datensicherheit auf.
Was geschah?
Laut einem Bericht von *heise online* vom 8. Januar 2026 stammt die Sicherheitslücke aus einer Fehlkonfiguration der Zugriffsregeln in einer Firebase-Firestore-Datenbank. Eingeloggte Nutzer hatten demnach nicht nur Zugriff auf ihre eigenen Daten, sondern auch auf alle anderen Rezeptdaten. Diese Lücke wurde nach einer Anfrage bei Dr. Ansay geschlossen.
Dr. Ansays Darstellung
Dr. Ansay schätzt die Anzahl der betroffenen Datensätze deutlich geringer ein. In einer Mitteilung vom 9. Januar 2026 erklärt das Unternehmen, dass es sich um einen „konfigurationsbedingten Fehler“ gehandelt habe, der in wenigen Stunden behoben wurde. Die gespeicherten Informationen, die potenziell betroffen waren, umfassen Namen, Adressen, E-Mail-Adressen sowie Gesundheitsdaten und detaillierte Informationen zu verschriebenen Medikamenten. Das Unternehmen betont, dass kritische Informationen wie Zahlungsdaten oder Passwörter nicht betroffen seien und spricht von bis zu 330.000 Datensätzen ohne unmittelbare Gefahr für Patientendaten.
Potenzielle Risiken
Die Risiken, die durch das Datenleck entstehen, könnten weitreichende rechtliche Folgen für das Unternehmen haben. Gesundheitsdaten sind besonders sensibel, da sie Rückschlüsse auf Behandlungen und den Gesundheitszustand der Betroffenen zulassen können. Dr. Stoll & Sauer, eine Rechtsanwaltsgesellschaft, hat bereits auf die Brisanz des Falles hingewiesen und betont, dass Fragen zur Dauer der Sicherheitslücke und zu einem möglichen Datenabfluss weitgehend unbeantwortet bleiben.
Datenschutzrechtliche Aspekte
Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass bei Datenpannen entsprechende Meldungen an die zuständigen Aufsichtsbehörden innerhalb von 72 Stunden nach Kenntnisnahme erfolgen müssen, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Diese Ansprüche könnten je nach Einzelfall auch Schadensersatzforderungen nach sich ziehen, insbesondere wenn ein immaterieller Schaden nachgewiesen werden kann. In ähnlichen Fällen sind Juristen bereits von Schadensersatzbeträgen bis zu 3.000 Euro ausgegangen.
Was das bedeutet
Die kontinuierlichen Berichte über Datenlecks im Gesundheitswesen unterstreichen die Verletzlichkeit sensibler Systeme. Für Verbraucher und Patienten ist es essenziell, über ihre Rechte im Rahmen der DSGVO informiert zu sein. Dr. Stoll & Sauer empfiehlt betroffenen Personen, sich rechtzeitig eine Auskunft über mögliche eigene Daten zu verschaffen und zu dokumentieren, welche Mitteilungen sie erhalten haben.
Besonders für Unternehmen, die mit gesundheitlichen Daten umgehen, ist es entscheidend, strenge Datenschutzeinstellungen zu implementieren und die Mitarbeiter über die Wichtigkeit des Datenschutzes sowie über das richtige Verhalten im Falle eines Datenlecks zu schulen.
Quelle: Presseportal.de, Datum: 14.01.2026, Fotocredit: scripora.com, AI generiert, Website: https://www.dr-stoll-kollegen.de
Autor: hml (hml@scripora.com)