Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay

Publiziert am 30. Mai 2024 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Beim "Internet-Dienstleister" Dr. Ansay hat es ja einen veritablen Datenschutzvorfall gegeben, bei dem Patientenrezepte für Cannabis per Internet abrufbar waren. Auch wenn das Datenleck schnell geschlossen wurde und die Rezepte nicht mehr abrufbar waren, ließen sich entsprechende Daten über Suchmaschinen abrufen. Bezüglich des Vorfalls gab es nicht nur eine bemerkenswerte Reaktion des CEO, Dr. Jur Ansay. Mir liegt auch eine Antwort des Landesdatenschutzbeauftragten vor. Daher kehre ich in einer Nachlese mal den Sachstand (auf dem Hof dieses Blogs) zusammen.

Anzeige

Der DSGVO-Vorfall

Der magere Sachverhalt ist schnell auf den Punkt gebracht. Beim (wohl umstrittenen) Online-Anbieter Dr. Ansay (der Dr. Ansay ist Jurist mit Promotion), der neben Online-Krankschreibungen auch Cannabis-Rezepte von Ärzten (vermutlich aus Malta, wo das als Ltd fungierende Unternehmen seinen Sitz hat) ausstellen lässt, gab es ein veritables Datenleck.

Ein Verzeichnis mit generierten PDF-Dateien zu Canabis-Rezepten war wohl frei per Internet erreichbar und wurde von der Suchmaschine Bing indexiert. Das Datenleck auf dem Server wurde zwar schnell geschlossen, aber die Suchmaschinen (Bing, DuckDuckGo) und Microsoft Copilot ermöglichten die Metadaten zu den Dokumenten weiter abzurufen. Ich hatte über dieses Datenleck im Blog-Beitrag Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar über die Details berichtet und auch etwas zur Plattform geschrieben.

Schuld sind die anderen

Gut, ein DSGVO-Vorfall kann immer passieren. Sehr bemerkenswert war aber die Reaktion des CEO, Dr. jur. Ansay, der Bing und DuckDuckGo der illegalen Offenlegung der Daten beschuldigte und folgende Einlassung auf seiner Internetseite von Dr. Ansay publizierte.

Datenleck bei Dr. Ansay

Anzeige

Ich hatte den Sachverhalt und weitere pikante Details (z.B. über die Politikerliste von Landtagsabgeordneten der Parteien Grüne und SPD) im Beitrag Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen aufgegriffen.

Was meint die Datenschutzaufsicht?

Normalerweise hätte ich über den Vorfall einmal berichtet und gut ist. Das Verhalten des Plattformbetreibers hat dann einen zweiten Artikel getriggert und ich habe zum 16. Mai 2024 formal eine DSGVO-Beschwerde bei der Beauftragten für Datenschutz Hamburg eingereicht und auf meine Blog-Beiträge verwiesen. Zum 24. Mai 2024 erreichte mich die Antwort der Beauftragten für Datenschutz Hamburg_

Sehr geehrter Herr Born,

wir haben Ihre Nachricht am 16.05.2024 erhalten. Ihr Vorgang wird hier unter dem Aktenzeichen B5/01.02-1882/2024 bearbeitet.

Für Ihren Hinweis auf eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Webseite dransay.com bedanken wir uns!

Wir sind in der vergangenen Woche zu dem Vorfall an die Verantwortliche herangetreten. Zum aktuellen Stand können wir Ihnen mitteilen, dass nach Schließen des Datenlecks inzwischen auch über die Suchmaschinen DuckDuckGo und Bing keine personenbezogenen Daten im Zusammenhang mit Rezeptbestellungen mehr abrufbar sein sollten.

Wir bitten um Verständnis, dass wir Sie – als nicht von dem Vorfall betroffene Person – über den Fortgang der Sache nicht unterrichten werden.

Mit freundlichen Grüßen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Ich habe es verifiziert, die Metadaten lassen sich mit Bing und DuckDuckGo nicht mehr abrufen – auch CoPilot verweigert die Auskünfte – ich hatte eine entsprechende Patientenadresse zu einem fixen Ort ermittelt. Hier halten die Schutzzäune, die Microsoft bei CoPilot eingezogen hat.

Q1/2024: 3,2 Mio. Datenlecks in Deutschland

Im Kontext des obigen Datenlecks habe ich vom Cybersicherheitsunternehmen Surfshark noch interessante Informationen und Daten bekommen, die sich aus einer globalen Studie ergeben. Seit 2004 wurden in Deutschland 486,7 Millionen Konten geleakt.

  • Allein in Q1/2024 gab es in Deutschland 3,2 Millionen geleakte Online-Nutzerkonten, was einen Anstieg von 236% im Vergleich zu Q4 2023 ausmacht und was Deutschland zu einem der Länder mit den meisten Datenschutzverletzungen weltweit macht.
  • Im Durchschnitt werden zu jeder E-Mail-Adresse 2 weitere persönliche Daten entwendet. In Deutschland wurden insgesamt 986,9 Millionen personenbezogene Daten offengelegt.
  • So wurden beispielsweise 516,1 Millionen deutsche Passwörter zusammen mit den Konten geleakt. Das bringt die betroffenen Nutzer in die Gefahr, dass ihre Konten übernommen werden. Das könnte auch zu Identitätsdiebstahl, Erpressung oder sonstiger Cyberkriminalität führen.

"Surfsharks umfassende Beobachtung von Trends bei Datenschutzverletzungen in den letzten zwei Jahrzehnten zeigt eine alarmierende digitale Realität: Datenlecks sind eine anhaltende globale Bedrohung. Seit 2004 wurden weltweit sage und schreibe 17 Milliarden Benutzerkonten geleakt, und zu Beginn dieses Jahres wurden 400 Millionen Fälle registriert", sagt Lina Survila, Sprecherin von Surfshark. "Wir fordern jeden auf, wachsam zu bleiben, sichere Passwörter zu erstellen, sie nicht auf mehreren Webseiten oder Apps zu verwenden und Vorsicht zu halten, wenn persönliche Informationen online weitergegeben werden."

Aber hey, ließ nicht eine Splitterpartei mit dem Namen FDP vor irgend einer Wahl die Losung "Digitalisierung first, Bedenken second" plakatieren? Ich nehme an, dass diese Saat aufgegangen ist. Und heute rufen Leute mal wieder, "Datensparsamkeit ist in der heutigen Zeit eine irrsinnige Idee", wie ich im Beitrag re:publica: Kontra Datenschutz; wo ist die Medizinethikering Buyx "falsch abgebogen? ausgeführt habe.

Ähnliche Artikel:
Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen
Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar

Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
eRezept ab 2024 verpflichtend – Ungereimtheiten führen zum Desaster
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
IT aus der Hölle im Gesundheitswesen: Schlimmer geht's (n)immer
Nachlese: Software-Sicherheitslücken in Mikropro Health in deutschen Gesundheitsämtern
Lethal Injection: Microsoft AI-Bot für das Gesundheitswesen mal eben gehackt
NCA-Insides: Lehren aus den Hacks im Gesundheitswesen

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay

  1. Tomas Jakobs sagt:
    31. Mai 2024 um 16:51 Uhr

    Ich bin der (durchaus streitbaren) Meinung, dass noch viel mehr Ransomware und Hacks passieren müssen. Handlungsempfehlung für jeden Beschäftigten in einem typischen Unternehmens-Netzwerk: Klickt auf jede Email-Anlage, öffnet jeden Link! Wenn mit einem angeblichen "falschen" Klick die ganze IT Infrastruktur "platzt" und um die Ohren fliegt, dann ist das nicht Eure Schuld. Dann ist die Infrastruktur schlicht "kacke" und der Verantwortliche hat seinen Job nicht gemacht. Der Arbeitgeber hat für eine sichere Arbeitsumgebung zu Sorgen, wo ohne Gefahr zwischen einer Fake-Rechnung oder Bewerbung mit Ransomware und einer richtigen unterschieden werden muss.

    In diesem Sinne, schönes WE!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.