Nach einem massiven Datenleck fordert der Datenschutzbeauftragte schärfere Gesetze für Drittanbieter. Ein Hackerangriff auf das Patientenportal „Manage My Health“ (MMH) legte gravierende Sicherheitslücken offen.
Die Untersuchung des Vorfalls, der sich Ende 2025 ereignete, zeigt ein erschreckendes Bild. Die Hackergruppe Kazu erbeutete rund 100.000 Patientendatensätze und forderte ein Lösegeld von umgerechnet rund 55.000 Euro. Besonders betroffen ist die Region Northland: Dort leben etwa 91 Prozent der Opfer, viele von ihnen gehören zur indigenen Bevölkerung der Māori.
Der aktuelle Vorfall zeigt drastisch, wie Cyberkriminelle gezielt Sicherheitslücken in IT-Infrastrukturen ausnutzen. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken in Ihrem Unternehmen schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Portal und Behörde gleichermaßen versagt
Datenschutzbeauftragter Michael Webster stellte fest, dass sowohl der Betreiber des Patientenportals MMH als auch die nationale Gesundheitsbehörde Health NZ ihre Pflichten zum Schutz sensibler Daten verletzt haben. Dem Portal fehlten grundlegende technische Sicherungen – etwa Mechanismen, um unbefugten Massenzugriff auf Daten zu erkennen oder zu verhindern. Zudem, so der Bericht, habe das Projektteam bei Health NZ keine eigenen Sicherheits- oder Datenschutzexperten für die Überwachung der Plattform abgestellt.
Webster kommt zu dem Schluss, dass beide Parteien gegen Regel 5 des Health Information Privacy Code verstoßen haben, die den Schutz von Gesundheitsinformationen betrifft. Gegen die Verantwortlichen werden nun Auflagen zur Einhaltung der Sicherheitsstandards erlassen.
Ruf nach Reform des Datenschutzrechts
Der Kommissar empfiehlt der Regierung, das Datenschutzgesetz zu verschärfen. Nötig seien härtere Strafen und eine klare Haftung für Drittanbieter. Bislang tragen oft die primären Behörden die rechtliche Last von Sicherheitsverletzungen – selbst wenn das Versagen bei einem beauftragten externen Dienstleister liegt. „Eine strukturelle Reform ist notwendig, um diese Anbieter direkt für ihre Sicherheitsmängel zur Rechenschaft zu ziehen“, so Webster.
Zusätzlich schlägt er dem Gesundheitsministerium ein zentrales Zulassungsverfahren für Patientenportale vor. Hausärzte und regionale Gesundheitsorganisationen begrüßten diesen Schritt. Sie sind erleichtert, dass die Untersuchung die Infrastruktur des Portals – und nicht die einzelnen Arztpraxen – als Quelle des Datenlecks identifizierte.
Nicht nur Gesundheitsdaten, sondern auch interne Dokumentationspflichten wie das Verarbeitungsverzeichnis nach Art. 30 DSGVO stehen bei Prüfungen im Fokus. Mit dieser kostenlosen Excel-Vorlage und der passenden Anleitung erfüllen Sie Ihre Dokumentationspflichten zeitsparend und rechtssicher. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen
Personalkürzungen als Sicherheitsrisiko
Der öffentliche Dienstgewerkschaft PSA sieht einen direkten Zusammenhang zwischen dem Vorfall und den jüngsten Stellenstreichungen im Gesundheitssektor. Fast 1.000 Stellen wurden in der Digitalabteilung von Health NZ gestrichen. Die Gewerkschaft warnt, dies habe die IT-Infrastruktur verwundbar gemacht und die Betriebsrisiken erhöht.
Die Führung der PSA betont, die Ergebnisse des Datenschutzbeauftragten bestätigten frühere Warnungen vor den Folgen reduzierter IT-Ressourcen. Sie fordert mehr Mittel für Gesundheitstechnologie in künftigen Haushalten, um ähnliche Vorfälle zu verhindern.
Internationale Debatte um Datenschutz
Die Diskussion um Datenschutz und die Verantwortung Dritter ist kein rein neuseeländisches Phänomen. Auch in Kanada laufen derzeit Anhörungen zu einem neuen Gesetz, das Strafverfolgungsbehörden erweiterte Zugriffe auf verschlüsselte Daten ermöglichen soll. Während Polizei und Geheimdienste mehr Befugnisse fordern, warnen Technologiekonzerne wie Apple und Google sowie Bürgerrechtler vor einer Schwächung der Verschlüsselung. Der kanadische Datenschutzbeauftragte Philippe Dufresne plädiert für engere Definitionen im Gesetzesentwurf, um die Rechte der Bürger besser zu schützen – ein weiteres Zeichen für den globalen Trend zu strengeren Regeln für den Umgang mit Daten.
