Verschlüsselungstrojaner im Krankenhaus

Krankenhaus als KRITIS-Sektor

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz nimmt einen aktuellen Sicherheitsvorfall im Krankenhaus zum Anlass, um darauf hinzuweisen, wie verwundbar Krankenhäuser mit der zunehmenden Digitalisierung ihrer Abläufe werden und welchen Risiken ihre IT-Strukturen und Behandlungsprozesse dabei ausgesetzt sind. 

Eine Reihe von Einrichtungen der DRK Trägergesellschaft Südwest wurde jüngst Opfer eines Befalls mit Schadsoftware. Die durch diese erfolgte Verschlüsselung von Daten im IT-Verbund der Trägergesellschaft hatte zu weitreichenden Beeinträchtigungen des Krankenhausbetriebs geführt.  Entsprechend der Verpflichtung aus Art. 33 der EU Datenschutz-Grundverordnung hat die Trägergesellschaft die Verletzung des Schutzes personenbezogener Daten dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) als zuständige Aufsichtsbehörde angezeigt.


„IT-Strukturen und Patientendaten müssen über einen angemessenen Schutz verfügen.“

„IT-Strukturen und Patientendaten müssen daher über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen. Andernfalls drohen Schäden für die Gesundheit und den Datenschutz von Patientinnen und Patienten und wirtschaftliche Schäden“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Kugelmann. 


Der LfDI Rheinlad-Pfalz weist darauf hin, dass auch Einrichtungen unterhalb der KRITIS-Schwelle geeignete Schutzmaßnahmen nach dem Stand der Technik vorsehen müssen, um personenbezogene Daten zu schützen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Bild von Gerd Altmann auf Pixabay

Letztes Update:23.07.19

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren