Es kracht wieder einmal im Datensicherheitsbereich des österreichischen Gesundheitswesens. Das österreichische Tochterunternehmen des deutschen Pharmakonzerns Merck hat eine DVD mit Daten von mindestens 2.000 an multipler Sklerose oder Wachstumsstörungen leidenden Patienten verloren. Bisher gibt es keinen Hinweis auf eine missbräuchliche Verwendung, hieß es auf Anfrage bei Merck Austria.

Wechsel des Callcenter-Anbieters

Die Affäre kam nicht durch Merck Austria an die Öffentlichkeit, sondern wurde am Dienstag von der "Deutschen Apothekerzeitung" veröffentlicht: "Bedenkliche Panne bei der österreichischen Tochter des Pharmakonzerns Merck: Dem Unternehmen kam eine DVD mit den Daten von etwa 2.000 Patienten und 1.000 Abonnenten einer medizinischen Fachzeitschrift ('Living MS') abhanden. Damit stellt sich ein weiteres Mal die Frage, wie es um die Sicherheit sensibler Patientendaten im Gesundheitswesen steht", hieß es in dem Bericht. Dies sei beim Wechsel des Callcenter-Anbieters für das Patientenservice geschehen. Laut Zeitschrift seien auf der verloren gegangenen DVD "Vor- und Nachnamen der Patienten beziehungsweise Abonnenten, deren Telefonnummern, E-Mail-Adressen sowie eine interne Identifikationsnummer" enthalten.

"Verkettung menschlicher Fehlleistungen"

Die Sprecherin von Merck Österreich, Bärbel Klepp, bestätigte der APA schließlich die Angaben aus Deutschland vollinhaltlich. "Es ist zu einer Verkettung menschlicher Fehlleistungen gekommen. Wir haben vergangene Woche, wie es das Gesetz vorschreibt, alle Betroffenen schriftlich informiert", so Klepp. "Wir haben keinerlei Hinweise, dass der Datenträger in unbefugte Hände gelangt oder missbräuchlich verwendet worden ist."

Die Zurückhaltung bei der Information der Öffentlichkeit argumentiert die Sprecherin damit, dass man keinen "Hype" bezüglich des Verbleibs der DVD habe entfachen wollen. Die darauf gespeicherten Informationen ließen jedenfalls einen Rückschluss auf die vorliegende Erkrankung der Betroffenen zu. Eine entsprechende Frage der APA beantwortete die Unternehmenssprecherin mit Ja.

Merck Österreich wies am Dienstag auch darauf hin, dass man eine missbräuchliche Verbreitung der Informationen mit allen verfügbaren juristischen Mitteln ahnden werde. Ohne dazu rechtlich verpflichtet zu sein, habe man auch die österreichische Datenschutzbehörde in Kenntnis gesetzt. Die betroffenen Patienten nehmen an einem Programm teil, in dem sie für die Handhabung und die Wartung eines Injektionsgeräts geschult werden und bei dem die Beschaffung neuer Nadeln für das Gerät abgewickelt wird.

"Dieser Service ist bei der Österreichischen Datenschutzbehörde ordnungsgemäß gemeldet und registriert", hieß es in einer schriftlichen Stellungnahme des Unternehmens. "Merck entschuldigt sich bei den betroffenen Patienten und arbeitet mit Hochdruck an der Aufarbeitung der Vorkommnisse. Eine Fehleranalyse wurde eingeleitet. Daraus resultierende Maßnahmen, um eine noch bessere Datensicherheit zu gewährleisten, werden unverzüglich etabliert." (APA, 26.4.2016)