Cyberattacke auf medatixx GmbH & Co. KG

Anfang November 2021 ist die Firma medatixx GmbH & Co. KG, ein in Hessen ansässiger Anbieter von Arztpraxissoftware, Ziel eines Cyber-Angriffs geworden. Infolgedessen sind sowohl die Erreichbarkeit als auch der gesamte Unternehmens- betrieb stark beeinträchtigt. Es wurde aber eine Hotline für Arztpraxen eingerichtet. Auch auf der Website von medatixx finden sich Hinweise für die betroffenen Arztpraxen.

Fotolia_93854864_S.jpg

Bild Prüfung

Inwieweit auch Daten von Kunden der Firma betroffen sind, kann gegenwärtig noch nicht abschließend gesagt werden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) steht mit medatixx in Kontakt und wird die weitere Aufklärung begleiten.

Aktuell scheinen weder die Funktionalität der Systeme der Arztpraxen noch die dort gespeicherten Patientendaten betroffen zu sein. Von einzelnen Kunden befanden sich allerdings zum Zeitpunkt des Angriffs auch Hardware-Komponenten vor Ort zur Wartung bei medatixx, z.B. Speichermedien.

Ob von den Angreifern auf diese Komponenten Zugriff genommen werden konnte und falls ja, in welchem Umfang dadurch auch personenbezogene Daten betroffen waren, ist zum jetzigen Zeitpunkt noch nicht bekannt. Die hiervon betroffenen Arztpraxen wurden nach Angabe von medatixx mittlerweile mit einem gesonderten Schreiben informiert.

Wie sollten sich die in Hessen betroffenen Arztpraxen verhalten?

Art. 33 Datenschutz-Grundverordnung (DS-GVO) beinhaltet eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten bei der zuständigen Aufsichtsbehörde. Eine Meldung ist dann nicht erforderlich, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt.

Gegenwärtig geht medatixx davon aus, dass den Angreifern kein Zugriff auf die Praxissysteme von Arztpraxen möglich war, bei denen medatixx lediglich als Auftragsverarbeiter im Sinne des Art. 28 DS-GVO im Rahmen der Fernwartung der Systeme tätig war. Die aktuellen Handlungsempfehlungen von medatixx sollten von den Arztpraxen dennoch befolgt werden (u. a. Wechsel der bestehenden Passwörter).

Bei den Betroffenen, bei denen sich Komponenten aus der Arztpraxis bei medatixx zur Wartung befanden, obliegt es den Verantwortlichen, zu prüfen, ob sich aus diesem Vorfall zum jetzigen Zeitpunkt oder später eine Meldepflicht ergibt.

In jedem Fall sind die betroffenen Arztpraxen verpflichtet, den Vorfall zu prüfen, zu dokumentieren und die Dokumentation aktuell zu halten. Dies ergibt sich aus Art. 33 Absatz 5 DS-GVO in Verbindung mit der Rechenschaftspflicht nach Art.  5 Absatz 2 DS-GVO wonach der Verantwortliche jederzeit in der Lage sein muss, nachzuweisen, auf welche Weise er die Beachtung der Grundsätze der Vertraulichkeit und Integrität der verarbeiteten Daten (Art. 5 Absatz 1 lit. f DS-GVO) gewährleistet.

Dabei sind alle mit der Datenschutzverletzung zusammenhängenden Fakten sowie die Auswirkungen und ergriffenen Abhilfemaßnahmen zu dokumentieren.

Teil dieser Dokumentation soll auch eine Bewertung des Risikos für Rechte und Freiheiten der betroffenen Personen sein, welches sich aus dem Vorfall ergibt. Falls diese zu dem Ergebnis kommt, dass voraussichtlich ein hohes Risiko besteht, dann muss die Arztpraxis die betroffenen Personen unverzüglich über die Verletzung des Schutzes ihrer personenbezogenen Daten benachrichtigen (Art. 34 Absatz 1 DS-GVO). Die Dokumentation muss der zuständigen Datenschutzaufsichtsbehörde auf deren Verlangen zur Verfügung gestellt werden.

Stand: 07.12.2021

SERVICE