Logo IT Fachanwalt, Wort- und Bildmarke
Logo IT Fachanwalt, Wort- und Bildmarke

Gesundheitsdaten frei im Internet verfügbar. Die datenschutzrechtliche Einschätzung

Tausende Dokumente von Patienten offen im Internet einsehbar

[26.02.2026] Journalist Thomas Schwendener ist durch Zufall auf ein gravierendes Datenleck gestossen und hat darüber bei LinkedIn und in der aktuellen Ausgabe von K-Tipp berichtet. Unterlagen von 10’000 Patienten in der Schweiz waren ungeschützt im Internet verfügbar, mit teilweise erheblich sensiblen Grundheitsdaten. Die betroffene Firma hat die Sicherheitslücke zwischenzeitlich geschlossen. Für K-Tipp dürfte ich eine rechtliche Einschätzung geben.

„Der auf Informatikrecht spezialisierte Zürcher Anwalt Sven Kohlmeier sagt: «Für die Sicherheit der Daten sind sowohl die Arztpraxis als datenschutzrechtlich verantwortliche Firma als auch das Informatikunternehmen als Auftragsbearbeiter verantwortlich.» Der Datenschutzbeauftragte brauche mehr Befugnisse, fordert Kohlmeier. Auch seien klarere Bussenregeln nötig, damit sich das Datenschutzrecht besser durchsetzen lässt.“

➡️ Für Betroffene ist die Rechtsdurchsetzung schwierig. Eine Zivilklage ist aufwendig und teuer; die Bussenregelung des DSG eher ein zahnloser Tiger. Hier braucht es m.E. stärkere Kompetenz für den Eidgenössischen Datenschutzbeauftragten oder klarere Bussenregelung bei Verletzung besonders schützenswerter Daten
➡️ Gerade wenn man bedenkt, dass KI-Systeme das Internet scrawlen, erscheint die Datenschutzverletzung und Auswirkung noch erheblicher
➡️ Sensibilisierung und Mitarbeiterschulung hat oberste Priorität, wird aber von vielen Firmen vernachlässigt.

Der Fall zeigt einmal mehr auf, dass IT-Compliance für jedes Unternehmen wichtig ist, insbesondere wenn es um besonders sensible Daten gibt. Und der Auftragsbearbeiter muss auch regelmässig kontrolliert werden, ob er die Technisch-Organisatorischen Massnahmen einhält.

Für Arztpraxen, Labore und Spitäler mit sensiblen Daten sind folgende Massnahmen wichtig:

➡️Regelmässige Prüfung der Auftragnehmer/IT-Unternehmen auf die Einhaltung der Technisch-Organisatorischen Massnahmen

➡️Prüfung, ob ein Auftragsbearbeitungsvertrag/Data-Processing-Agreement besteht, auch bezüglich von Subunternehmern

➡️ Sensibilisierung von Mitarbeitenden zum Gesundheitsdatenschutz

➡️ Prüfung, ob eine Datenschutz-Folgenabschätzung erforderlich ist, gerade bei dem Einsatz von KI-Lösungen

➡️ Interne Compliance- und Governance-Guidelines für guten Datenschutz

AG München, Urheberschutz, KI, 142 C 9786/25Urheberschutz und KI. Das Amtsgericht München mit einer Einordnung
US-Supreme-Court zum Urheberschutz

Weitere Artikel

Rückruf anfordern

Sie haben eine Anfrage oder ein Anliegen und möchten sich gerne dazu mit mir austauschen – ich rufe Sie gerne zurück.

Bei Kontaktaufnahme durch E-Mail oder Kontaktformular werden Ihre personenbezogenen Daten im Rahmen der geltenden datenschutzrechtlichen Bestimmungen für die Anfrage verwendet. Bitte beachten Sie hierzu die Datenschutzerklärung  mit ihren Rechten. Die Webseite nutzt SSL-Verschlüsselung. Sie können mit mir auch über verschlüsselte E-Mail kommunizieren (siehe Kontakt).

Anfrage

Sie haben eine Anfrage oder ein Anliegen und möchten sich gerne dazu mit mir austauschen – schreiben Sie mich gerne an.

Bei Kontaktaufnahme durch dieses Formular werden Ihre personenbezogenen Daten im Rahmen der geltenden datenschutzrechtlichen Bestimmungen für die Anfrage verwendet. Bitte beachten Sie hierzu die Datenschutzerklärung mit ihren Rechten. Die Webseite nutzt SSL-Verschlüsselung. Sie können mit mir auch über verschlüsselte E-Mail kommunizieren.

Nach oben