Das sogenannte «Mammoregister» ist für Ärzte gedacht. Darin werden Brustoperationen von tausenden Patientinnen erfasst. Auch deren Implantate: etwa Hersteller und Seriennummer sowie Volumen. Bei Komplikationen oder fehlerhaften Implantaten beispielsweise sollen die Patientinnen so rasch kontaktiert werden können. Grundsätzlich eine gute Idee.
Enorme Sicherheitsmängel
Doch das «Mammoregister», welches «Swiss Plastic Surgery» verantwortet, weist enorme IT-Sicherheitsmängel auf. SRF Investigativ erhielt vertrauliche Dokumente zugespielt.
Darin werden diese IT-Sicherheitslücken genau beschrieben. Unter anderem könne sich laut dem Report jede Person – nicht nur Ärzte – in diesem Register anmelden.
SRF Investigativ hat das geprüft. Tatsächlich: Mit einem einfachen Trick konnten wir uns einloggen. Dies ist möglich, da die Betreiberin, «Swiss Plastic Surgery», die Identität der Personen ungenügend überprüft.
Einmal eingeloggt, ist es jetzt möglich, wie ein Arzt Dossiers für Patientinnen zu erfassen und detaillierte Angaben zu Brustoperationen zu speichern. Zum Beispiel, ob es sich um eine Schönheitsoperation handelte oder um einen Eingriff wegen Brustkrebs. Auch Angaben zu Hersteller und Volumen des Implantats können erfasst werden.
Doch damit nicht genug. Mit weiterem IT-Wissen habe man laut Report nun Zugriff auf alle Daten von tausenden Patientinnen. Um dies zu prüfen, schaut SRF Investigativ in ein einziges Dossier hinein. Tatsächlich, auch das ist möglich.
Hochsensible Daten ungenügend geschützt
So etwas dürfe nicht passieren, kritisiert Brigitte Röösli, Co-Präsidentin der Patientenstelle Zürich. Das sei ein Verrat an der Glaubwürdigkeit und der Vertrauensbasis zwischen dem Arzt und der Patientin.
Zudem seien Brustoperationen ein Tabuthema: «Mit Tabuthemen muss man noch sorgfältiger umgehen, weil Leute nicht wollen, dass Daten über ein solches Thema an die Öffentlichkeit kommen.»
Verstoss gegen das Datenschutzgesetz
Im «Mammoregister» seien besonders schützenswerte Daten, sagt Ursula Sury, Professorin für Datenschutzrecht an der Hochschule Luzern. Der Beitreiber des Registers müsse einerseits sicherstellen, dass die Daten niemand sehen darf, der nicht berechtigt dazu sei.
Andererseits: «Wenn jemand berechtigterweise im Register ist, muss sichergestellt werden, dass diese Person nur das machen kann, was unbedingt nötig ist», erklärt die Datenschutzexpertin. Deshalb verstosse das «Mammoregister» mehrfach gegen das Datenschutzgesetz, so Ursula Sury.
Register vorübergehend geschlossen
SRF Investigativ meldete das unsichere «Mammoregister» dem Eidgenössischen Datenschutzbeauftragten EDÖB. Adrian Lobsiger reagierte sofort und leitete ein Verfahren ein. «Die Betreiberin hat bereits reagiert und zeigt sich kooperativ. Das ‹Mammoregister› ist bereits offline und wird erst nach Absprache mit dem EDÖB wieder online gestellt», schreibt der Eidgenössische Datenschutzbeauftragte.
Es gibt keine weiteren Kommentare oder Antworten unsererseits gegenüber SRF.
Gleichzeitig informierte SRF Investigativ rechtzeitig die Betreiberin, «Swiss Plastic Surgery», und bat mehrfach um ein Interview. Doch die Schweizerische Gesellschaft für Plastische, Rekonstruktive und Ästhetische Chirurgie äussert sich weder mündlich noch schriftlich zu den Recherchen von SRF Investigativ. Man sei mit dem Eidgenössischen Datenschutzbeauftragten in Kontakt, schreibt «Swiss Plastic Surgery». Und weiter: «Es gibt keine weiteren Kommentare oder Antworten unsererseits gegenüber SRF.»
