Cannabis-Rezepte im Netz: Datenschutzbehörde hat Fragen
Bei dem Online-Portal des umstrittenen Telemedizinanbieters DrAnsay hat es eine gravierende Sicherheitslücke gegeben. Jetzt äußert sich Dr. Ansay.
Die umstrittene Plattform Dr. Ansay hat eine Datenpanne.
(Bild: DrAnsay.com)
Beim Telemedizinanbieter Dr. Ansay hat es eine Sicherheitspanne gegeben, bei der hochsensible Daten geleakt wurden. Über die Plattform ausgestellte Cannabis-Rezepte ließen sich über die Suchmaschine DuckDuckGo abrufen. Darauf haben uns einige Leser hingewiesen – Daten sind immer noch zu finden.
Erst Beschwerden, dann Meldung des Unternehmens
Seit der Vorfall bekannt ist, gehen beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Thomas Fuchs, "zahlreiche Beschwerden betroffener Personen ein. Mittlerweile hat auch das für den Betrieb der Website verantwortliche Unternehmen eine Meldung nach Art. 33 DSGVO eingereicht. Die Hinweise sowie die Meldung geben Anlass zu weiteren Ermittlungen, sodass wir mit Fragen auf das Unternehmen zugegangen sind", teilte eine Sprecherin heise online mit. Aufgrund der großen Zahl an frei im Internet verfügbaren werde der Vorfall sehr ernst genommen.
Zu den veröffentlichten Daten gehören Vorname, Nachname, Adresse, Geburtsdatum, Versichertennummer, Krankenkasse, das verschriebene Cannabispräparat und Angaben zum Arzt oder der Ärztin, die das Rezept ausgestellt hat. Die Lücke scheint inzwischen behoben. Die entsprechenden Seiten, auf denen die Daten abgerufen werden können, sind gesperrt.
Gutscheine für Betroffene
Inzwischen hat sich Jurist und Betreiber der Plattform, Can Ansay, in einem Blogeintrag zu Wort gemeldet. Da die Sicherheitslücke inzwischen behoben ist, sei der Datenschutz bei "allen neuen Ordnern [...] wieder voll gewährleistet". Aufgrund des Datenlecks seien ungefähr "20 Prozent der bisher ausgestellten Rezepte über die Suchmaschinen DuckDuckGo und Bing illegal auffindbar! Es betrifft also Eure persönlichen Daten, ggf. Versicherungsdaten und die georderten Blüten. Eure Gesundheitsdaten sind somit nicht betroffen", warnt Ansay und äußert sein Bedauern.
"Falls Du in den nächsten Tagen keine E-Mail von uns erhältst (inklusive Gutschein-Code), bist Du nicht betroffen. Ab sofort werden zudem alle unsere Services von externen Datenschutz-Experten überprüft", versucht Ansay die zurecht aufgebrachten Kunden zu beruhigen. Anschließend beschuldigt er Ex-Mitarbeiter, absichtlich für ein zu geringes Sicherheitsniveau gesorgt zu haben, zugunsten ihrer eigenen Plattform. Zudem hätten die Ex-Mitarbeiter in den sozialen Medien Anleitungen gepostet, wie die Daten über Suchmaschinen abrufbar sind. In der Folge nutzt "DuckDuckGo [...] die Suchergebnisse von Bing, welche ohne Erlaubnis die Daten von unserem Server gecrawlt und indexiert hat".
Abschließend ruft er die Betroffenen auf, bei DuckDuckGo und Microsoft Druck zu machen, er selbst habe das bereits getan und kündigt weitere Schritte an.
Medizinisches Cannabis und Co.
Neben Arbeitsunfähigkeitsbescheinigungen lassen sich auf der von Ansay betriebenen Telemedizinplattform auch Rezepte für medizinisches Cannabis verschreiben, die sich auf der Plattform in einem Shop einlösen lassen. Dort wird Cannabis unter Namen wie "Frosted Lemon Cake", "Mac Doughnut", "Mac Driver" oder "White Widow" angeboten.
Lesen Sie auch
Datenleck in Verwaltungs-Software von Cannabis-Clubs
Auf Reddit gibt es dazu bereits eine Diskussion mit mehr als 600 Kommentaren. Ein Teil der Reddit-Nutzer fürchtet jetzt um seine Daten, ein weiterer spekuliert auf Schadensersatz für mehr Cannabis-Konsum.
Das Unternehmen hat seinen Hauptsitz inzwischen auf Malta, ein Teil der für Dr. Ansay arbeitenden Ärzte sitzt im außereuropäischen Ausland, der deutsche Standort ist in Hamburg.
Dr. Ansay und seine über 80-jährige Mutter standen in der Vergangenheit schon öfter wegen der regelmäßig angezweifelten Legalität der Geschäftsmodelle in der Kritik, das Landgericht Hamburg hatte beispielsweise irreführende Werbung bei Corona-Testzertifikaten untersagt, wie die Deutsche Apothekerzeitung berichtete.
Antwort des Hamburger Beauftragten für Datenschutz ergänzt.
(mack)