EOS ist eine der grössten Inkassofirmen Europas – und Opfer eines der grössten Hackerangriffe auf dem alten Kontinent. Wie die «Süddeutsche Zeitung» berichtete, haben Hacker 33'000 Dateien mit Personendaten entwendet. Der 3 Gigabyte umfassende Datenberg stammt mehrheitlich von in der Schweiz wohnhaften Personen, bei denen EOS in den letzten 15 Jahren im Auftrag von Firmen oder Behörden Schulden eingetrieben hatte. Die Daten beinhalten allerdings nicht nur Namen und Adressen, sondern auch Kreditkartenabrechnungen, private Briefwechsel und Krankenakten. Laut «Süddeutscher Zeitung» sind die Hacker via eine Sicherheitslücke ins IT-System von EOS eingedrungen. Man habe das Problem behoben, teilte die Firma mit. Am Abend dann widersprach der Schweiz-Chef von EOS gegenüber «blick.ch», es sei zu keinem Hackerangriff gekommen. Wie die Daten entwendet wurden, liess er jedoch offen. «Wir nehmen diesen Fall aber zum Anlass, die bisherigen Prozesse diesbezüglich zu überprüfen und gegebenenfalls anzupassen.»

Dass eine Inkassofirma über sensible persönliche Daten von Schuldnern verfügt, ist in den Augen von Datenschutzexperten problematisch. Adrian Lobsiger, Datenschutzbeauftragter der Schweiz, sagte gegenüber der «Süddeutschen Zeitung», es sei «unverhältnismässig und somit nicht zulässig», wenn Ärzte ganze Krankenakten inklusive detaillierter Krankengeschichte ihrer Patienten an Inkassofirmen weiterleiteten. Zur Weitergabe von Ärzte-Daten an Dritte im Generellen sei er zudem bereits länger im Gespräch mit der Ärzteschaft, ergänzte er im «Echo der Zeit» von SRF.

Ärzte im Fokus

Auch für Ursula Uttinger, Präsidentin des Datenschutzforums Schweiz, ist es unerklärlich, wieso EOS so genauen Einblick in die Krankengeschichte von Schuldnern erhielt. «Damit ein Arzt Patientendaten weitergeben darf, muss er vom Berufsgeheimnis entbunden werden. Sonst macht er sich strafbar», sagt Uttinger auf Anfrage der «Nordwestschweiz». «Dass Ärzte ganze Krankendossiers an EOS weitergegeben haben, ist ein absolutes No-Go.»

Gesundheitsdaten seien speziell schützenswert. Besonders heikel werde es, wenn es sich um Daten von Spezialisten handle. «Wenn jemand etwa herausfindet, dass eine Person regelmässig zum Psychiater geht, lässt sich daraus schnell auf die Gesundheit und mögliche persönliche Probleme einer Person schliessen», so Uttinger. Das gehe Inkassofirmen nichts an.

Anders sieht das Patrik Kneubühl, Sprecher des Verbandes der Inkassotreuhandinstitute. Auf Radio SRF sagte Kneubühl, Inkassofirmen müssten Schuldner zuweilen nachweisen, dass sie einem Arzt wirklich Geld schuldeten. Da sei es notwendig, dass sie über Daten verfügten. Für Datenschutzexpertin Uttinger ist das eine billige Ausrede. «Die Weitergabe heikler Daten an Inkassofirmen ist auf keinen Fall gerechtfertigt», betont sie. «Generell sollten sich Firmen heute ein paar zusätzliche Gedanken machen, bevor sie Daten an Inkassofirmen aushändigen.»

Kaum Konsequenzen für Betroffene

Ob EOS neben dem riesigen Imageschaden weitere, rechtliche Konsequenzen zu befürchten hat, ist laut Uttinger noch unklar. «Falls EOS Ärzte dazu aufgefordert haben sollte, Daten weiterzugeben, wäre das eine Anstiftung zur Verletzung des Berufsgeheimnisses und damit strafbar.» Haftbar würde EOS auch, wenn das Unternehmen nicht nachweisen könnte, genügend Massnahmen zur Sicherung der äusserst heiklen Kundendaten unternommen zu haben.

Für Personen, deren Daten entwendet wurden, habe das Leck wohl keine direkten Konsequenzen, glaubt Ursula Uttinger. «Für die Hacker ist es viel spannender, mit den entwendeten Daten etwa EOS selber zu erpressen. Dass Peter Muster aus Z. am Datum Y beim Arzt X. war, dürfte die Hacker weniger interessieren.» Anders sähe es aus, wenn die Hacker etwa die Nutzerdaten von Pornoseiten gestohlen hätten und die Nutzer damit direkt erpressen könnten.

EOS hat die betroffenen Personen über das Datenleck informiert. Rechtlich dazu verpflichtet wäre die Firma laut dem gültigen Datenschutzgesetz der Schweiz nicht. Die derzeitige Version des revidierten Datenschutzgesetzes, das vom Parlament demnächst behandelt wird, sähe eine automatische Auskunftspflicht vor.