Schock für Zehntausende Schuldner in der Schweiz. Ihre Kreditkartenabrechnungen, Meldeadressen und Reisepasskopien sind in die Hände Dritter gelangt. Durch ein riesiges Datenleck bei der Schweizer Tochter der EOS-Gruppe, eine der grössten Inkassofirmen Europas. Das machte die «Süddeutsche Zeitung» am Mittwoch publik. Der Vorfall geht zurück auf April 2017.
Neben Schuldnerdaten enthielt der entwendete Datenberg (3 Gigabyte!) Dokumente, die bis ins Jahr 2002 zurückreichen (BLICK berichtete).
Besonders brisant ist ein Ordner mit dem Namen «Uploads». Er enthält ganze Krankenakten. Ärzte schickten EOS Schweiz offenbar Behandlungsdetails ihrer Patienten, die detailliert Rückschlüsse auf die Erkrankung ermöglichen.
EOS-Schweiz-Chef nimmt Stellung
Wie und vor allem durch wen kamen die Patientendaten zu EOS? Warum hat die Inkasso-Gruppe nicht Behörden und Kunden über das Datenleck informiert? BLICK wollte mit der Konzernleitung über das Datendebakel sprechen. Zu den BLICK-Fragen wollte sich Alex Schneider, Länderchef von EOS Schweiz, nur schriftlich äussern.
Gemäss der Darstellung des EOS-Schweiz-Chefs wurde sein Unternehmen am 18. Dezember von der «Süddeutschen Zeitung» informiert, dass der Redaktion Daten von «einer Plattform von EOS Schweiz» vorlägen. «Nach bisherigem Kenntnisstand hat kein Datenklau bei EOS Schweiz stattgefunden», sagt Alex Schneider.
EOS Schweiz gehe juristisch betrachtet von einem «Verdachtsfall» aus, der nicht mit einer gesetzlichen Informationsverpflichtung einhergehe. «Diesen Verdachtsfall haben wir am 21. Dezember vorsorglich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet.»
Wie kommen Ärzte-Daten zur Inkassofirma?
Ausweichend antwortet Schneider zur Frage, wie die hochsensiblen Patientendossiers in die Hände Dritter gelangen konnten und warum die Inkasso-Firma überhaupt Patientendaten von Ärzten erhält und speichert: «EOS Schweiz speichert die Daten, die von den Mandanten übermittelt werden», so Schneider. «Wir nehmen diesen Fall aber zum Anlass, die bisherigen Prozesse diesbezüglich zu überprüfen und gegebenenfalls anzupassen.»
Wer Inkassounternehmen sensible Dokumente wie Krankenakten zur Verfügung stelle, begehe eine Straftat, sagt der Schweizer Datenschutzbeauftragte Adrian Lobsiger der Zeitung. Ein solches Vorgehen sei «unverhältnismässig und somit nicht zulässig». Eine Nachfrage von BLICK beim Datenschützer blieb bislang unbeantwortet.
Schneider bestätigt, dass EOS Schweiz am 3. April Versuche bemerkt hat, in denen «ungewöhnlich viele Daten-Pakete» an drei fremde Computer gesendet werden sollten. «Von den drei IP-Adressen waren zwei in den Niederlanden sowie eine in den USA registriert», so Schneider. «Alle diese Verbindungsversuche wurden von der Firewall geblockt. Ein unerlaubter Datenabfluss hat nicht stattgefunden», versichert der Länderchef. Er schliesse einen Hacker-Angriff aus.
Hat ein Mitarbeiter die Daten entwendet?
Hat demzufolge ein Mitarbeiter oder Insider die Daten aus dem Unternehmen EOS Schweiz physisch herausgeschafft? «Wir können dazu keine weiteren Angaben machen», sagt Schneider.
Er stellt aber klar: «Die IT-Systeme von EOS Schweiz und anderen EOS Gesellschaften sind vollständig unabhängig voneinander. Es sind keine deutschen Systeme betroffen», bestätigt Schneider indirekt das von der «Süddeutschen Zeitung» beschriebene Datenleck in der Schweiz.
Zu den Zahlen betroffener Schweizer – laut der Zeitung sind es Zehntausende Schuldnerdaten – wollte Schneider nichts sagen. «Wir kennen bisher nur die Aussage der ‹Süddeutschen Zeitung›». Dennoch habe man jetzt eine Taskforce gebildet und «eine erneute IT-forensische Analyse des Vorfalls» eingeleitet. «Ergebnisse liegen noch nicht vor», sagt Schneider.