„Im Interesse der Transparenz gegenüber unseren Patienten haben wir beschlossen, diese Informationen weiterzugeben“ – das schrieb das Labor Ketterthill am vergangenen Freitag auf seiner Webseite. Und diese Informationen sind brisant. Laut Ketterthill ist es beim Partnerlabor Cerba in Frankreich zu einem Datendiebstahl gekommen. „Bestimmte biologische Verfahren, die von Ketterthill zwischen dem 1. Januar 2017 und dem 24. Juni 2021 an Cerba vergeben wurden, können von diesem Vorfall betroffen sein.“ Allein: An dieser Stelle endet die Transparenz der Luxemburger Firma. Um welche Daten genau es sich handelt und wie viele Menschen betroffen sind: unbekannt. Trotz mehrmaliger Anfragen des Tageblatts schweigt Ketterthill zu dem Thema.

Anders die Firma Cerba, bei der das Leak passiert ist. Eine Sprecherin des französischen Unternehmens gibt  am Mittwochnachmittag gegenüber dem Tageblatt einige Details preis: „Ketterthill gibt einige Analysen an spezialisierte Labore als Subunternehmer ab – wie beispielsweise Cerba.“ Das Opfer sei also nicht das Luxemburger Unternehmen selbst gewesen. Patienten von Cerba kämen aus der ganzen Welt, in der Tat könnten einige der gestohlenen Datensätze auch Luxemburger betreffen. Aber: „Wir wissen nicht, was gestohlen wurde.“ 

Exotische Krankheiten und Gerinnungsfaktoren

Ketterthill überlässt dem französischen Labor laut dessen Sprecherin regelmäßig Untersuchungen auf exotische Reisekrankheiten wie Infektionen mit dem Zika-Virus oder dem Denguefieber. Aber auch Allergietests, Tests auf Milchsäure oder die Untersuchung der Gerinnungsfaktoren landen aus Luxemburg bei dem Unternehmen im Nordwesten von Paris. 

Wie kam es zu dem Datenklau? Laut der Cerba-Sprecherin kam es bei einem Provider, der eine der Datenbanken des Unternehmens hostet, zu „menschlichem Versagen“. Die Daten seien temporär im Internet abrufbar gewesen. Der Server sei schnell isoliert worden, aber: „Wir wissen, dass ein Dritter darauf zugegriffen hat.“

Der Datenklau ist kein kleiner: „Wir reden hier über Millionen von Patienten“, sagt die Sprecherin. Insgesamt gehe es um 37 Gigabyte an Daten. Name, Vorname, Geburtsdatum, Geschlecht. Die Art der Untersuchung. Das Ergebnis der Untersuchung. „Unter keinen Umständen waren aber Sozialversicherungsnummern, Adressen oder Bankverbindungen dabei“, ergänzt die Sprecherin. 

Bis jetzt seien die Daten noch nirgendwo aufgetaucht, sagt die Sprecherin. Cerba habe als Subunternehmer nicht direkt mit Patienten zu tun, deshalb sei das Unternehmen direkt mit seinen Kunden, den anderen Laboren, in Kontakt getreten. „Wir haben auch die Behörden informiert, die französische Datenschutzkommission, die Luxemburger Datenschutzkommission – und die Polizei in Paris.“ Die Ermittlungen seien am Laufen. 

Dass Labore Proben ins Ausland verschicken, ist legal. „Das Gesetz bezüglich Privatlaboratorien verbietet keine Externalisierung von Laboranalysen“, sagt eine Sprecherin des Gesundheitsministeriums am Mittwochabend gegenüber dem Tageblatt. „Auch wird kein Unterschied gemacht, ob die Analysen von einem Subunternehmen in Luxemburg oder im Ausland getätigt werden“. Die Verantwortung bleibt aber beim ursprünglichen Labor. „Der Leiter des medizinischen Analyselabors, an das sich der Patient gewandt hat, bleibt für alle Phasen der medizinischen Analyse verantwortlich, auch wenn eine dieser Phasen ganz oder teilweise von einem anderen medizinischen Analyselabor durchgeführt wird.“ Das gelte auch für den Fall, dass Analysen von einem anderen Labor durchgeführt werden.

• Über
• Letzte Artikel

Tobias Senzig

Tobias Senzig hat Politikwissenschaft, Germanistik und Medienwissenschaft studiert. Er engagierte sich in Westafrika in der Entwicklungszusammenarbeit und danach als Journalist für regionale und landesweite Medien in Deutschland und Luxemburg. Seit 2017 schreibt er fürs Tageblatt und ist dort Editoren-Chef und Mitglied der Chefredaktion. Als Journalist arbeitet er vor allem im Nachrichtenbereich und in den Themenfeldern Politik, Verkehr und IT.

Letzte Artikel von Tobias Senzig (Alle anzeigen)

• Tornado oder nicht? Jetzt reagiert Meteolux  - 2. November 2024.
• Deutschland weist 32 Menschen zurück – aber nur zwei kommen in Luxemburg an - 31. Oktober 2024.
• So bereitet die Polizei Luxemburger Schulen auf den Amok-Notfall vor  - 26. Oktober 2024.