Cannabis-Rezepte: Datenleck bei DrAnsay

Beim Telemedizinanbieter DrAnsay hat es am 14. Mai eine Sicherheitspanne gegeben, bei der hochsensible Daten geleakt wurden. Über die Plattform ausgestellte Cannabis-Rezepte ließen sich über die Suchmaschine DuckDuckGo abrufen. Darauf war das Onlineportal Heise von Lesern hingewiesen worden – Daten sind immer noch zu finden.

Zu den veröffentlichten Daten gehören Vorname, Nachname, Adresse, Geburtsdatum, Versichertennummer, Krankenkasse, das verschriebene Cannabispräparat und Angaben zum Arzt oder der Ärztin, die das Rezept ausgestellt hat. Die Lücke scheint inzwischen behoben. Die entsprechenden Seiten, auf denen die Daten abgerufen werden können, sind gesperrt.

Gutscheine für Betroffene

Inzwischen hat sich der Jurist und Betreiber der Plattform, Can Ansay, in einem Blogeintrag zu Wort gemeldet. Da die Sicherheitslücke inzwischen behoben ist, sei der Datenschutz „wieder voll gewährleistet“. Aufgrund des Datenlecks seien ungefähr „20 Prozent der bisher ausgestellten Rezepte über die Suchmaschinen DuckDuckGo und Bing illegal auffindbar! Es betrifft also Eure persönlichen Daten, ggf. Versicherungsdaten und die georderten Blüten. Eure Gesundheitsdaten sind somit nicht betroffen“, warnt Ansay und äußert sein Bedauern.

„Falls Du in den nächsten Tagen keine E-Mail von uns erhältst (inklusive Gutschein-Code), bist Du nicht betroffen. Ab sofort werden zudem alle unsere Services von externen Datenschutz-Experten überprüft, versucht Ansay die zurecht aufgebrachten Kunden zu beruhigen. Anschließend beschuldigt er Ex-Mitarbeiter, absichtlich für ein zu geringes Sicherheitsniveau gesorgt zu haben, zugunsten ihrer eigenen Plattform. Zudem hätten die Ex-Mitarbeiter in den sozialen Medien Anleitungen gepostet, wie die Daten über Suchmaschinen abrufbar sind. In der Folge nutzt „DuckDuckGo [...] die Suchergebnisse von Bing, welche ohne Erlaubnis die Daten von unserem Server gecrawlt und indexiert hat“.

Abschließend ruft er die Betroffenen auf, bei DuckDuckGo und Microsoft Druck zu machen, er selbst habe das bereits getan und kündigt weitere Schritte an.

Neben Arbeitsunfähigkeitsbescheinigungen lassen sich auf der von Ansay betriebenen Telemedizinplattform auch Rezepte für medizinisches Cannabis verschreiben, die sich auf der Plattform in einem Shop einlösen lassen. Dort wird Cannabis unter Namen wie „Frosted Lemon Cake“, „Mac Doughnut“, „Mac Driver“ oder „White Widow“ angeboten.

Auf Reddit gibt es dazu bereits eine Diskussion mit mehr als 600 Kommentaren. Ein Teil der Reddit-Nutzer fürchtet jetzt um seine Daten, ein weiterer spekuliert auf Schadensersatz für mehr Cannabis-Konsum.

Das Unternehmen hat seinen Hauptsitz inzwischen auf Malta, ein Teil der für DrAnsay arbeitenden Ärzte sitzt im außereuropäischen Ausland, der deutsche Standort ist in Hamburg.

Dr. Ansay und seine über 80-jährige Mutter standen in der Vergangenheit schon öfter wegen der regelmäßig angezweifelten Legalität der Geschäftsmodelle in der Kritik, das Landgericht Hamburg hatte beispielsweise irreführende Werbung bei Corona-Testzertifikaten untersagt.