Beim Schweizer Ableger des Inkasso-Unternehmens EOS sind Hacker offenbar zu einer grossen Menge sensibler Daten gekommen.

Laut der «Süddeutschen Zeitung» handelt es sich um Dokumente mit Krankenakten sowie Kreditkartenabrechnungen und ausstehende Forderungen.

Betroffen seien die Daten zehntausender Personen, von denen die meisten in der Schweiz wohnen.

Die Daten wurden der Zeitung schon im April zugespielt. Den Angaben zufolge gehen die Dokumente zum Teil bis ins Jahr 2002 zurück.

Wenn eine Inkasso-Firma für ein Unternehmen Schulden eintreiben muss, dann reichen im Prinzip ein paar wenige Informationen: Wer ist der säumige Zahler? Wo wohnt er? Wie viel Geld schuldet er wem?

Doch der Fall, den die «Süddeutsche Zeitung» (SZ) heute aufgegriffen hat, zeigt, dass der Schweizer Ableger der deutschen Inkasso-Firma EOS sehr viel mehr weiss. So verfügt das Unternehmen über sensible, private Daten der Schuldner.

EOS verfügt über ganze Krankenakten, seitenlange Kreditkarten-Abrechnungen, Kopien von Reisepässen und von Briefwechseln. Betroffen sind zehntausende Schuldner, die grösstenteils in der Schweiz wohnen. Nun sind diese Informationen laut der SZ in die Hände von Dritten gelangt.

Schuldeneintreiber kann die Schuld beweisen

Der Berner Anwalt Patrick Kneubühl ist ob dieser gespeicherten Datenflut nicht überrascht. Kneubühl ist Sprecher des Branchenverbandes VSI, der die Inkasso-Branche vertritt.

«Ein Schuldner hat vielleicht vergessen, dass er im März beim Arzt war», so Kneubühl. Verfüge der Schuldeneintreiber nun über die erwähnten Informationen, könne er dem Schuldner belegen, dass die offene Rechnung auf tatsächlich bezogenen Arztleistungen beruhe.

Sensible Daten in den Händen Dritter

Allerdings gelten bei Ärzten, aber auch bei Anwälten und Treuhändern besondere Sorgfaltspflichten, Ärzte und Anwälte unterstehen einem Amtsgeheimnis. «Ohne eine Entbindung von der Verschwiegenheitspflicht darf ein Anwalt keine Daten über einen Klienten herausgeben», betont Fürsprecher Kneubühl. Dies gelte auch bei Daten, die an eine Inkasso-Firma gehen, welche das Geld für unbezahlte Rechnungen eintreibt.

Im vorliegenden Fall von EOS-Schweiz sind nun aber offenbar trotz solcher Standesregeln bei Ärzten und trotz Datenschutz-Vorschriften sensible Patientendaten in die Hände Dritter gelangt. Denn ein Informant hat der SZ eine ganze Serie von Daten zugespielt.

Sicherheitslücke im Computersystem?

Dabei ist unklar, wie genau der Informant an die Daten gekommen ist: Er behauptet, ein Hacker habe eine IT-Sicherheitslücke ausgenutzt, um an die Daten zu gelangen. Diese Darstellung will EOS-Schweiz im Zeitungsartikel allerdings nicht bestätigen. Man prüfe derzeit intensiv, was vorgefallen sei, heisst es dort. Darüber hinaus wollte auf Anfrage niemand zum Fall Stellung nehmen.

Patrick Kneubühl vom Branchenverband nimmt die Inkasso-Firma in Schutz: «Die EOS hat alle Massnahmen getroffen, die nach heutigem Stand der Technik richtig und wichtig sind», ist er überzeugt. Schliesslich handle es sich bei EOS um eine grosse und renommierte Firma.

Man darf nun gespannt sein, was die internen – und allenfalls auch externen – Untersuchungen ergeben werden.