1,7 Millionen Rezepte durch Datenleck bei Dr. Ansay einsehbar – hochsensible Gesundheitsdaten betroffen

Dr. Stoll & Sauer bewertet den Fall dennoch als besonders sensibel, weil es um Rezeptinformationen und damit um Gesundheitsdaten geht und wesentliche Fragen zu Dauer der Lücke, möglichem Datenabfluss und Betroffeneninformation offen bleiben – eine kostenlose Ersteinschätzung bietet die Kanzlei im Dr.-Ansay-Online-Check an. In vergleichbaren Datenlecks-Vorfälle – etwa im Facebook-Scraping-Komplex – wurden von Gerichten bereits Schadensersatzbeträge bis zu 3.000 Euro zugesprochen.

Was nach Medienberichten zur Sicherheitslücke bekannt ist

Nach dem Bericht von heise online sollen Hinweise auf eine Fehlkonfiguration von Zugriffsregeln einer Firebase-Firestore-Datenbank hingedeutet haben: Eingeloggte Nutzer mit gültigem Token hätten demnach nicht nur eigene Rezepte, sondern sämtliche Datensätze abrufen können; die Lücke sei nach einer heise-Anfrage geschlossen worden. Die Deutsche Apotheker Zeitung und Apotheke Adhoc greifen den heise-Bericht auf und betonen ebenfalls den potenziellen Zugriff auf umfangreiche Rezept- und Kontaktdaten.

Nach den Berichten konnten potenziell einsehbar sein:
• Rezeptdaten im großen Umfang: rund 1,7 Millionen Rezepte, rund eine halbe Million Kunden (potenziell einsehbar).
• Schwerpunkt Cannabis-Rezepte; daneben werden auch Bestellungen etwa zu Schmerzmitteln erwähnt.
• Personenbezogene Daten: Namen, Adressen, E-Mail-Adressen, Telefonnummern.
• Gesundheits- und Rezeptdetails: Medikamente, Dosierungen, ausgewählte Apotheken.
• Ärztedaten: Angaben zu rund 15 verschreibenden Ärzten, die laut heise meist nicht aus Deutschland kommen.

Offen bleibt nach heise, ob und in welchem Umfang Daten tatsächlich abgeflossen sind und seit wann die Schwachstelle bestand.

Dr. Ansay weist Vorwürfe zurück und spricht von „White-Hat“-Fund

Dr. Ansay erklärt in seiner Mitteilung vom 9. Januar 2026, es habe sich um einen Konfigurationsfehler in einer externen Datenbank-Anbindung gehandelt, der innerhalb weniger Stunden behoben worden sei. Der Zugriff habe „spezielle Software“ sowie mehrere Tokens erfordert; Logfiles würden einen typischen „White-Hat“-Vorgang ohne darüber hinausgehende Gefährdung belegen. Betroffen seien Datensätze zu Verschreibungen sowie E-Mail-Adressen und Telefonnummern von bis zu 330.000 Nutzern; Zahlungsdaten, Passwörter, Ausweisdaten und Indikationen seien nicht betroffen. Dr. Ansay führt zudem aus, es bestehe aus ihrer Sicht keine Meldepflicht, man habe dennoch Behörden informiert.

Damit stehen zwei Darstellungen nebeneinander: Medienberichte sprechen von einem sehr großen potenziellen Zugriff auf Rezeptdaten; das Unternehmen reduziert Umfang und Risiko deutlich.

Zuständigkeit der Aufsicht und Meldefragen

heise online berichtet, bei der Datenschutzbehörde Hamburg sei keine Meldung eingegangen; eine Sprecherin habe darauf verwiesen, dass in Hamburg nur noch eine Niederlassung für Entwicklung und Vermarktung bestehe und eine Meldung daher in Malta zu erfolgen habe. Unabhängig von der Frage, welche Behörde zuständig ist, gelten bei Datenschutzverletzungen die Grundpflichten aus der DSGVO:
• Meldung an die Aufsicht grundsätzlich binnen 72 Stunden nach Kenntnis, wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Benachrichtigung betroffener Personen, wenn ein hohes Risiko wahrscheinlich ist (Art. 34 DSGVO).

Hintergrund: Gesundheitsdaten erhöhen die rechtliche Brisanz

Rezeptinformationen sind besonders schutzwürdig, weil sie Rückschlüsse auf Behandlungen und Gesundheitszustand zulassen können. Gerade deshalb sind Transparenz, schnelle Aufklärung und nachvollziehbare Schutzmaßnahmen entscheidend.

Rechtliche Einschätzung: EuGH und BGH präzisieren DSGVO-Schadensersatz

Betroffene können unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH hat im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: Ein DSGVO-Verstoß allein genügt nicht, es braucht einen Schaden und Kausalität; eine starre Bagatellgrenze gibt es jedoch nicht.

Für Datenleck-Konstellationen besonders wichtig ist zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Ein immaterieller Schaden kann auch in der nachvollziehbaren Befürchtung eines Datenmissbrauchs liegen; entscheidend ist die Darlegung im Einzelfall.

Der Bundesgerichtshof hat im Facebook-Scraping-Komplex ebenfalls Leitlinien gesetzt: Schon ein kurzzeitiger Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).

Was Betroffene vom Dr.-Ansay-Datenlecke jetzt tun können

• Auskunft verlangen, ob und welche eigenen Daten betroffen waren (insbesondere Rezept- und Kontaktdaten).
  • Mitteilungen und Zeitpunkte dokumentieren (E-Mail, Nutzerkonto-Hinweise, Presseberichte).
  • Prüfen, ob eine Benachrichtigung nach Art. 34 DSGVO erfolgt ist und welche Schutzmaßnahmen ergriffen wurden.
  • Bei nachvollziehbarer Belastung, Kontrollverlust oder konkreten Missbrauchssorgen eine Anspruchsprüfung nach Art. 82 DSGVO vornehmen lassen.

Dr. Stoll & Sauer bietet eine kostenlose Ersteinschätzung im Dr.-Ansay-Online-Check an.

Wiederholungsfall: Datenpanne bereits im Mai 2024

heise online erinnert daran, dass es bereits im Mai 2024 eine öffentlich bekannte Datenpanne gab, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren; damals habe das Unternehmen den Vorfall gemeldet und Betroffene per E-Mail informiert.