Anfang Januar 2026 wurde beim Telemedizin-Anbieter Dr. Ansay eine Schwachstelle bekannt, über die eingeloggte Nutzer potenziell fremde Rezeptdaten abrufen konnten. Medien berichten von bis zu 1,7 Millionen Rezepten, das Unternehmen selbst nennt deutlich weniger Datensätze. Noch ist unklar, ob Daten abgeflossen sind und wie lange die Lücke bestand.

Bei Dr. Ansay ist Anfang Januar 2026 eine Sicherheitslücke publik geworden, über die Rezept- und Gesundheitsdaten potenziell für andere Nutzer einsehbar gewesen sein könnten.

Medienberichten zufolge deutet vieles auf eine Fehlkonfiguration von Zugriffsregeln in einer Firebase-Firestore-Datenbank hin. Demnach hätten eingeloggte Nutzer mit gültigen Tokens nicht nur ihre eigenen Daten, sondern auch weitere Datensätze abrufen können. Laut heise.de zufolge wurde die Lücke nach einer Anfrage geschlossen.

Anzeige

Welche Daten potenziell betroffen sein könnten

Im Raum steht der Zugriff auf Rezeptinformationen in großem Umfang. Medienberichten zufolge waren rund 1,7 Millionen Rezepte betroffen, die potenziell einsehbar gewesen sein sollen, darunter vor allem Cannabis-Verordnungen. Zusätzlich werden personenbezogene Kontaktangaben sowie Details zu Medikamenten und Dosierungen genannt.

Brisant ist dabei weniger die schiere Menge als die Art der Daten. Rezeptinformationen gelten als Gesundheitsdaten und gehören damit zu den besonders schutzwürdigen Kategorien der DSGVO.

Anbieter relativiert Umfang und Risiko

Dr. Ansay stellt den Vorfall in einem eigenen Statement als rasch behobenen Konfigurationsfehler dar und verweist auf einen »White-Hat«-Hinweis, also einen kontrollierten, gemeldeten Schwachstellenfund. Zudem sei der Zugriff nur mit spezieller Software und mehreren Tokens möglich gewesen. Der Anbieter spricht von bis zu 330.000 betroffenen Datensätzen (u. a. E-Mail-Adressen und Telefonnummern) und betont, Passwörter, Zahlungsdaten oder Ausweisdaten seien nicht betroffen gewesen.

Damit stehen zwei Lesarten nebeneinander: ein sehr weitreichender, potenzieller Zugriff laut Medien versus eine deutlich kleinere Betroffenenzahl und geringeres Risiko laut Anbieter.

Meldepflichten und offene Fragen

Unabhängig von der genauen Größenordnung bleiben zentrale Punkte offen: ob Daten tatsächlich abgeflossen sind, wie lange die Schwachstelle bestand und ob Betroffene informiert wurden. Bei Datenschutzvorfällen sieht die DSGVO je nach Risikobewertung eine Meldung an die Aufsicht innerhalb von 72 Stunden sowie unter Umständen eine Benachrichtigung der Betroffenen vor.

Auch die Zuständigkeit der Aufsicht ist Teil der Diskussion. Medien verweisen darauf, dass eine Meldung nicht zwingend bei der Hamburger Datenschutzbehörde liegen müsse, wenn die maßgebliche Niederlassung in Malta geführt wird.

Einordnung: hohe Sensibilität, wenig belastbare Details

Gerade bei Rezept- und Medikationsdaten ist der potenzielle Schaden schwer zu relativieren, selbst wenn »nur« Einsicht möglich war. Schon die Möglichkeit, Rückschlüsse auf Behandlungen oder Diagnosen zu ziehen, macht solche Vorfälle heikel.

Die Kanzlei Dr. Stoll & Sauer bewertet den Fall deshalb als »besonders sensibel« und verweist darauf, dass zu Dauer der Lücke, möglichem Datenabfluss und der Kommunikation an Betroffene bislang wesentliche Fragen offen sind. Die Rechtsanwaltsgesellschaft bietet hierfür eine kostenlose Ersteinschätzung an und nennt folgende Maßnahmen, die Betroffene jetzt tun können.

• Auskunft verlangen, ob und welche eigenen Daten betroffen waren (insbesondere Rezept- und Kontaktdaten).
• Mitteilungen und Zeitpunkte dokumentieren (E-Mail, Nutzerkonto-Hinweise, Presseberichte).
• Prüfen, ob eine Benachrichtigung nach Art. 34 DSGVO erfolgt ist und welche Schutzmaßnahmen ergriffen wurden.
• Bei nachvollziehbarer Belastung, Kontrollverlust oder konkreten Missbrauchssorgen eine Anspruchsprüfung nach Art. 82 DSGVO vornehmen lassen.