Beim Telemedizin-Anbieter Dr. Ansay ist Anfang Januar 2026 eine Sicherheitslücke bekannt geworden, durch die Rezept- und Gesundheitsdaten potenziell für andere Nutzer einsehbar waren. Nach einem Bericht von heise online vom 8. Januar 2026 sollen rund 1,7 Millionen Rezepte von rund einer halben Million Kunden betroffen gewesen sein. Dr. Ansay stellt in einer eigenen Mitteilung vom 9. Januar 2026 den Vorfall dagegen als schnell behobenen Konfigurationsfehler im Rahmen eines „White-Hat“-Hinweises dar und spricht von bis zu 330.000 betroffenen Datensätzen ohne „Risiko für Patientendaten“. Ein White-Hat-Angriff ist ein kontrollierter, erlaubter Sicherheitstest, bei dem eine Schwachstelle nur nachgewiesen und dem Betreiber gemeldet wird, damit sie geschlossen werden kann.
Dr. Stoll & Sauer bewertet den Fall dennoch als besonders sensibel, weil es um Rezeptinformationen und damit um Gesundheitsdaten geht und wesentliche Fragen zu Dauer der Lücke, möglichem Datenabfluss und Betroffeneninformation offen bleiben – eine kostenlose Ersteinschätzung bietet die Kanzlei im Dr.-Ansay-Online-Check an. In vergleichbaren Datenlecks-Vorfälle – etwa im Facebook-Scraping-Komplex – wurden von Gerichten bereits Schadensersatzbeträge bis zu 3.000 Euro zugesprochen.
Was nach Medienberichten zur Sicherheitslücke bekannt ist
Nach dem Bericht von heise online sollen Hinweise auf eine Fehlkonfiguration von Zugriffsregeln einer Firebase-Firestore-Datenbank hingedeutet haben: Eingeloggte Nutzer mit gültigem Token hätten demnach nicht nur eigene Rezepte, sondern sämtliche Datensätze abrufen können; die Lücke sei nach einer heise-Anfrage geschlossen worden. Die Deutsche Apotheker Zeitung und Apotheke Adhoc greifen den heise-Bericht auf und betonen ebenfalls den potenziellen Zugriff auf umfangreiche Rezept- und Kontaktdaten.
Nach den Berichten konnten potenziell einsehbar sein:
• Rezeptdaten im großen Umfang: rund 1,7 Millionen Rezepte, rund eine halbe Million Kunden (potenziell einsehbar).
• Schwerpunkt Cannabis-Rezepte; daneben werden auch Bestellungen etwa zu Schmerzmitteln erwähnt.
• Personenbezogene Daten: Namen, Adressen, E-Mail-Adressen, Telefonnummern.
• Gesundheits- und Rezeptdetails: Medikamente, Dosierungen, ausgewählte Apotheken.
• Ärztedaten: Angaben zu rund 15 verschreibenden Ärzten, die laut heise meist nicht aus Deutschland kommen.
Offen bleibt nach heise, ob und in welchem Umfang Daten tatsächlich abgeflossen sind und seit wann die Schwachstelle bestand.
Dr. Ansay weist Vorwürfe zurück und spricht von „White-Hat“-Fund
Dr. Ansay erklärt in seiner Mitteilung vom 9. Januar 2026, es habe sich um einen Konfigurationsfehler in einer externen Datenbank-Anbindung gehandelt, der innerhalb weniger Stunden behoben worden sei. Der Zugriff habe „spezielle Software“ sowie mehrere Tokens erfordert; Logfiles würden einen typischen „White-Hat“-Vorgang ohne darüber hinausgehende Gefährdung belegen. Betroffen seien Datensätze zu Verschreibungen sowie E-Mail-Adressen und Telefonnummern von bis zu 330.000 Nutzern; Zahlungsdaten, Passwörter, Ausweisdaten und Indikationen seien nicht betroffen. Dr. Ansay führt zudem aus, es bestehe aus ihrer Sicht keine Meldepflicht, man habe dennoch Behörden informiert.
Damit stehen zwei Darstellungen nebeneinander: Medienberichte sprechen von einem sehr großen potenziellen Zugriff auf Rezeptdaten; das Unternehmen reduziert Umfang und Risiko deutlich.
Zuständigkeit der Aufsicht und Meldefragen
heise online berichtet, bei der Datenschutzbehörde Hamburg sei keine Meldung eingegangen; eine Sprecherin habe darauf verwiesen, dass in Hamburg nur noch eine Niederlassung für Entwicklung und Vermarktung bestehe und eine Meldung daher in Malta zu erfolgen habe. Unabhängig von der Frage, welche Behörde zuständig ist, gelten bei Datenschutzverletzungen die Grundpflichten aus der DSGVO:
• Meldung an die Aufsicht grundsätzlich binnen 72 Stunden nach Kenntnis, wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Benachrichtigung betroffener Personen, wenn ein hohes Risiko wahrscheinlich ist (Art. 34 DSGVO).
Hintergrund: Gesundheitsdaten erhöhen die rechtliche Brisanz
Rezeptinformationen sind besonders schutzwürdig, weil sie Rückschlüsse auf Behandlungen und Gesundheitszustand zulassen können. Gerade deshalb sind Transparenz, schnelle Aufklärung und nachvollziehbare Schutzmaßnahmen entscheidend.
Rechtliche Einschätzung: EuGH und BGH präzisieren DSGVO-Schadensersatz
Betroffene können unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH hat im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: Ein DSGVO-Verstoß allein genügt nicht, es braucht einen Schaden und Kausalität; eine starre Bagatellgrenze gibt es jedoch nicht.
Für Datenleck-Konstellationen besonders wichtig ist zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Ein immaterieller Schaden kann auch in der nachvollziehbaren Befürchtung eines Datenmissbrauchs liegen; entscheidend ist die Darlegung im Einzelfall.
Der Bundesgerichtshof hat im Facebook-Scraping-Komplex ebenfalls Leitlinien gesetzt: Schon ein kurzzeitiger Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
Was Betroffene vom Dr.-Ansay-Datenlecke jetzt tun können
Wiederholungsfall: Datenpanne bereits im Mai 2024
heise online erinnert daran, dass es bereits im Mai 2024 eine öffentlich bekannte Datenpanne gab, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren; damals habe das Unternehmen den Vorfall gemeldet und Betroffene per E-Mail informiert.
Dr. Stoll & Sauer bewertet den Fall dennoch als besonders sensibel, weil es um Rezeptinformationen und damit um Gesundheitsdaten geht und wesentliche Fragen zu Dauer der Lücke, möglichem Datenabfluss und Betroffeneninformation offen bleiben – eine kostenlose Ersteinschätzung bietet die Kanzlei im Dr.-Ansay-Online-Check an. In vergleichbaren Datenlecks-Vorfälle – etwa im Facebook-Scraping-Komplex – wurden von Gerichten bereits Schadensersatzbeträge bis zu 3.000 Euro zugesprochen.
Was nach Medienberichten zur Sicherheitslücke bekannt ist
Nach dem Bericht von heise online sollen Hinweise auf eine Fehlkonfiguration von Zugriffsregeln einer Firebase-Firestore-Datenbank hingedeutet haben: Eingeloggte Nutzer mit gültigem Token hätten demnach nicht nur eigene Rezepte, sondern sämtliche Datensätze abrufen können; die Lücke sei nach einer heise-Anfrage geschlossen worden. Die Deutsche Apotheker Zeitung und Apotheke Adhoc greifen den heise-Bericht auf und betonen ebenfalls den potenziellen Zugriff auf umfangreiche Rezept- und Kontaktdaten.
Nach den Berichten konnten potenziell einsehbar sein:
• Rezeptdaten im großen Umfang: rund 1,7 Millionen Rezepte, rund eine halbe Million Kunden (potenziell einsehbar).
• Schwerpunkt Cannabis-Rezepte; daneben werden auch Bestellungen etwa zu Schmerzmitteln erwähnt.
• Personenbezogene Daten: Namen, Adressen, E-Mail-Adressen, Telefonnummern.
• Gesundheits- und Rezeptdetails: Medikamente, Dosierungen, ausgewählte Apotheken.
• Ärztedaten: Angaben zu rund 15 verschreibenden Ärzten, die laut heise meist nicht aus Deutschland kommen.
Offen bleibt nach heise, ob und in welchem Umfang Daten tatsächlich abgeflossen sind und seit wann die Schwachstelle bestand.
Dr. Ansay weist Vorwürfe zurück und spricht von „White-Hat“-Fund
Dr. Ansay erklärt in seiner Mitteilung vom 9. Januar 2026, es habe sich um einen Konfigurationsfehler in einer externen Datenbank-Anbindung gehandelt, der innerhalb weniger Stunden behoben worden sei. Der Zugriff habe „spezielle Software“ sowie mehrere Tokens erfordert; Logfiles würden einen typischen „White-Hat“-Vorgang ohne darüber hinausgehende Gefährdung belegen. Betroffen seien Datensätze zu Verschreibungen sowie E-Mail-Adressen und Telefonnummern von bis zu 330.000 Nutzern; Zahlungsdaten, Passwörter, Ausweisdaten und Indikationen seien nicht betroffen. Dr. Ansay führt zudem aus, es bestehe aus ihrer Sicht keine Meldepflicht, man habe dennoch Behörden informiert.
Damit stehen zwei Darstellungen nebeneinander: Medienberichte sprechen von einem sehr großen potenziellen Zugriff auf Rezeptdaten; das Unternehmen reduziert Umfang und Risiko deutlich.
Zuständigkeit der Aufsicht und Meldefragen
heise online berichtet, bei der Datenschutzbehörde Hamburg sei keine Meldung eingegangen; eine Sprecherin habe darauf verwiesen, dass in Hamburg nur noch eine Niederlassung für Entwicklung und Vermarktung bestehe und eine Meldung daher in Malta zu erfolgen habe. Unabhängig von der Frage, welche Behörde zuständig ist, gelten bei Datenschutzverletzungen die Grundpflichten aus der DSGVO:
• Meldung an die Aufsicht grundsätzlich binnen 72 Stunden nach Kenntnis, wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Benachrichtigung betroffener Personen, wenn ein hohes Risiko wahrscheinlich ist (Art. 34 DSGVO).
Hintergrund: Gesundheitsdaten erhöhen die rechtliche Brisanz
Rezeptinformationen sind besonders schutzwürdig, weil sie Rückschlüsse auf Behandlungen und Gesundheitszustand zulassen können. Gerade deshalb sind Transparenz, schnelle Aufklärung und nachvollziehbare Schutzmaßnahmen entscheidend.
Rechtliche Einschätzung: EuGH und BGH präzisieren DSGVO-Schadensersatz
Betroffene können unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH hat im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: Ein DSGVO-Verstoß allein genügt nicht, es braucht einen Schaden und Kausalität; eine starre Bagatellgrenze gibt es jedoch nicht.
Für Datenleck-Konstellationen besonders wichtig ist zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Ein immaterieller Schaden kann auch in der nachvollziehbaren Befürchtung eines Datenmissbrauchs liegen; entscheidend ist die Darlegung im Einzelfall.
Der Bundesgerichtshof hat im Facebook-Scraping-Komplex ebenfalls Leitlinien gesetzt: Schon ein kurzzeitiger Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
Was Betroffene vom Dr.-Ansay-Datenlecke jetzt tun können
- Auskunft verlangen, ob und welche eigenen Daten betroffen waren (insbesondere Rezept- und Kontaktdaten).
• Mitteilungen und Zeitpunkte dokumentieren (E-Mail, Nutzerkonto-Hinweise, Presseberichte).
• Prüfen, ob eine Benachrichtigung nach Art. 34 DSGVO erfolgt ist und welche Schutzmaßnahmen ergriffen wurden.
• Bei nachvollziehbarer Belastung, Kontrollverlust oder konkreten Missbrauchssorgen eine Anspruchsprüfung nach Art. 82 DSGVO vornehmen lassen.
Wiederholungsfall: Datenpanne bereits im Mai 2024
heise online erinnert daran, dass es bereits im Mai 2024 eine öffentlich bekannte Datenpanne gab, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren; damals habe das Unternehmen den Vorfall gemeldet und Betroffene per E-Mail informiert.
