10 September 2021

Datenschutzbeauftragte: Schwere M├Ąngel bei meineimpfungen.ch

Die technischen M├Ąngel bei der Stiftung meineimpfungen, die das elektronische Impfb├╝chlein im Auftrag des BAG f├╝hrte, sind sehr schwerwiegend gewesen. Das stellt der Eidgen├Âssische Datenschutzbeauftragte Adrian Lobsiger in seinem Schlussbericht fest.

„Es hat sich gezeigt, dass die technischen M├Ąngel wirklich sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen“, erkl├Ąrte Lobsiger am Freitag gegen├╝ber Schweizer Radio SRF.

Nutzer und Nutzerinnen sollen ihre Daten wieder bekommen oder l├Âschen k├Ânnen. Es sei eine praktikable L├Âsung gefunden worden. Sie liege auf dem Tisch, erkl├Ąrte Lobsiger, ohne Details dazu anzugeben.

Beim Bundesamt f├╝r Gesundheit (BAG) hiess es dazu am Freitag auf Anfrage der Nachrichtenagentur Keystone-SDA, dass man best├Ątigen k├Ânne, dass das BAG z├╝gig daran arbeite, eine L├Âsung f├╝r die R├╝ckgabe der Daten an die Nutzer zu finden. Zum jetzigen Zeitpunkt k├Ânnten keine weiteren Angaben dar├╝ber gemacht werden, wie diese L├Âsung aussehen werde.

Auch Sara Stalder, Gesch├Ąftsleiterin der Stiftung f├╝r Konsumentenschutz (SKS), erkl├Ąrte am Freitag im Konsumentenmagazin „Espresso“ von Radio SRF, dass noch nicht klar sei, wie die Daten von den Usern zur├╝ckgeholt werden k├Ânnten. Aber es gebe jetzt immerhin einen Lichtblick.

Im vorliegenden Schlussbericht des Datenbeauftragten wird die Plattform als veraltetes System bezeichnet, welches ├╝ber Jahre gewachsen und nicht gegen aktuelle Sicherheitsbedrohungen gesch├╝tzt worden sei.

In seinen Empfehlungen zum Schlussbericht stellt Lobsiger fest, dass die Stiftung gegen├╝ber den Nutzerinnen und Nutzer, die ein Auskunfts- oder L├Âschungsbegehren gestellt h├Ątten, innert angemessener Frist reagieren soll. Es sollten ihnen auch die entstandenen Kosten f├╝r beglaubigte Ausweiskopien ersetzt werden.

Der Datenschutzbeauftragte h├Ąlt zudem fest, dass die datenschutzrechtlichen Anforderungen auch im Falle einer Einstellung der urspr├╝nglichen Plattform zu ber├╝cksichtigen seien. Insbesondere m├╝sse sie sicherstellen, dass die Daten weiterhin gegen unbefugte Zugriffe gesch├╝tzt und nicht einem anderen als dem urspr├╝nglichen Zweck zugef├╝hrt w├╝rden.

Lobsiger wiederholte gegen├╝ber Radio SRF seine Aussagen von Ende Juni, als die Untersuchungen zu meineimpfungen.ch noch nicht ganz abgeschlossen waren: Als Lehre aus der Geschichte m├╝sse sich der Bund, wenn er mit Privaten zusammenarbeite genauso verantwortlich f├╝hlen, wie wenn er selber Gesundheitsdaten bearbeiten w├╝rde, und darum genau hinschauen.

Im Mai wurde die Plattform meineimpfungen.ch wegen Sicherheitsl├╝cken eingestellt. Bereits Ende M├Ąrz war bekannt geworden, dass die 450’000 Impfdaten auf meineimpfungen.ch, darunter 240’000 von Covid-19-Geimpften, manipulierbar waren. In der Folge wurden das BAG und der Eidgen├Âssische Datenschutz- und ├ľffentlichkeitsbeauftragte aktiv.

Die Plattform wurde deaktiviert und ein Verfahren gegen die Betreiber eingeleitet. Ins Rollen gebracht hatte die Geschichte das Online-Magazin „Republik“.

(text:sda/bild:unsplash)