Datenschutzbeauftragte: Schwere Mängel bei meineimpfungen.ch
Die technischen Mängel bei der Stiftung meineimpfungen, die das elektronische Impfbüchlein im Auftrag des BAG führte, sind sehr schwerwiegend gewesen. Das stellt der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger in seinem Schlussbericht fest.
„Es hat sich gezeigt, dass die technischen Mängel wirklich sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen“, erklärte Lobsiger am Freitag gegenüber Schweizer Radio SRF.
Nutzer und Nutzerinnen sollen ihre Daten wieder bekommen oder löschen können. Es sei eine praktikable Lösung gefunden worden. Sie liege auf dem Tisch, erklärte Lobsiger, ohne Details dazu anzugeben.
Beim Bundesamt für Gesundheit (BAG) hiess es dazu am Freitag auf Anfrage der Nachrichtenagentur Keystone-SDA, dass man bestätigen könne, dass das BAG zügig daran arbeite, eine Lösung für die Rückgabe der Daten an die Nutzer zu finden. Zum jetzigen Zeitpunkt könnten keine weiteren Angaben darüber gemacht werden, wie diese Lösung aussehen werde.
Auch Sara Stalder, Geschäftsleiterin der Stiftung für Konsumentenschutz (SKS), erklärte am Freitag im Konsumentenmagazin „Espresso“ von Radio SRF, dass noch nicht klar sei, wie die Daten von den Usern zurückgeholt werden könnten. Aber es gebe jetzt immerhin einen Lichtblick.
Im vorliegenden Schlussbericht des Datenbeauftragten wird die Plattform als veraltetes System bezeichnet, welches über Jahre gewachsen und nicht gegen aktuelle Sicherheitsbedrohungen geschützt worden sei.
In seinen Empfehlungen zum Schlussbericht stellt Lobsiger fest, dass die Stiftung gegenüber den Nutzerinnen und Nutzer, die ein Auskunfts- oder Löschungsbegehren gestellt hätten, innert angemessener Frist reagieren soll. Es sollten ihnen auch die entstandenen Kosten für beglaubigte Ausweiskopien ersetzt werden.
Der Datenschutzbeauftragte hält zudem fest, dass die datenschutzrechtlichen Anforderungen auch im Falle einer Einstellung der ursprünglichen Plattform zu berücksichtigen seien. Insbesondere müsse sie sicherstellen, dass die Daten weiterhin gegen unbefugte Zugriffe geschützt und nicht einem anderen als dem ursprünglichen Zweck zugeführt würden.
Lobsiger wiederholte gegenüber Radio SRF seine Aussagen von Ende Juni, als die Untersuchungen zu meineimpfungen.ch noch nicht ganz abgeschlossen waren: Als Lehre aus der Geschichte müsse sich der Bund, wenn er mit Privaten zusammenarbeite genauso verantwortlich fühlen, wie wenn er selber Gesundheitsdaten bearbeiten würde, und darum genau hinschauen.
Im Mai wurde die Plattform meineimpfungen.ch wegen Sicherheitslücken eingestellt. Bereits Ende März war bekannt geworden, dass die 450’000 Impfdaten auf meineimpfungen.ch, darunter 240’000 von Covid-19-Geimpften, manipulierbar waren. In der Folge wurden das BAG und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte aktiv.
Die Plattform wurde deaktiviert und ein Verfahren gegen die Betreiber eingeleitet. Ins Rollen gebracht hatte die Geschichte das Online-Magazin „Republik“.
(text:sda/bild:unsplash)
