Die wegen ihres löchrigen Datenschutzes in die Kritik geratene Stiftung Meineimpfungen ist in Liquidation. Über 400'000 Impfdossiers sind auf der Plattform eingefroren.
Die Verantwortlichen der Stiftung haben nun angefangen, ehemaligen Kundinnen und Kunden per E-Mail Impfdossiers zu verschicken. Die E-Mails mit den heiklen Daten im Zip-Anhang sind aber unverschlüsselt – und sie können bei einigen Empfängerinnen und Empfängern auch direkt in den Spam-Ordner wandern. Darauf weist Meineimpfungen auf seiner Internetseite explizit hin. Überdies könne man auch «die Datenintegrität nicht aktiv nachweisen» – sprich, die Nutzerinnen und Nutzer müssen die Impfdaten überprüfen, allfällige Lücken selbst orten und stopfen.
Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist nicht datenschutzkonform.
Datenschützer: Mailversand einstellen
Auf der Internetseite wird auch der Eindruck erweckt, dieses Vorgehen sei mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) besprochen worden.
Falsch. «Eine Beratung der Stiftung in Bezug auf das nun gewählte Vorgehen hat nicht stattgefunden», schreibt ein Mitarbeiter des EDÖB auf Anfrage des SRF-Konsumentenmagazins «Espresso». Man heisse das Vorgehen keineswegs gut: «Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist nicht datenschutzkonform.» Man habe deshalb mit den involvierten Personen Kontakt aufgenommen und die «Stiftung aufgefordert, die nicht datenschutzkonforme Übermittlung der Impfdaten per sofort einzustellen und so anzupassen, dass sie im Einklang mit den datenschutzrechtlichen Vorgaben steht».
Überdies sei auch unklar, was mit den Gesuchen um Löschung der Impfdaten passiert sei, die einige Nutzerinnen und Nutzer gestellt haben. Auch darüber will der Datenschützer Klarheit.
Offenbar lag eine sichere Lösung auf dem Tisch
Das erneute Datenschutzdebakel bei Meineimpfungen erstaunt umso mehr, als sich offenbar der EDÖB und das Bundesamt für Gesundheit (BAG) in den letzten Wochen intensiv mit der Rettung der bei Meineimpfungen eingefrorenen Impfdaten bemüht haben. Und offenbar lag sogar auch eine datenschutzkonforme Lösung auf dem Tisch.
Warum die Verantwortlichen des elektronischen Impfbüchleins diese in den Wind geschlagen und stattdessen mit einem ungesicherten Mailversand angefangen haben, darüber hüllten sie sich am Montag noch in Schweigen. Man sei nicht mehr in der Lage, Fragen oder Mitteilungen zu beantworten, heisst es auf der Homepage.
Das BAG empfiehlt derweil, die Impfdaten in Zukunft im persönlichen, elektronischen Patientendossier zu speichern. Dieses wird zurzeit eingeführt. Dort könne man alle wichtigen Gesundheitsdaten speichern, schreibt das BAG. Es muss wohl auch noch daran arbeiten, dass die Bevölkerung nach dem Debakel um Meineimpfungen solchen Lösungen wieder vertraut.