Zum Inhalt springen
Audio
«Meineimpfungen»: Datenschützer bestätigt «schwerwiegende Mängel»
Aus HeuteMorgen vom 10.09.2021. Bild: Reuters
abspielen. Laufzeit 1 Minute 57 Sekunden.

Digitales Impfbüchlein Meineimpfungen: Datenschützer bestätigt «schwerwiegende Mängel»

In seinem Schlussbericht zur Impfplattform ortet der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger gravierende Sicherheitsprobleme.

Als das Online-Magazin «Republik» im Frühjahr massive Sicherheitsmängel bei meineimpfungen.ch publik machte, kam sie zu keinem schmeichelhaften Ergebnis. Die Impfplattform sei nicht nur so offen wie ein Telefonbuch, sondern auch leicht zu manipulieren.

Der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger forderte daraufhin die Betreiber auf, ihre Plattform vom Netz zu nehmen, und leitete ein Verfahren ein.

Die technischen Mängel betrafen das gesamte Angebot der Plattform.
Autor: Adrian Lobsiger Eidgenössischer Datenschutzbeauftragter

Nun liegt Lobsigers Schlussbericht dazu vor. «Es hat sich gezeigt, dass die technischen Mängel sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen», bilanziert er. Weder die Plattform noch einzelne Komponenten davon hätten sicher betrieben werden können.

Sein Befund gelte insbesondere für das Modul «myCOVIDvac» für den Covid-Impfnachweis. Dabei hatte das Bundesamt für Gesundheit (BAG) mit meineimpfungen.ch zusammenarbeiten wollen.

Video
Aus dem Archiv: Massive Sicherheitlücken bei meineimpfungen.ch
Aus Tagesschau vom 23.03.2021.
abspielen. Laufzeit 1 Minute 59 Sekunden.

Aus heutiger Sicht sei nicht einmal mehr rekonstruierbar, ob tatsächlich Daten abgegriffen oder manipuliert wurden, oder ob es schon nur entsprechende Versuche dazu gab. Meineimpfungen.ch verfüge über keine Funktionalität, die entsprechende Rückschlüsse erlauben würde. Dabei wäre das eigentlich Standard.

Userinnen sollen Zugriff auf Daten erhalten

Immerhin sollen die Userinnen und User nun wieder Zugriff auf ihre Daten bekommen oder diese wenigstens löschen lassen können. Die Stiftung meineimpfungen hatte zuletzt mitgeteilt, sie stelle ihre Tätigkeit ein und könne die offenen Auskunfts- und Löschbegehren «leider nicht mehr bearbeiten».

Audio
Aus dem Archiv: Impfplattform ist pleite – kein Zugriff auf Daten
aus Espresso vom 25.08.2021. Bild: Screenshot
abspielen. Laufzeit 3 Minuten 21 Sekunden.

Für einen Zugriff auf die Daten suche sie aber gemeinsam mit dem BAG und dem Datenschützer eine Lösung, hatte sie weiter geschrieben. Nun bestätigt Lobsiger gegenüber SRF: «Es ist eine praktikable Lösung gefunden, diese liegt auf dem Tisch.»

Wie diese Lösung genau aussieht, ist noch unklar. Gemäss Lobsiger soll es ein pragmatischer und gleichzeitig sicherer Weg sein, der die rasche Beantwortung von Lösch- und Auskunftsbegehren erlaube. Das BAG äussert sich derzeit nicht dazu.

Wenn Gesundheitsdaten bearbeitet werden, müssen sich Behörden genauso verantwortlich fühlen, wie wenn sie diese selbst bearbeiten würden.
Autor: Adrian Lobsiger

Für den Datenschutzexperten steht eine Lehre aus dem Fall fest: Wenn Gesundheitsbehörden mit Privaten zusammenarbeiten, sollten sich Behörden bei der Datensicherheit nicht einfach auf Abmachungen verlassen.

 «Wenn Gesundheitsdaten bearbeitet werden, müssen sich Gesundheitsbehörden genauso verantwortlich fühlen, wie wenn sie diese selbst bearbeiten würden», so Lobsiger. Zugleich räumt er angesichts der Pandemie ein, dass alle Beteiligten unter Druck gestanden seien.

 Die Stiftung meineimpfungen möchte auf Anfrage keine Stellung nehmen. Sie akzeptiert aber die Empfehlungen des Datenschützers, wie dieser in seinem Schlussbericht schreibt.

HeuteMorgen, 10.09.2021, 06:00 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel