Als das Online-Magazin «Republik» im Frühjahr massive Sicherheitsmängel bei meineimpfungen.ch publik machte, kam sie zu keinem schmeichelhaften Ergebnis. Die Impfplattform sei nicht nur so offen wie ein Telefonbuch, sondern auch leicht zu manipulieren.
Der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger forderte daraufhin die Betreiber auf, ihre Plattform vom Netz zu nehmen, und leitete ein Verfahren ein.
Die technischen Mängel betrafen das gesamte Angebot der Plattform.
Nun liegt Lobsigers Schlussbericht dazu vor. «Es hat sich gezeigt, dass die technischen Mängel sehr schwerwiegend waren und das gesamte Angebot der Plattform betrafen», bilanziert er. Weder die Plattform noch einzelne Komponenten davon hätten sicher betrieben werden können.
Sein Befund gelte insbesondere für das Modul «myCOVIDvac» für den Covid-Impfnachweis. Dabei hatte das Bundesamt für Gesundheit (BAG) mit meineimpfungen.ch zusammenarbeiten wollen.
Aus heutiger Sicht sei nicht einmal mehr rekonstruierbar, ob tatsächlich Daten abgegriffen oder manipuliert wurden, oder ob es schon nur entsprechende Versuche dazu gab. Meineimpfungen.ch verfüge über keine Funktionalität, die entsprechende Rückschlüsse erlauben würde. Dabei wäre das eigentlich Standard.
Userinnen sollen Zugriff auf Daten erhalten
Immerhin sollen die Userinnen und User nun wieder Zugriff auf ihre Daten bekommen oder diese wenigstens löschen lassen können. Die Stiftung meineimpfungen hatte zuletzt mitgeteilt, sie stelle ihre Tätigkeit ein und könne die offenen Auskunfts- und Löschbegehren «leider nicht mehr bearbeiten».
Für einen Zugriff auf die Daten suche sie aber gemeinsam mit dem BAG und dem Datenschützer eine Lösung, hatte sie weiter geschrieben. Nun bestätigt Lobsiger gegenüber SRF: «Es ist eine praktikable Lösung gefunden, diese liegt auf dem Tisch.»
Wie diese Lösung genau aussieht, ist noch unklar. Gemäss Lobsiger soll es ein pragmatischer und gleichzeitig sicherer Weg sein, der die rasche Beantwortung von Lösch- und Auskunftsbegehren erlaube. Das BAG äussert sich derzeit nicht dazu.
Wenn Gesundheitsdaten bearbeitet werden, müssen sich Behörden genauso verantwortlich fühlen, wie wenn sie diese selbst bearbeiten würden.
Für den Datenschutzexperten steht eine Lehre aus dem Fall fest: Wenn Gesundheitsbehörden mit Privaten zusammenarbeiten, sollten sich Behörden bei der Datensicherheit nicht einfach auf Abmachungen verlassen.
«Wenn Gesundheitsdaten bearbeitet werden, müssen sich Gesundheitsbehörden genauso verantwortlich fühlen, wie wenn sie diese selbst bearbeiten würden», so Lobsiger. Zugleich räumt er angesichts der Pandemie ein, dass alle Beteiligten unter Druck gestanden seien.
Die Stiftung meineimpfungen möchte auf Anfrage keine Stellung nehmen. Sie akzeptiert aber die Empfehlungen des Datenschützers, wie dieser in seinem Schlussbericht schreibt.