Nachdem bekannt wurde, dass die Plattform www.meineimpfungen.ch gravierende Datenschutzmängel aufweist, hat sich nun der oberste Datenschützer der Schweiz eingeschaltet.
In der Schweiz wird derzeit an der Einführung eines digitalen Impfausweises gearbeitet. Auch in Art. 6a des neuen Covid-19-Gesetzes wird festgehalten, dass ein Impfnachweis, der insbesondere den Ansprüchen des Datenschutzes entspricht, einzuführen ist. In Fokus geriet dabei in den letzten Tagen die Plattform www.meineimpfungen.ch, auf der aktuell ungefähr 450‘000 Personen registriert sind. Nutzer können dort eintragen, welche Impfungen sie wann erhalten haben. Nun hat sich gezeigt, dass die Plattform, in sicherheitstechnischer und folglich datenschutzrechtlicher Hinsicht, gravierende Mängel aufweist.
Auf der Plattform registrierte Medizinfachpersonen sind in der Lage auf sämtliche gespeicherten Gesundheitsdaten von Privatpersonen Zugriff zu nehmen und können diese sogar manipulieren. Die Problematik dieses Umstandes wird zusätzlich verschärft durch die Tatsache, dass sich auf der Plattform jeder als Medizinfachperson ausgaben kann. Es findet nämlich keine Identitätsprüfung statt. Zudem bestehen Sicherheitslücken, die es Hackern ermöglicht, leicht Impfausweise registrierter Personen zu erbeuten und zu manipulieren.
Die Ausgestaltung der Plattform verstösst damit in gravierender Weise gegen das Datenschutzgesetz (DSG). Dies ist insbesondere deshalb stossend, weil es sich bei Gesundheitsdaten um besonders schützenswerte Personendaten handelt. Sie entspricht auch nicht der gesetzlichen Vorgabe an den Impfnachweis gemäss Art. 6a Covid-19-Gesetz. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat sich nun diesem Fall angenommen und eine Sachverhaltsabklärung nach Art. 29 DSG eingeleitet. Zudem hat der EDÖB veranlasst, die als mangelhaft angezeigten Datenbearbeitungen unverzüglich einzustellen. Der Betrieb der Plattform ist momentan „zur Wahrung der Datensicherheit“ komplett eingestellt.
Der Zeitpunkt dieses Datenschutzverstosses könnte nicht schlechter getroffen sein. Nur wenige Wochen nach der Ablehnung der E-ID, welche wohl insbesondere wegen Sicherheitsbedenken von privaten Infrastrukturen gescheitert sein dürfte, hat das Vertrauen in solch weitgreifende elektronische Plattformen mit Sicherheit nicht zugekommen. Für zukünftige Projekte solchen Ausmasses müssen nun die richtigen Schlüsse gezogen und Massnahmen umgesetzt werden.
Quellen
https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-82804.html
https://www.republik.ch/2021/03/23/wollen-sie-wissen-womit-viola-amherd-geimpft-ist