Impfpass-Plattform unter Beschuss – Verfahren eingeleitet
Der Datenschutzbeauftragte des Bundes hat ein Verfahren gegen die Betreiberin der Plattform www.meineimpfungen.ch eröffnet. Er erachtet die vom Online-Magazin «Republik» geltend gemachten Datenschutzverletzungen als plausibel. Die Stiftung wurde aufgefordert, die Plattform bis auf Weiteres vom Netz zu nehmen.
Nachdem der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 21. März 2021 durch das Online-Magazin «Republik» über dessen Abklärungen betreffend möglichen Datenschutzverletzungen der Impfplattform www.meineimpfungen.ch (digitaler Impfpass) in Kenntnis gesetzt worden ist, hat er die vom Medium erhobenen Vorwürfe und die ihm zugänglichen Informationen summarisch geprüft. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) sei man zum Schluss gekommen, dass die angezeigten Verletzungen plausibel seien, teilt der EDÖB mit.
Besonders schützenswerte Personendaten betroffen
Zweck der Stiftung meineimpfungen ist es, das elektronische Impfdossier auf einer elektronischen Plattform zu betreiben und das Ganze in der Bevölkerung bekannt zu machen und zu verbreiten.
Dem hat der EDÖB momentan einen Riegel geschoben: Am 22. März 2021 hat der oberste Datenschützer gegen die Stiftung mit Sitz in Gümligen, Bern, eine Abklärung des Sachverhalts nach Art. 29 des Datenschutzgesetzes des Bundes (DSG) eingeleitet und eröffnet. Zudem habe man darauf hingewirkt, die als mangelhaft angezeigten Bearbeitungen unverzüglich einzustellen, schreibt der Datenschutzbeauftragte. Der Grund: Die Datenbearbeitung der Impfplattform sei geeignet, die Persönlichkeitsrechte einer grossen Zahl von Personen zu verletzen, zumal es sich in diesem Fall um besonders schützenswerte Personendaten betreffend die Gesundheit handle.
Die Verantwortlichen der Stiftung seien nun aufgefordert, gegenüber dem EDÖB sehr rasch zu den erhobenen Vorwürfen und der Anzeige durch die «Republik» Stellung zu nehmen. Ausserdem erwarte man Angaben über allfällige Datenverluste.
Was sagt die Stiftung?
Aufgrund des laufenden Verfahrens will sich der EDÖB derzeit nicht weitergehend zum Fall äussern. Gemäss «Republik» ist unklar, ob Cyberkriminelle die Sicherheitslücken ausgenutzt und heikle Daten von der Plattform abgesogen haben. Was sagt die Stiftung zu den Vorwürfen? Auf www.meineimpfungen.ch heisst es nur «Entschuldigung, eine dringende Wartung ist erforderlich. Wir entschuldigen uns für die Unannehmlichkeiten und werden unser Bestes tun, um die Dauer zu verkürzen.» Später steht auf der Plattform: «Zur Wahrung der Datensicherheit wird der Betrieb der Plattform meineimpfungen.ch temporär unterbrochen.»
In einer ersten Stellungnahme schreibt die Organisation: «Die Stiftung meineimpfungen wurde am Sonntag, 21. März 2021 von Spezialisten auf Schwachstellen der Online-Plattform aufmerksam gemacht. Die Schwachstellen beziehen sich primär auf die Möglichkeit einer unbefugten Registrierung als Fachperson. Die technischen Schwachstellen sind bereits am Montag, 22. März 2021, am frühen Morgen mehrheitlich behoben worden. Zur Sicherheit haben wir den Betrieb der Plattform bis zum Abschluss einer vollständigen Analyse unterbrochen.»
Harsche Kritik vom Konsumentenschutz
Die Stiftung meineimpfungen wurde vom Bund beauftragt, einen elektronischen Covid-Impfpass auszustellen. Man habe dieses Vorgehen bereits zu Beginn kritisiert, betont der Konsumentenschutz. Das Datenleck – 450’000 Nutzerinnen und Nutzer lagen offen – zeige die Berechtigung der Kritik.
Sara Stalder, Geschäftsleiterin des Konsumentenschutzes, fordert: «Die Tätigkeit von meineimfpungen muss sofort und auf Dauer gestoppt werden. Auch sofort aufgehört werden muss mit der Bewerbung dieses elektronischen Impfdossiers beim Covid-Impf-Anmeldevorgang und auch vor Ort in den Impfzentren.» Und weiter: «Gefordert ist auch der Gesetzgeber, der strenge Grundlagen für eine sichere Lösung erstellen muss. Der Datenschutz muss zu 100 Prozent gewährleistet sein. Es handelt sich um sehr sensible, schützenswerte Personendaten.»
