Gesundheitsdatenschutz hinzubekommen, scheint nicht immer einfach zu sein und gelingt nicht jedem Softwareanbieter. Grundsätzlich sind Gesundheitsdaten eines jeden Bürgers, jeder Bürgerin, besonders schützenswert.

 

Was ist passiert?

Der Chaos Computer Club (CCC) berichtete am 18.3.2021, dass das Wiener Unternehmen medicus.ai unter dem Namen safeplay eine „Rundum-Sorglos-Website“ für Testzentren zur Verfügung stellt. Hier kann von der Terminbuchung bis zum Online-Testzertifikat alles digital gemacht werden. Es wurde somit an alles gedacht! Dummerweise nur nicht an die angemessene IT-Sicherheit, so der CCC. Denn wer einen Account auf der Plattform angelegt hatte konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzer:innen einsehen.

 

Gesundheitsdatenschutz? 80.000 Personen sind betroffen!

Aufgrund einer Sicherheitslücke waren sensible Daten, wie Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis über das Internet abrufbar. Laut CCC sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen einsehbar gewesen. Betroffen sind über 100 Testzentren und mobilen Test-Teams. Sowohl öffentliche Einrichtungen in München, Berlin und Kärnten aber auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas sind davon betroffen.

Zerforschung und CCC haben die Schwachstelle bereits an das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland über die Schwachstellen bei medicus.ai gemeldet. Für Wien hat dies die österreischische NGO epicenter.works getan.

Wie es von der Datenschutzgrundverordnung verlangt wird, müssen betroffene Personen über die Lücke informiert werden. Deshalb hat CCC Freunde gefragt, ob diese eine Meldung erhalten haben, Fehlanzeige!

Noch viel schlimmer ist, dass die Schwachstellen wohl so offensichtlich waren und es nicht die erste Lücke bei der sogenannten Corona-IT gibt, so CCC. Denn man musste in diesem Fall lediglich, um die vollständigen Daten aller Getesteten live einzusehen, nur einen Account für einen Covid-19-Test anlegen. Simple Sache, die URL für das Testergebnis enthält die Nummer des Tests. Hat man dann diese Zahl hoch- oder runtergezählt, dann wurden die „Testzertifikate“ anderer Personen frei zugänglich. Und so konnte man dann alle Testergebnisse mit den vollständigen Angaben einsehen.

Dieser gottseidank aufgeklärte Skandal von CCC zeigt, wie unverantwortlich die Softwareanbieter mit Gesundheitsdaten umgehen. Gesundheitsdatenschutz, mangelhaft! Das Vertrauen der Bürger:innen in digitale Anwendungen wird dadurch sicherlich nicht besser werden!