Das Schlamassel um meineimpfungen.ch und die von der gleichnamigen privaten Stiftung gespeicherten Impfdaten geht weiter. Die Verantwortlichen kämpfen um die Deutungshoheit in einem Fall, der geprägt ist von widersprüchlichen Angaben und Kommunikationsfehlern. Betroffen sind hunderttausende Schweizerinnen und Schweizer, die der Plattform ihre schützenswerten Daten anvertrauten.
Am Mittwoch nahm die Sprecherin der kritisierten Stiftung gegenüber watson erstmals Stellung und erklärte, warum die Verantwortlichen ihrerseits den Bund kritisieren.
Zuvor hatten sie in einer (am Dienstag) auf meineimpfungen.ch veröffentlichten Stellungnahme nebst dem BAG auch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) attackiert. Dieser ist wegen der schützenswerten Gesundheitsdaten in den Fall involviert.
Der oberste Schweizer Datenschützer prüft nun «eine Anzeige der Ereignisse bei der zuständigen kantonalen Strafverfolgungsbehörde», wie er auf Anfrage sagte.
Beim Bund wurde ein Datenrettungsprojekt gestartet, doch ging dies den Stiftungs-Verantwortlichen wohl zu wenig schnell: Jedenfalls veranlassten sie letzten Freitag auf eigene Faust den unverschlüsselten E-Mail-Versand der Impfdaten an eine unbekannte Zahl von Nutzer und mussten in der Folge massive öffentliche Kritik einstecken. Dies, weil das Vorgehen nicht datenschutzkonform gewesen sei.
Auf meineimpfungen.ch prangt seit Dienstag eine explosive Replik. Darin erheben die Stiftungs-Verantwortlichen ihrerseits Vorwürfe an die Adresse des Bundes.
Dieser Darstellung widerspricht das BAG – und die Stiftung wiederum widerspricht dem BAG (siehe unten).
Die oberste Schweizer Datenschutzbehörde hat am Mittwoch gegenüber watson ausführlich Stellung genommen zu den von der Stiftung geäusserten Vorwürfen.
Der EDÖB betont, er habe sowohl gegenüber der Stiftung wie auch gegenüber dem BAG klargestellt, dass das BAG in der Pflicht stand, eine vertretbare Lösung «zur Abwicklung der Auskunftsrechte der Kundinnen und Kunden zu finden». Eine hinsichtlich Kosten und Datenschutz vertretbare Lösung, wie aus der Stellungnahme hervorgeht.
Der EDÖB betont, er habe gegenüber der Stiftung schriftlich dargelegt, dass er das BAG bei der Erarbeitung dieser Lösung unterstützen werde und eine parallele Beratung der Stiftung somit keinen Sinn ergeben hätte.
Das BAG habe sich dieser Sicht angeschlossen, hält der eidgenössische Datenschützer fest, und man habe ihm dies schriftlich zugesichert. Daraufhin habe das BAG das Projekt «Datenrettung meineimpfungen.ch» lanciert.
In der Projektdokumentation habe das BAG nebst dem Zeitplan unter anderem auch die Kommunikation zwischen dem Amt und der Stiftung geregelt, welche somit Sache des BAG gewesen sei, hält der Datenschützer fest. Das Personal des EDÖB habe in der Folge an zahlreichen Sitzung des BAG mitgewirkt und in schriftlichen Eingaben die datenschutzrechtlichen Minimalanforderungen der Lösung formuliert.
Die Mediensprecherin der Stiftung, Nicole Bürki, sagte am Mitwoch auf Anfrage von watson, die Stiftung habe nichts von einem konkreten Rettungsprojekt gewusst.
Angefragt, wann und in welcher Form das BAG die Stiftung Meineimpfungen über das entsprechende Projekt informiert habe, antwortete Sprecher Grégoire Gogniat:
Mit dieser Darstellung konfrontiert, erklärte die Mediensprecherin der Stiftung Meineimpfungen:
Das BAG sagt auch, dass die Diskussionen noch im Gange gewesen seien, als die Stiftung einseitig beschlossen habe, die Impfdaten an die Nutzerinnen und Nutzer zurückzugeben.
Auch das ist nicht klar.
«Der Versand konnte nicht abgeschlossen werden», sagte die Stiftungs-Sprecherin am Mittwochmorgen. Dass der Mail-Versand nicht abgeschlossen wurde, begründet sie mit der grossen Datenmenge respektive den vielen Adressaten.
Aus dem Büro des EDÖB hiess es, nach Einschätzung der eigenen Informatiker sei «der Versand abgeschlossen, sodass er nicht mehr rückgängig gemacht werden kann».
Weiter betonte der EDÖB, «die anwaltlich vertretene Stiftung» habe «seine Aufforderung, den Versand einzustellen, bis die notwendigen technischen Sicherheitsvorkehrungen erfüllt sind», zurückgewiesen. Er habe keine Sanktionsmöglichkeiten, prüfe aber «zurzeit eine Anzeige der Ereignisse bei der zuständigen kantonalen Strafverfolgungsbehörde».
Am frühen Mittwochabend teilte die Stiftungs-Sprecherin dann kurz vor Publikation dieses Artikels mit:
Dazu sagte die Stiftungs-Sprecherin Nicole Bürki: «Das verschlüsselte Ausliefern sämtlicher Daten wäre mit einem enormen Aufwand verbunden gewesen».
Diesen Aufwand konnten, respektive wollten, die Verantwortlichen bei meineimpfungen.ch offenbar nicht stemmen. Ob diese Entscheidung aus finanziellen Überlegungen getroffen wurde, ist nicht bekannt.
Fakt ist: Die Stiftung steht vor dem Konkurs. «Die Bilanz wurde deponiert, wir warten auf Bescheid der Behörden.»
Im Sommer 2021 habe die Stiftung dem BAG ein Gesuch um finanzielle Unterstützung geschickt und kurze Zeit später die Liquidation beantragt, ruft das BAG in Erinnerung.
Ende August seien seitens Bund (und in Absprache mit dem EDÖB) mehrere Optionen auf dem Tisch gewesen, fasste Adrienne Fichter vom Online-Magazin «Republik» am Mittwoch die damalige Ausgangslage zusammen: Demnach wurde diskutiert, ein Abrufportal einzurichten, oder eben ein digitaler verschlüsselter Versand an die Nutzerinnen und Nutzer.
Die Stiftung wiederum habe behauptet, sie könne den Aufwand für eine solche datenschutzkonforme Lösung nur mit weiteren finanziellen Beiträgen des BAG stemmen. Doch das unter öffentlichen Druck geratene Bundesamt wollte «keinen Franken mehr an die Stiftung bezahlen».
Dazu passt die jüngste Stellungnahme:
Derweil weist Adrienne Fichter, die mit ihren Enthüllungen über gravierende IT-Sicherheitsprobleme im Frühjahr 2020 meineimpfungen.ch zu Fall brachte, in ihrem neusten Artikel auf gewisse «persönliche Verstrickungen» hin.
Die sich in Auflösung befindende Stiftung sei sich nicht zu schade gewesen, in einer E-Mail, die am Sonntag an die Nutzerinnen und Nutzer geschickt wurde, noch etwas Eigenwerbung zu machen. Die Impf-Datei, die ihnen zugestellt werde, könne in Zukunft einerseits in das elektronische Patientendossier und andererseits in die «Expertensoftware Viavac» – die von Arztpraxen genutzt werde – integriert werden.
Und die Co-Inhaberin von Viavac sei Claire-Anne Siegrist, Präsidentin der Stiftung Meineimpfungen. Ihre Firma habe in den letzten 8 Jahren mindestens 2,5 Millionen Franken an Subventionen erhalten, zeigten Recherchen.
Eine Doppelrolle habe aber auch ein anderes Stiftungsratsmitglied gespielt, hält Adrienne Fichter fest:
Das ist offen.
Das BAG teilte am Mittwoch auf Nachfrage hin mit: «Da die Stiftung die Liquidation beantragt hat, warten wir auf allfällige Anweisungen des Konkursgerichts.»
Die Stiftungs-Sprecherin sagt, sie könne dazu keine Auskunft geben: «Wir warten auf Anweisungen der Behörden».
Immerhin: Die von der Stiftung Meineimpfungen gespeicherten digitalen Impfdaten bleiben zumindest vorläufig erhalten. Die Hosting-Kosten würden noch bezahlt, heisst es.
Wer der «private Spender» ist, der einen Betrag in unbekannter Höhe locker machte, ist bis dato nicht bekannt.
Angesichts der sich überschlagenden Ereignisse und widersprüchlichen Aussagen ist es sinnvoll, sich die Geschichte der beiden wichtigsten Akteure in Erinnerung zu rufen.
Die private Stiftung meineimpfungen hat die gleichnamige Online-Plattform betrieben, um die Impfdaten der Schweizer Bevölkerung zu verwalten. Nach sich häufenden Berichten über IT-Sicherheitsprobleme war der Zugriff auf die Impfdaten ab Frühjahr 2020 für die Bevölkerung nicht mehr möglich. Auf der Website meineimpfungen.ch informiert die Stiftung seither in unregelmässigen Abständen über das Vorgehen und sie nutzt die Plattform für eigene Stellungnahmen.
Das Bundesamt für Gesundheit (BAG) hat den Aufbau der Plattform unterstützt, mit der Stiftung kooperiert und mit ihr versucht, ein elektronisches Impfbüchlein zu lancieren. Nach Berichten über IT-Sicherheitsprobleme und mangelnden Datenschutz distanzierte sich der Bund, BAG-Kaderfrau Virginie Masserey verliess im März 2021 den Stiftungsrat.
Nun empfiehlt das BAG der Bevölkerung, die Impfdaten «in Zukunft im persönlichen elektronischen Patientendossier zu speichern». Das elektronische Patientendossier (EPD) werde zurzeit in der ganzen Schweiz eingeführt.