Digital
Schweiz

Meineimpfungen.ch: Oberster Schweizer Datenschützer prüft Anzeige

Ein Mann laesst sich bei einer mobilen Impfstation impfen, die im Rahmen der Sensibilisierungskampagne "Besser geimpft" (Meglio se vaccinati) an 28 Orten im Kanton Tessin Halt macht, am Mitt ...
Nach dem Impfen gilt es die Daten an einem sicheren Ort zu speichern – nur wo? Die stillgelegte, einst vom Bund unterstützte Online-Plattform der privaten Stiftung Meineimpfungen sorgt weiter für negative Schlagzeilen.Bild: keystone
Analyse

Konflikt um Schweizer Impfdaten eskaliert – oberster Datenschützer prüft Strafanzeige

Der fragwürdige Umgang mit persönlichen Daten von hunderttausenden Schweizerinnen und Schweizern beschäftigt vielleicht schon bald die Richter. Doch auch das Bundesamt für Gesundheit (BAG) muss sich unangenehmen Fragen stellen.
10.11.2021, 19:3011.11.2021, 10:05
Mehr «Digital»

Das Schlamassel um meineimpfungen.ch und die von der gleichnamigen privaten Stiftung gespeicherten Impfdaten geht weiter. Die Verantwortlichen kämpfen um die Deutungshoheit in einem Fall, der geprägt ist von widersprüchlichen Angaben und Kommunikationsfehlern. Betroffen sind hunderttausende Schweizerinnen und Schweizer, die der Plattform ihre schützenswerten Daten anvertrauten.

Am Mittwoch nahm die Sprecherin der kritisierten Stiftung gegenüber watson erstmals Stellung und erklärte, warum die Verantwortlichen ihrerseits den Bund kritisieren.

Zuvor hatten sie in einer (am Dienstag) auf meineimpfungen.ch veröffentlichten Stellungnahme nebst dem BAG auch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) attackiert. Dieser ist wegen der schützenswerten Gesundheitsdaten in den Fall involviert.

Der oberste Schweizer Datenschützer prüft nun «eine Anzeige der Ereignisse bei der zuständigen kantonalen Strafverfolgungsbehörde», wie er auf Anfrage sagte.

Weshalb ist der Streit eskaliert?

Beim Bund wurde ein Datenrettungsprojekt gestartet, doch ging dies den Stiftungs-Verantwortlichen wohl zu wenig schnell: Jedenfalls veranlassten sie letzten Freitag auf eigene Faust den unverschlüsselten E-Mail-Versand der Impfdaten an eine unbekannte Zahl von Nutzer und mussten in der Folge massive öffentliche Kritik einstecken. Dies, weil das Vorgehen nicht datenschutzkonform gewesen sei.

Auf meineimpfungen.ch prangt seit Dienstag eine explosive Replik. Darin erheben die Stiftungs-Verantwortlichen ihrerseits Vorwürfe an die Adresse des Bundes.

  • «Entgegen anders lautenden Behauptungen» habe die Stiftung «nie ein konkretes Unterstützungsangebot des BAG erhalten».
  • Es hätten «keine Diskussionen zwischen dem BAG und der Stiftung stattgefunden».
  • Das BAG habe «zahlreiche Anfragen der Stiftung unbeantwortet gelassen».
  • Die Stiftung sei «nie über eine beim BAG vorhandene, bis Ende Jahr umsetzbare Lösung informiert worden».
  • Weder das BAG noch der EDÖB seien bereit gewesen, die Stiftung «direkt zu unterstützen».

Dieser Darstellung widerspricht das BAG – und die Stiftung wiederum widerspricht dem BAG (siehe unten).

Wie reagiert der oberste Datenschützer?

Die oberste Schweizer Datenschutzbehörde hat am Mittwoch gegenüber watson ausführlich Stellung genommen zu den von der Stiftung geäusserten Vorwürfen.

Der EDÖB betont, er habe sowohl gegenüber der Stiftung wie auch gegenüber dem BAG klargestellt, dass das BAG in der Pflicht stand, eine vertretbare Lösung «zur Abwicklung der Auskunftsrechte der Kundinnen und Kunden zu finden». Eine hinsichtlich Kosten und Datenschutz vertretbare Lösung, wie aus der Stellungnahme hervorgeht.

Der EDÖB betont, er habe gegenüber der Stiftung schriftlich dargelegt, dass er das BAG bei der Erarbeitung dieser Lösung unterstützen werde und eine parallele Beratung der Stiftung somit keinen Sinn ergeben hätte.

Das BAG habe sich dieser Sicht angeschlossen, hält der eidgenössische Datenschützer fest, und man habe ihm dies schriftlich zugesichert. Daraufhin habe das BAG das Projekt «Datenrettung meineimpfungen.ch» lanciert.

In der Projektdokumentation habe das BAG nebst dem Zeitplan unter anderem auch die Kommunikation zwischen dem Amt und der Stiftung geregelt, welche somit Sache des BAG gewesen sei, hält der Datenschützer fest. Das Personal des EDÖB habe in der Folge an zahlreichen Sitzung des BAG mitgewirkt und in schriftlichen Eingaben die datenschutzrechtlichen Minimalanforderungen der Lösung formuliert.

«Dass die Stiftung nun behauptet, vom BAG nicht oder zu spät über die Existenz und die Ergebnisse des Projektes ‹Datenrettung meineimpfungen.ch› informiert worden zu sein, überrascht den EDÖB. Er kann sich schwerlich vorstellen, dass das BAG die Stiftung über die Existenz des Projekts und die laufenden Arbeiten im Ungewissen liess.»
Datenschützer Adrian Lobsiger

Wann hat das BAG die Stiftung informiert?

Die Mediensprecherin der Stiftung, Nicole Bürki, sagte am Mitwoch auf Anfrage von watson, die Stiftung habe nichts von einem konkreten Rettungsprojekt gewusst.

Angefragt, wann und in welcher Form das BAG die Stiftung Meineimpfungen über das entsprechende Projekt informiert habe, antwortete Sprecher Grégoire Gogniat:

«Wir haben die Stiftung am 28. Oktober darüber informiert, dass eine Lösung gefunden wurde.»

Mit dieser Darstellung konfrontiert, erklärte die Mediensprecherin der Stiftung Meineimpfungen:

«Die Stiftung wurde am 28. Oktober vom BAG nicht informiert, dass eine Lösung gefunden wurde, sondern erhielt eine Terminanfrage, ‹um eine mögliche Lösung für die Rückgabe der Daten an die Nutzer zu diskutieren›. Das ist ein Unterschied. Wir wussten nicht, dass das BAG bereits Vorarbeit geleistet hatte!»

Das BAG sagt auch, dass die Diskussionen noch im Gange gewesen seien, als die Stiftung einseitig beschlossen habe, die Impfdaten an die Nutzerinnen und Nutzer zurückzugeben.

Sind alle Impfdaten per E-Mail verschickt worden?

Auch das ist nicht klar.

«Der Versand konnte nicht abgeschlossen werden», sagte die Stiftungs-Sprecherin am Mittwochmorgen. Dass der Mail-Versand nicht abgeschlossen wurde, begründet sie mit der grossen Datenmenge respektive den vielen Adressaten.

Aus dem Büro des EDÖB hiess es, nach Einschätzung der eigenen Informatiker sei «der Versand abgeschlossen, sodass er nicht mehr rückgängig gemacht werden kann».

Weiter betonte der EDÖB, «die anwaltlich vertretene Stiftung» habe «seine Aufforderung, den Versand einzustellen, bis die notwendigen technischen Sicherheitsvorkehrungen erfüllt sind», zurückgewiesen. Er habe keine Sanktionsmöglichkeiten, prüfe aber «zurzeit eine Anzeige der Ereignisse bei der zuständigen kantonalen Strafverfolgungsbehörde».

Am frühen Mittwochabend teilte die Stiftungs-Sprecherin dann kurz vor Publikation dieses Artikels mit:

«Der E-Mail-Versand wurde inzwischen eingestellt. Darüber sind der EDÖB und das BAG heute Nachmittag informiert worden.»
Nicole Bürki, Stiftung Meineimpfungen

Warum wurden die Impfdaten nicht verschlüsselt gesendet?

Dazu sagte die Stiftungs-Sprecherin Nicole Bürki: «Das verschlüsselte Ausliefern sämtlicher Daten wäre mit einem enormen Aufwand verbunden gewesen».

Diesen Aufwand konnten, respektive wollten, die Verantwortlichen bei meineimpfungen.ch offenbar nicht stemmen. Ob diese Entscheidung aus finanziellen Überlegungen getroffen wurde, ist nicht bekannt.

Fakt ist: Die Stiftung steht vor dem Konkurs. «Die Bilanz wurde deponiert, wir warten auf Bescheid der Behörden.»

Im Sommer 2021 habe die Stiftung dem BAG ein Gesuch um finanzielle Unterstützung geschickt und kurze Zeit später die Liquidation beantragt, ruft das BAG in Erinnerung.

Ende August seien seitens Bund (und in Absprache mit dem EDÖB) mehrere Optionen auf dem Tisch gewesen, fasste Adrienne Fichter vom Online-Magazin «Republik» am Mittwoch die damalige Ausgangslage zusammen: Demnach wurde diskutiert, ein Abrufportal einzurichten, oder eben ein digitaler verschlüsselter Versand an die Nutzerinnen und Nutzer.

Die Stiftung wiederum habe behauptet, sie könne den Aufwand für eine solche datenschutzkonforme Lösung nur mit weiteren finanziellen Beiträgen des BAG stemmen. Doch das unter öffentlichen Druck geratene Bundesamt wollte «keinen Franken mehr an die Stiftung bezahlen».

Dazu passt die jüngste Stellungnahme:

«Das BAG subventioniert keine Stiftungen in Liquidation, es bot aber seine Dienste an, um eine sichere und effiziente Lösung für die Rückgabe von Impfdaten an die Nutzerinnen und Nutzer der Plattform meineimpfungen.ch zu finden, die sowohl den Datenschutz als auch die finanziellen Aspekte berücksichtigt.»
BAG-Sprecher Grégoire Gogniat

Derweil weist Adrienne Fichter, die mit ihren Enthüllungen über gravierende IT-Sicherheitsprobleme im Frühjahr 2020 meineimpfungen.ch zu Fall brachte, in ihrem neusten Artikel auf gewisse «persönliche Verstrickungen» hin.

Die sich in Auflösung befindende Stiftung sei sich nicht zu schade gewesen, in einer E-Mail, die am Sonntag an die Nutzerinnen und Nutzer geschickt wurde, noch etwas Eigenwerbung zu machen. Die Impf-Datei, die ihnen zugestellt werde, könne in Zukunft einerseits in das elektronische Patientendossier und andererseits in die «Experten­software Viavac» – die von Arztpraxen genutzt werde – integriert werden.

Und die Co-Inhaberin von Viavac sei Claire-Anne Siegrist, Präsidentin der Stiftung Meineimpfungen. Ihre Firma habe in den letzten 8 Jahren mindestens 2,5 Millionen Franken an Subventionen erhalten, zeigten Recherchen.

Eine Doppelrolle habe aber auch ein anderes Stiftungsrats­mitglied gespielt, hält Adrienne Fichter fest:

«Die gravierenden technischen Mängel der Plattform Meineimpfungen.ch hat die IT-Firma Arpage zu verantworten, deren CEO Hannes Boesch ebenfalls bei Meineimpfungen.ch Einsitz hatte (und sich damit selbst einen Auftrag erteilte).»
quelle: republik.ch

Wie geht es weiter?

Das ist offen.

Das BAG teilte am Mittwoch auf Nachfrage hin mit: «Da die Stiftung die Liquidation beantragt hat, warten wir auf allfällige Anweisungen des Konkursgerichts.»

Die Stiftungs-Sprecherin sagt, sie könne dazu keine Auskunft geben: «Wir warten auf Anweisungen der Behörden».

Immerhin: Die von der Stiftung Meineimpfungen gespeicherten digitalen Impfdaten bleiben zumindest vorläufig erhalten. Die Hosting-Kosten würden noch bezahlt, heisst es.

Wer der «private Spender» ist, der einen Betrag in unbekannter Höhe locker machte, ist bis dato nicht bekannt.

Insider-Informationen
watson-Redaktor Daniel Schurter ist weiterhin über die verschlüsselte Messenger-App Threema (auch anonym) zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Überblick verloren?

Angesichts der sich überschlagenden Ereignisse und widersprüchlichen Aussagen ist es sinnvoll, sich die Geschichte der beiden wichtigsten Akteure in Erinnerung zu rufen.

Die private Stiftung meineimpfungen hat die gleichnamige Online-Plattform betrieben, um die Impfdaten der Schweizer Bevölkerung zu verwalten. Nach sich häufenden Berichten über IT-Sicherheitsprobleme war der Zugriff auf die Impfdaten ab Frühjahr 2020 für die Bevölkerung nicht mehr möglich. Auf der Website meineimpfungen.ch informiert die Stiftung seither in unregelmässigen Abständen über das Vorgehen und sie nutzt die Plattform für eigene Stellungnahmen.

Das Bundesamt für Gesundheit (BAG) hat den Aufbau der Plattform unterstützt, mit der Stiftung kooperiert und mit ihr versucht, ein elektronisches Impfbüchlein zu lancieren. Nach Berichten über IT-Sicherheitsprobleme und mangelnden Datenschutz distanzierte sich der Bund, BAG-Kaderfrau Virginie Masserey verliess im März 2021 den Stiftungsrat.

Nun empfiehlt das BAG der Bevölkerung, die Impfdaten «in Zukunft im persönlichen elektronischen Patientendossier zu speichern». Das elektronische Patientendossier (EPD) werde zurzeit in der ganzen Schweiz eingeführt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Wenn der Facebook-Rückblick ehrlich wäre ...
1 / 15
Wenn der Facebook-Rückblick ehrlich wäre ...
Los geht's!
Auf Facebook teilenAuf X teilen
Sputim legt Impfskeptiker rein
Video: watson
Das könnte dich auch noch interessieren:
53 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
mrmikech
10.11.2021 19:45registriert Juni 2016
Stiftungen sind in der Schweiz oft sehr fragwürdig – jede reiche Familie hat eine Stiftung als Steuervehikel gegründet. Sehr verdächtig ist deswegen auch eine private Stiftung, die Impfdaten speichert. Millionen bekommen, und wofür??
8310
Melden
Zum Kommentar
avatar
Truth Hurts
10.11.2021 19:47registriert Mai 2016
Dass diese Amateure noch die Frechheit haben, anderen Vorwürfe zu machen...
744
Melden
Zum Kommentar
avatar
⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡
10.11.2021 19:49registriert Januar 2014
Die Stiftung ist einfach nur peinlich. Und das BAG auch, dass sie es so lange nicht geschnallt haben. Es stecken beide drin.
513
Melden
Zum Kommentar
53
Axpo hat Projekt für ein Reservekraftwerk in Muttenz BL eingereicht

Der Energiekonzern Axpo hat beim Bundesamt für Energie (BFE) ein Projekt für ein Reservekraftwerk eingereicht. Das geplante Gasturbinenwerk für Notfälle soll im Auhafen in Muttenz BL in Zusammenarbeit mit lokalen Partnern und kantonalen Behörden entstehen.

Zur Story