Der Skandal ist eigentlich fast schon vergessen: Es geht um das krachende Scheitern der privaten Webseite «MeineImpfungen.ch» zu Beginn des Jahres 2021. Sie wollte ursprünglich eine Art digitales «Impfbüechli» anbieten, ja sogar bei der Planung der Covid-Impfkampagne zum Zug kommen. Die Idee dahinter war: Wer sich impfen lässt, kriegt dort einen Eintrag im «myCOVIDvac»-System, aus dem später ein QR-Code hätte generiert werden können.
Es hätte also ein Vorreiter des Covid-Zertifikats werden sollen. Doch wie wir mittlerweile alle wissen, war «MeineImpfungen» alles andere als technisch gut geschützt: Recherchen von IT-Experten, die von der «Republik» im April 2021 publik gemacht wurden, zeigten gravierende Sicherheitslücken auf. Das Projekt um das digitale «Impfbüechli» ist seither Geschichte, die Stiftung dahinter pleite. Und die Öffentlichkeit? Die fragt sich bis heute: Wie konnte es dazu kommen?
watson verlangte relativ früh, als sich der Skandal langsam abzeichnete, Einsicht in die komplette Konversation zwischen dem Bundesamt für Gesundheit (BAG) und der Stiftung «MeineImpfungen.ch». Nach mehreren Monaten Wartezeit gab das BAG nun diese Dokumente in Form eines über 450 Seiten langen Archivs frei. watson veröffentlichte diesen Datenschatz vergangenen Freitag.
Die Seiten waren zum Teil massiv geschwärzt und anonymisiert. Einige Stellen in den Dokumenten ermöglichen trotzdem wichtige neue Erkenntnisse, die für die Aufarbeitung des Skandals wichtig sind.
Eines der wichtigsten Mails wurde am 28. Dezember 2020 um 18:48 Uhr verschickt. Der Absender war Recherchen zufolge ein IT-Experte, der als «Kantonsvertreter» im ganzen Aufbauprojekt fungiert hatte, der Adressat: Kaderleute beim BAG. Darin schreibt der IT-Experte:
Das Mail wurde sechs Tage nach dem offiziellen Vertragsabschluss zwischen dem BAG und «MeineImpfungen.ch» verschickt. Der Vertreter äussert darin einerseits Kritik am Beschaffungsverfahren – sprich: an der Art und Weise, wieso sich der Bund überhaupt für das Projekt der Stiftung entschieden hatte, andererseits nennt er auch Datenschutzbedenken:
Er kritisiert, dass die Kantone einen «unzureichenden Vertrag» erhalten hätten. Und schimpft dann über das, was früh die öffentliche Kritik gegen «MeineImpfungen.ch» war: «Meine Impfungen ist auf Stand 2011 stehen geblieben.» Und: «Bereits werden Fragen an uns gestellt, weshalb Impfdaten an eine Stiftung ausgelagert werden sollen, welche von Pharmafirmen unterstützt wird.»
Er kündigt an, dass sich sein Kanton gegen das Projekt verwehren wird, solange die Fragen nicht beantwortet werden und bewertet die Intransparenz diplomatisch als «höchst bemerkenswert». Wer das Mail verschickt hatte, ist unklar. Was für weitere Punkte kritisiert wurden, wurde durch das BAG ebenfalls geschwärzt.
Warnungen kamen nicht nur von den Kantonen. Am 10. Januar 2020, es war ein Sonntagabend um 22:15 Uhr, schrieb BAG-Kader S. eine Mail an die Stiftung, in der er sich einleitend für seine Worte entschuldigt.
Von: ████@bag.admin.ch
Gesendet: Sonntag, 10. Januar 2021 22:15
Betreff: WG: ████
Hoi ████,
sorry, wenn ich etwas nerve, aber ihr seht an der mail von ████, dass eure Plattform im medialen Interesse steht.
(…)
Er bittet darin die Stiftung, doch bitte auf der Webseite «MeineImpfungen.ch» dahingehend zu überarbeiten, dass Detailinformationen zu Datenschutz, Pharmafinanzierung oder der veralteten Technik hinzugefügt werden. Der BAG-Kader erwähnt dabei auch folgendes:
(…)
Insbesondere wäre es gut zu wissen, was ihr bisher für das Thema Datenschutz und
Datensicherheit getan habt und was ihr in diesem Kontext konkret bis wann plant. Bitte einfach sachlich und
transparent mitteilen. ████████████
Ich habe erst am Fr sehr lange mit ████ gesprochen, einem echten Kritiker bzw. Skeptiker eurer Plattform,
weniger wegen der Sache an sich, sondern wegen dem Setting der Stiftung und der aktuellen technischen Umsetzung,
v.a. eben das Thema Datensicherheit.
LG S
Die offizielle Erzählung besagte bislang, dass das BAG erst am 22. Dezember 2020 der Stiftung «MeineImpfungen.ch» den definitiven Auftrag in der Höhe von 450'000 Franken erteilt hatte, um ein System für den digitalen Impfnachweis aufzubauen. Davor habe die Stiftung auf «eigenes Risiko» gewirtschaftet.
Der Zuschlag kam für den Auftrag am 22.12.2020, die Stiftung scheint aber bereits Ende September gewusst zu haben, dass man das Modul myCOVIDvac erstellen wird. Welche Absprachen gab es zwischen dem BAG und der Stiftung in der Zeit vor dem Zuschlag?
Der Zuschlag wurde am 22. Dezember auf SIMAP veröffentlicht. Für die finale Vergabe waren jedoch die Impfstrategie und Impfempfehlungen massgebend. Diese lagen erst Mitte Dezember vor. Tatsächlich haben die entsprechenden Firmen auf eigenes Risiko bereits viel früher mit der Implementierung der Tools begonnen.
Auf «eigenes Risiko» bedeutet: Das BAG plante bereits mehrere Wochen zuvor, die Impfkampagne des Bundes dereinst mit «MeineImpfungen.ch» und einem weiteren Dienstleister zwecks Impfterminplanung durchzuführen. Wann der genaue Startschuss fiel, bleibt bis heute zwar unklar. Anhand der Dokumente lässt sich nun aber aufzeigen, dass Vorarbeiten zwischen BAG, «MeineImpfungen.ch» und «oneDoc» bereits vor Dezember 2020 stattfanden – lange bevor Ende 2020 definitiv die Auftragssumme von 450'000 Franken gesprochen wurde.
Das wussten auch die Kantone, die den Dokumenten zufolge Mitte Dezember die ersten Offerten für «MeineImpfungen.ch» und «OneDoc» erhielten.
Von: ████@bag.admin.ch
Gesendet: Freitag, 11. Dezember 2020 08:41
Betreff: AW: Offerte ████ für meineimpfungen.ch
Hallo zusammen,
könnt ihr bitte bei meineimpfungen.ch asap eine Offerte für die Kantone einholen bzgl. der Betriebskosten?
Analog zu ████ müssen die Kantone wissen, was da auf sie zukommt. Daseilt leider sehr, es wäre ja super, wenn
die
Kantone heute nicht nur erfahren würden was sie der Service von- kostet, sondern eben auch jener von ████
kostet, sondern eben auch jener von ████.
Merci.
LG S
Die Kantone waren damit früh im Bild, einige von ihnen zeigten sich früh skeptisch. Einige wenige blieben – rückblickend gesehen – zurecht stur und lehnten eine Zusammenarbeit mit der Stiftung ab.
Das BAG zeigte eine widersprüchliche Haltung in der Frage, wie nahe man mit der Stiftung zusammenarbeitete. So war etwa Virginie Masserey, Leiterin Sektion Infektionskontrolle, im Frühjahr 2021 Mitglied des Stiftungsrates von «MeineImpfungen.ch». Ihrer Aussage nach sei ihre Rolle dort nur jene einer «Expertin» gewesen. Später distanzierte sich das BAG zunehmend von der Stiftung und tat so, als ob es dem Bund egal sein darf, was eine private Stiftung so treibt.
Diese Hin-und-Her-Haltung zeigte sich auch beim Streit um das offizielle BAG-Logo, das mehrere Tage lang andauerte. Im Januar 2021 gab ein hochrangiges Bundesamts-Kadermitglied der Stiftung das grüne Licht, dass das offizielle BAG-Logo auf der Webseite «MeineImpfungen.ch» erscheint.
Mit aufkommender öffentlicher Kritik erlosch das grüne Licht: Der Bund drängte nach Prüfung der BAG-Juristinnen und -Juristen zunehmend daraufhin, dass nirgendwo mehr das amtliche Logo erscheint. Was dem verantwortlichen Kadermann offensichtlich missfiel: Ende Januar mailte er an die Stiftung: «(…) die Sache mit dem BAG-Logo könnte ev. bald von uns nicht mehr erlaubt sein, die Diskussion kennst du ja inzwischen.»
Auf praktischer Ebene blieb der Ton kollegial, auch nachdem die Juristinnen und Juristen des Bundes die Reissleine zogen. Dieses Klima änderte sich lange nicht, auch nicht, als weitere Medien kritisch über «MeineImpfungen» berichtet hatten und erste Datenschutzprobleme publik wurden. Das Selbstbewusstsein bei der Stiftung war dermassen gross, dass man in einem Mail Anfang März schon weiterdachte: Sobald das Epidemiengesetz im Jahr 2024 revidiert wird, wolle die Stiftung «MeineImpfungen.ch» die elektronischen Impfbüechli an das BAG überreichen.
Von: ████
Gesendet: Freitag, 5. März 2021 23:00
Betreff: Re: AW: Vaccination Certificate ████
Bonsoir / Bonjour,
c'est très volontiers que je participerai a une séance ayant pour but de clairifier ces points … pour que nous
soyons tous contents et fiers d'avoir developpé ensemble ██ en un temps record et qu'il
contribue au développement du carnet de vaccination électronique que la Fondation mesvaccins prévoit de
"transmettre" au BAG dès la revision de la loi sur les épidémies (2024).
(…)
Eine Vision, die weniger als drei Wochen später mit der Publikation der gravierenden Sicherheitslücken obsolet wurde.
Bei der Digitalisierung des Gesundheitswesens gibt es einige Geschäftlimacher, schön dass dies auch mal exponiert wird. Ich freue mich auch schon auf die Aufarbeitung des digitalen Patientendossiers. Klar, erst muss das noch scheitern, aber das ist nur eine Frage der Zeit.