Schweiz
Coronavirus

Elektronisches Impfbüchlein: Daten unverschlüsselt per Mail verschickt

Elektronisches Impfbüchlein: Daten unverschlüsselt per Mail verschickt

Endlich erhielten die Kunden der Plattform meineimpfungen.ch ihre Impfdaten zugestellt. Doch war die Stiftung allzu voreilig? Der Eidgenössische Datenschutzbeauftragte kritisiert, der unverschlüsselte Versand per Mail sei nicht datenschutzkonform. Er hat die Stiftung gebeten, sofort damit aufzuhören.
09.11.2021, 05:59
Anna Wanner / ch media
Mehr «Schweiz»
Den Nachweis einer Impfung digital festzuhalten, war bisher in der Schweiz keine gute Idee.
Den Nachweis einer Impfung digital festzuhalten, war bisher in der Schweiz keine gute Idee.Bild: Michael Buholzer/Keystone

Nach Monaten der Ungewissheit verschickt die Stiftung meineimpfungen.ch ihren Kunden eine Mail mit guten Nachrichten: Die Stiftung könne die von den Kunden auf der Plattform gespeicherten und seit Monaten blockierten Impfdaten nun per Mail zuzustellen. Möglich sei dies dank einer «anonymen Spende». Um wie viel Geld es sich handelt oder ob der Spender eine Privatperson ist, will die Stiftung nicht preisgeben. Nur dies: Die Behörden haben nicht zu einer Lösung beigetragen, wie die Stiftung schreibt:

«Wir haben die beim Bundesamt für Gesundheit beantragte finanzielle Unterstützung für die Rückgabe der Daten an die Nutzerinnen und Nutzer leider nicht erhalten.»

Trotzdem freue sich die Stiftung, die Daten nun den Kunden endlich übermitteln zu können. Dem Kundenmail sind drei Dokumente angehängt:

Und falls jemand leere Dokumente erhalten haben sollte, bedeute dies, dass auf der Impfplattform gar nie Impfungen eingetragen worden seien, schreibt die Stiftung.

Öffentlichkeitsbeauftragter verlangt Stopp des Versands

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte reagiert ungehalten auf das Vorgehen der Stiftung:

«Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist nicht datenschutzkonform.»

Doch Kritik alleine reicht in diesem Fall nicht. Der Datenschutzbeauftragte gibt an, mit der Stiftung Kontakt aufgenommen und diese aufgefordert zu haben, die Übermittlung der Impfdaten per sofort einzustellen. Und: Die Zustellung dieser sensiblen Informationen sei an datenschutzrechtliche Vorgaben anzupassen.

Mutmasslich kommt diese Intervention zu spät. Die Stiftung hat die Mails am 5. November verschickt.

Was passiert mit den Löschanträgen?

Weiterhin unklar bleibt laut Datenschützer wie mit hängigen Löschgesuchen umgegangen wird und ob die Rechte der Gesuchsteller gewährleistet werden können. Ende August, als die Stiftung ihre Tätigkeit komplett einstellte, standen noch 500 Löschbegehren aus.

Und schliesslich, so schreibt der Datenschutzbeauftragte, stimme es auch nicht, dass er die von der Stiftung gewählte Lösung genehmigt habe, die Daten per Versand zu verschicken. Die Stiftung schreibt im Email aber: «Wir konnten offene Fragen mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und mit der Eidgenössischen Stiftungsaufsicht klären.»

Der Datenschützer hält dagegen fest:

«Eine Beratung der Stiftung in Bezug auf das nun gewählte Vorgehen hat nicht stattgefunden.»

Die Behörden ziehen sich aus der Verantwortung

Es ist die neueste Wende in einem höchst bizarren Hickhack zwischen den Betreibern der Plattform meineimpfungen.ch und den Behörden, die bis vor Kurzem an der Plattform beteiligt waren. Im Zuge der Covid-Impfung hätten die Funktionen des elektronischen Impfbüchleins erweitert werden sollen. Da wurden Anfang Jahr Sicherheitslücken publik. Die Plattform zählte damals rund 400'000 Nutzerinnen und Nutzer.

Das Bundesamt für Gesundheit distanzierte sich vom Projekt und half auch bei der Finanzierung nicht mehr mit. Die Partner der Stiftung, der Ärzteverband FMH und der Apothekerverband Pharmasuisse, pumpten 600'000 Franken in die Stiftung, um möglichst viele Auskunftsbegehren und Löschanträge doch noch zu bearbeiten. Es reichte nicht.

Ende August informierte die Stiftung, dass die finanzielle Situation es nun nicht mehr erlaube, die Plattform meineimpfungen.ch überhaupt zu betreiben. Das bedeutete, dass sämtliche Daten der Plattform zwar sicher aufbewahrt, aber nicht mehr bearbeitet werden konnten.

Bis im September ging die Stiftung noch davon aus, mit den Behörden eine Lösung zu finden, wie aus einem E-Mail an die Kunden hervorgeht. Die Stiftung habe mehrere Lösungen vorgeschlagen, etwa finanzielle Unterstützung oder die Hilfe von einem IT-Unternehmen. Das BAG bestätigt diese Anfragen. Erklärt aber:

«Das BAG subventioniert keine Stiftungen in Liquidation.»

Das Bundesamt gibt an, seine Dienste angeboten zu haben, um eine sichere Lösung für die Kunden zu finden.

Doch dann lief etwas schief. Das BAG schreibt:

«Die Diskussionen waren noch im Gange, als die Stiftung einseitig beschloss, die Impfdaten an die Nutzerinnen und Nutzer zurückzugeben, ohne die vom Datenschutzbeauftragten vorgegebenen Datenschutzbestimmungen zu beachten, was das BAG bedauert.»

Das BAG schreibt weiter, es hätte eine Lösung gehabt, um alle Daten bis Ende Jahr auf sichere Weise an die Nutzenden zurückzugeben.

Auch der Datenschutzbeauftragte, der das BAG für eine «datenschutzverträgliche Lösung» beraten hatte, zeigt sich «erstaunt», dass seine Beratung offenbar keine Wirkung zeigte.

Wieso die Stiftung das Heft letztlich selbst in die Hand genommen hatte und die Mails unverschlüsselt verschickte, ist unklar. Sie beantwortet keine Fragen. (saw/ch media)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Sputim legt Impfskeptiker rein
Video: watson
Das könnte dich auch noch interessieren:
47 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Fondue
09.11.2021 07:05registriert Januar 2015
Ja. Dachte ich mir auch. Gut das der Laden schliesst. Die haben wirklich 0 Ahnung, richtige Anfänger.
602
Melden
Zum Kommentar
avatar
mrmikech
09.11.2021 07:49registriert Juni 2016
Dachte, es sei eine fishing Mail. Niemand öffnet angehängte Zip-Dateien von Leuten, die Massen-E-Mails mit Geldern aus "anonymen Quellen" versenden ... Oder sollte ich diese Prinzen aus Nigeria ernst nehmen? Vielleicht habe ich doch 10 Mio gewonnen in eine Lotterie an welche ich nie teilgenommen habe?
461
Melden
Zum Kommentar
avatar
HugiHans
09.11.2021 07:07registriert Juli 2018
Kann es in dieser Soap zwischen Betreiber und Behörden noch schlimmer werden?
Vermutlich leider ja …
401
Melden
Zum Kommentar
47
Weitere Leiche im Flussbett der Maggia in Cevio im Tessin gefunden

Eine weitere Leiche ist am Montag kurz vor 17 Uhr im Flussbett der Maggia bei Cevio im Tessin gefunden worden. Die tote Person ist noch nicht identifiziert, wie die Kantonspolizei am Abend mitteilte. Es handelt sich um die bislang 7. Leiche in der Maggia nach den Unwettern.

Zur Story