Das EDI-Podium 2023 vom 30. Juni im Luzerner Kantonsratssaal stand ganz im Zeichen des nDSG, das ohne Übergangsfrist per 1. September 2023 in Kraft treten wird. Reto Vogt, Chefredaktor von Inside IT, rollte den Skandal der digitalen Impfplattform noch einmal neu auf.

Seit mehr als 15 Jahren schreibt Reto Vogt über IT, Computer, Digitalisierung und ist seit 2021 Chefredakteur von «Inside IT», dem grössten Online-Magazin der Schweiz mit über 100'000 Leser:innen. Er berichtet über alles rund um die IT – also auch über Dinge, die massiv schief gelaufen sind. Wie zum Beispiel über die haarsträubenden Sicherheitslücken bei der Impfplattform meineimpfungen.ch, über den Umgang damit und wie es weitergehen soll mit den rund 5 Millionen gespeicherten Datensätzen.

Grosse Lücken im digitalen Impfbüchlein
Meineimpfungen.ch war eine landesweite, freiwillige Impfplattform, bei der man sich registrieren und Impfungen digital speichern konnte. «Die Registration sollte das gelbe Papierbüchlein ersetzen», erklärte Vogt. Betreiberin der Plattform war die Stiftung meineimpfungen, finanziert vom Bundesamt für Gesundheit (BAG). Mit der Pandemie wuchs die Zahl der Registrierten schnell an – von rund 100'000 auf 450'000. Schonungslos zeigten sich nun die Defizite. «Das Thema Datenschutz wurde nie seriös angegangen. Die Begründung des Verantwortlichen war, man sei nicht gewinnorientiert. Das kann man auch verstehen als: Wir müssen und keine Mühe geben. Das war mit einer der grössten Fehler und ich hoffe, dass mit dem neuen Datenschutzgesetz Vieles nun anders wird.»

Im Januar 2021 berichteten erste Medien von Sicherheitsmängeln, die Plattform sei «offen sei wie ein Telefonbuch». Unabhängige Security-Berater hatten mindestens neun grosse Lücken gefunden und die Medien informiert. «Fakt ist: Security-Forschung und Medien haben Schlimmeres verhindert. Wären die Lücken nicht gefunden worden und die Security-Berater nicht an die Medien gegangen – ich bin davon überzeugt, dass es diese Plattform noch heute gäbe und dass die Daten kompromittiert worden wären.» 

«Ein Desaster»
Technische Mängel erlaubten es zum Beispiel, dass man sich problemlos als medizinisches Fachpersonal registrieren konnte und somit erstens Zugriff auf sämtliche Daten der registrierten Personen hatte und diese zweitens manipulieren konnte. «Die Daten waren quasi öffentlich.» Selbst Impfdaten von Bundesräten waren zugänglich. «Das war ein ziemliches Desaster.» Die Plattform wurde im März 2021 offline genommen, die operative Tätigkeit aus Mangel an Mitteln eingestellt. Dank einer privaten Spende erhielten Nutzer:innen ihre Daten via E-Mail zurück – als unverschlüsseltes ZIP-Archiv. «Wenn man denkt, es könne nicht mehr schlimmer werden … es kann doch noch schlimmer werden», fasste Vogt es resigniert zusammen.

Löschen: ja oder nein?
Die Daten vom meineimpfungen.ch sollten gelöscht werden, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) stellte im Mai 2022 einen entsprechenden Löschantrag – und widerrief selbigen nur einen Monat später. Der Kanton Aargau wollte als Retter einspringen und die Daten in Patientendossiers der Stammgemeinschaft eHealth Aargau überführen. Nutzerinnen und Nutzern sollten im Anschluss ihre persönlichen Impfdaten während 3 Monaten löschen, beziehen oder in ein bestehendes Elektronisches Patientendossier (EPD) übernehmen können. «Das ist eine reine PR-Massnahme für das EPD. Was ich besonders stossend finde ist, dass niemand, der sich eingetragen hatte, jemals gefragt wurde, ob man mit dem Datentransfer in den Kanton Aargau einverstanden sei.»

Fazit:
Reto Vogt befürwortet klar die Löschung aller Daten: «Sie sollen weg. Sie sind unbrauchbar, möglicherweise kompromittiert. Doch das Gemauschel geht weiter. Man hat nichts aus den Fehlern gelernt.» Zudem würden Cyber-Angriffe und somit die Suche nach Lücken bei Institutionen oder Datenbanken des europäischen Gesundheitswesens weiter zunehmen. «Es wird nicht besser, man muss darauf vorbereitet sein. Ich bin jedoch sicher, dass der Bund es könnte, wenn er die richtigen Leute machen lassen würde.»

Präsentation (PDF)