Nach EDÖB-Kritik

Update: "Meineimpfungen.ch" verteidigt unverschlüsselten Datenversand

Uhr
von Niara Sakho und Kevin Fischer und René Jaun und san

Die in Liquidation befindliche Stiftung "Meineimpfungen.ch" stellt ehemaligen Nutzerinnen und Nutzern ihrer Impfplattform deren Gesundheitsdaten unverschlüsselt per E-Mail zu. Nach Kritik durch EDÖB und Konsumentenschutz verteidigt die Stiftung ihr Vorgehen.

(Source: Senad Palic / Unsplash)
(Source: Senad Palic / Unsplash)

Update vom 9. November 2021 (Nachmittag): Die Stiftung "Meineimpfungen.ch" reagiert auf die Kritik des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und der Stiftung Konsumentenschutz (SKS), an ihrem Vorgehen zur Datenrückgabe. In einer Stellungnahme auf ihrer Website schreibt die Stiftung, die gewählte Lösung entspreche den Empfehlungen gemäss Schlussbericht des EDÖB. "Der E-Mail-Versand steht im Einklang mit dem schweizerischen Datenschutzrecht. Dieses verlangt eine angemessene Datensicherheit, wobei die verschiedenen Interessen gegeneinander abgewogen werden müssen. Die Stiftung ist der Ansicht, dass bei dieser Interessenabwägung und mit Blick auf die Verhältnismässigkeit der E-Mail-Versand datenschutzkonform durchgeführt wird."

Die Stiftung habe sich im Oktober entschieden, "angesichts des bevorstehenden Konkurses und der damit verbundenen Handlungsunfähigkeit", im Interesse der Nutzerinnen und Nutzer selbst aktiv zu werden, heisst es weiter.

In der Stellungnahme weist "Meineimpfungen.ch" darauf hin, den Behörden Ende August mehrere Lösungsvorschläge zur Datenrückgabe skizziert zu haben. Weder der EDÖB noch das Bundesamt für Gesundheit (BAG) seien bereit gewesen, die Stiftung zu unterstützen. Namentlich habe das BAG zahlreiche Anfragen der Stiftung unbeantwortet gelassen, und es "haben keine Diskussionen zwischen dem BAG und der Stiftung stattgefunden."

Der Aussage der SKS, wonach eine Lösung des BAG auf dem Tisch gelegen habe, widerspricht "Meineimpfungen.ch": Die Stiftung sei "nie über eine beim BAG vorhandene, bis Ende Jahr umsetzbare Lösung informiert worden." Die Behörde habe sich erst am 28. Oktober "mit Terminvorschlägen für eine erste Besprechung bei der Stiftung gemeldet – zu spät im Hinblick auf die Liquidation der Stiftung."

Update vom 9. November 2021 (Vormittag): "Meineimpfungen.ch" verschickt Impfdaten per Mail – EDÖB kritisiert

Die Stiftung "Meineimpfungen.ch" hat angefangen, den ehemaligen Nutzerinnen und Nutzern der Impfplattform ihre Daten zuzustellen. Wie sie auf ihrer Website mitteilt, erhalten alle Personen, die eine gültige E-Mail-Adresse hinterlegt haben, ihre Daten an diese Adresse zugeschickt. In der E-Mail befindet sich eine ZIP-Datei, die wiederum drei Dateien enthält:

  • Den Impfausweis mit den von einer Fachperson überprüften Impfungen,

  • Eine Liste aller eingetragenen Impfungen, ob von einer Fachperson überprüft oder nicht, sowie

  • Eine XML-Datei mit allen vom jeweiligen Nutzenden auf der Plattform "Meineimpfungen.ch" gespeicherten Informationen.

Kritik von EDÖB und Konsumentenschutz

Sie habe die seit Frühling beim Bundesamt für Gesundheit (BAG) beantragte finanzielle Unterstützung für die Rückgabe der Daten nicht erhalten, teilt die Stiftung weiter mit. Ein anonymer Spender ermögliche es nun, den Nutzenden ihre Daten zukommen zu lassen. "Die offenen Fragen wurden mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und der Eidgenössischen Stiftungsaufsicht geklärt."

Doch eben dieser EDÖB kritisiert nun das Vorgehen der Stiftung "Meineimpfungen.ch". Denn: Deren verschickte E-Mails sind unverschlüsselt. Man habe die Stiftung in mehreren Sitzungen beraten und detailliert schriftlich die datenschutzrechtlichen Anforderungen eines Versands der Impfdaten an die Nutzerinnen und Nutzer zusammengefasst, teilt die Behörde mit. Das nun gewählte Vorgehen stehe in Widerspruch zu den in ihrem Schlussbericht dargelegten Anforderungen. Über den Schlussbericht erfahren Sie hier mehr.

"Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ohne ein Authentifizierungsverfahren mit mehreren Faktoren ist nicht datenschutzkonform", fährt der EDÖB fort. Die Stiftung erwecke mit der Formulierung in ihrer Mitteilung den falschen Eindruck, ihr Vorgehen sei mit der Behörde abgesprochen gewesen. "Dies ist nicht der Fall." Gegenüber "SRF" gibt die Behörde zudem bekannt, die involvierten Personen kontaktiert und aufgefordert zu haben, "die nicht datenschutzkonforme Übermittlung der Impfdaten per sofort einzustellen".

Die Stiftung für Konsumentenschutz (SKS) spricht in einer Stellungnahme von einem "Scherbenhaufen". Laut der SKS habe der EDÖB Bedingungen für den Datenversand formuliert, und eine Lösung dazu habe Seitens BAG auf dem Tisch gelegen. "Mit dem Versand der unverschlüsselten E-Mails hat die Stiftung diese Bedingungen ignoriert und die Lösung des BAG sabotiert." Die SKS fordert die involvierten Behörden auf, das Vorgehen der Stiftung zu stoppen. Zudem müsse die Eidgenössische Stiftungsaufsicht "ihre Kontrollfunktion wahrnehmen und Verantwortliche sanktionieren."

Update vom 24.8.2021: Stiftung "Meineimpfungen.ch" ist pleite

Die Stiftung "Meineimpfungen.ch" hat ihre operative Tätigkeit eingestellt. In einer kurzen Mitteilung auf der Website heisst es, man habe "Trotz Anträgen bei weiteren möglichen Unterstützern und Behörden" die Mittel für den weiteren Betrieb nicht generieren können.

Kunden bleiben im Regen stehen

Der Stiftungsrat sehe sich in der folge gezwungen, bei der Stiftungsaufsicht die Liquidation zu beantragen. Was Nutzer und ihre Daten angeht, heisst es weiter, "dass sämtliche Daten einschliesslich sämtlicher Nutzerdaten der Plattform Meineimpfungen.ch sicher aufbewahrt, darüber hinaus aber nicht mehr bearbeitet werden. Die aktuell noch offenen Auskunfts- und Löschbegehren können leider nicht mehr beantwortet werden, was die Stiftung zutiefst bedauert".

Allerdings müsse noch abgeklärt werden, was mit den Daten genau passiere. Und: "Die Stiftung bemüht sich auch im Rahmen der Liquidation um eine Lösung, die den Nutzerinnen und Nutzern den Zugang zu ihren Daten wieder ermöglicht. Sollte sich keine solche Lösung finden, werden die Daten auf absehbare Zeit – allenfalls dauerhaft – unzugänglich bleiben."

In einer Stellungnahme bezeichnet der Schweizerische Konsumentenschutz (SKS) die Mitteilung zur Pleite der Stiftung als "Skandal". "BAG, FMH und pharmasuisse haben Meineimpfungen.ch jahrelang finanziert und deren Dienstleistungen den Patientinnen und Konsumenten empfohlen. Nun wollen sie sich aus der Verantwortung stehlen und den Betroffenen deren grundlegende Rechte nach Datenschutzgesetz vorenthalten", lässt sich SKS-Geschäftsleiterin Sara Stalder zitieren. Die Organisation werde das nicht akzeptieren und prüfe, rechtliche oder politische Schritte zu ergreifen.

Update vom 14.05.2021: "Meineimpfungen.ch" stellt den Betrieb ein

Die Impfplattform "Meineimpfungen.ch" stellt den Betrieb ein. Die Betreibenden hatten Anfang Mai einen Neustart der Plattform angestrebt. Trotz der Anstrengungen, die kritischen Sicherheitslücken zu beheben, sei ein sicherer Betrieb der Plattform nicht mehr möglich, wie es nun auf "Meineimpfungen.ch" heisst.

Zu diesem Schluss habe eine externe, umfassende Bewertung geführt. Die Direktion arbeite nun an einer Lösung, um den Nutzerinnen und Nutzern ihre Impfdaten auf sichere Art und Weise wieder zur Verfügung zu stellen. Bis dahin seien die Daten isoliert und gesichert. Auf der Webseite bittet die Direktion um Geduld und verspricht wöchentliche Updates.

Originalmeldung vom 20.04.2021: Meineimpfungen.ch will Betrieb Anfang Mai wieder aufnehmen

Die Impfplattform "Meineimpfungen.ch" will Anfang Mai wieder online gehen. Diese Neuigkeit folgt einen Monat, nachdem die Betreibenden die Plattform aufgrund erheblicher Sicherheitsmängel deaktivierten. Gemäss "SRF" sagte Mediensprecherin Nicole Bürki nun gegenüber dem SRF-Konsumentenmagazin "Espresso", dass sämtliche identifizierten, kritischen Sicherheitslücken behoben seien.

Man habe die Plattform einer umfassenden, detaillierten Sicherheitsanalyse unterzogen, wie "SRF" unter Berufung auf Bürki weiter schreibt. Nun folge ein erneuter Test durch Externe, zu dem auch einer der Experten eingeladen sei, welche die Schwachstellen entdeckt hätten. Die Betreibenden der Plattform seien zuversichtlich, in diesem Test die Sicherheit von "Meineimpfungen.ch" beweisen zu können.

Das "Best-Case-Szenario" sei es, die Plattform Anfang Mai wieder online zu schalten. Nutzerinnen und Nutzer müssen nach der Inbetriebnahme zur Sicherheit ihr Passwort neu setzen. Zudem würde nun auch die Identität aller Fachpersonen - wie etwa von Ärztinnen und Ärzten - überprüft, bevor deren Konten freigegeben würden. Fachleute haben gemäss "SRF" ebenfalls Zugriff auf die elektronischen Impfdossiers und können sie ergänzen und kontrollieren.

Keine Eröffnung ohne Zustimmung des BAG

Die Plattform-Betreibenden hätten zudem ergänzt, dass erst wieder eröffnet wird, wenn auch die Partner der Plattform einverstanden sind. Der wichtigste Partner ist gemäss "SRF" wohl das BAG. Es habe besonders wegen des Covid-19-Impfnachweises stark auf die Plattform gesetzt und die Stiftung mit einer viertel Million Franken jährlich unterstützt. Auf Anfrage von SRF Espresso habe das BAG geantwortet, dass es weiterhin mit den Verantwortlichen im Gespräch sei und die Fortschritte prüfe. Ob man weiter mit der Plattform zusammenspanne, habe das BAG offengelassen.

So oder so hat das Vertrauen in die Plattform gelitten, wie es weiter heisst. Rund 1000 Nutzerinnen und Nutzer hätten eine Löschung ihres Kontos beantragt. Für die Betreibenden sei das eine relativ geringe Zahl und entspreche weniger als einem Prozent der Nutzerinnen und Nutzer. Rund 450'000 Leute haben ihre Impfdaten auf "Meineimpfungen.ch" hinterlegt.

Ausser den Anfragen für Löschungen hätten die Verantwortlichen auch Anfragen und Bitten erhalten, die Plattform wieder in Betrieb zu nehmen. Die Betreibenden sind gemäss "SRF" dennoch bemüht, neues Vertrauen aufzubauen. Laut Bürki wird die Stiftung nicht mehr so weitermachen wie bisher. Es brauche mehr IT-Kompetenz, auch im Stiftungsrat, und eine Weiterentwicklung des Angebots dürfe nicht auf Kosten der Datensicherheit gehen - auch nicht unter Zeitdruck.

Webcode
DPF8_214084