Das Online-Magazin «Republik» hat nach Recher­chen gravie­ren­de Lücken bei der Daten­si­cher­heit der Websei­te «meineimp​fun​gen​.ch» aufge­deckt. Jeder­mann konnte sich darauf einfa­chen Zugang verschaf­fen, und die Impfda­ten von 450’000 Perso­nen ansehen (!) und sogar ändern (!!!). Der Eidg. Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) hat nun ein Verfah­ren gegen die Stiftung eröff­net, welche die Websei­te betreibt, und das Portal abgeschaltet.

Einfacher Zugang zu privaten Daten für jedermann

Gemäss Infor­ma­tio­nen von Republik konnte sich jeder­mann auf «meineimp​fun​gen​.ch» als medizi­ni­sche Fachper­son regis­trie­ren. Danach erhielt man freien Zugang zu den persön­li­chen Impfda­ten von 450’000 Perso­nen mit der Möglich­keit, diese zu manipulieren.

Der EDÖB hat inzwi­schen die von der «Republik» erhobe­nen Vorwür­fe über mögli­che Daten­schutz­ver­let­zun­gen der Impfplatt­form «meineimp​fun​gen​.ch» summa­risch geprüft. Nach Rückspra­che mit dem Natio­na­len Zentrum für Cyber­si­cher­heit (NCSC) sei er zum Schluss gekom­men, dass die angezeig­ten Verlet­zun­gen plausi­bel sind. Er habe die Stiftung aufge­for­dert, die Platt­form bis auf Weite­res vom Netz zu nehmen. Das schreibt der EDÖB in einer Mittei­lung. meineimp​fun​gen​.ch führt im Auftrag des BAG das elektro­ni­sche Impfbüch­lein. Man kann dort freiwil­lig seine Impfun­gen elektro­nisch registrieren.

Massive Verletzung von Persönlichkeitsrechten

«Die Daten­be­ar­bei­tung der Impfplatt­form ist geeig­net, die Persön­lich­keits­rech­te einer grossen Zahl von Perso­nen zu verlet­zen, zumal es sich in diesem Fall um beson­ders schüt­zens­wer­te Perso­nen­da­ten betref­fend die Gesund­heit handelt», heisst es in der Mittei­lung weiter. Die Platt­form wurde am Montag vom Netz genommen.

Die Verant­wort­li­chen der Stiftung sind nun aufge­for­dert, gegen­über dem EDÖB sehr rasch zu den erhobe­nen Vorwür­fen und der Anzeige Stellung zu nehmen. Ausser­dem erwarte der Beauf­trag­te Angaben über allfäl­li­ge Datenverluste.

Die «Republik» hatte berich­tet, Hacker hätten auf alle jemals ausge­stell­ten Impfnach­wei­se zugrei­fen können. Sie hätten solche Dokumen­te selbst auch ausstel­len können, auch für Menschen, die gar keine Impfung erhal­ten haben.

Mittwoch, 24. März 2021, 13:29 Uhr 

Konsumentenschutz ruft zu Datenrückzug auf

Die Stiftung für Konsu­men­ten­schutz ruft Nutze­rin­nen und Nutzer auf, ihre Daten von der Platt­form meineimp​fun​gen​.ch löschen zu lassen. Die Betrei­ber der Platt­form hätten jegli­ches Vertrau­en verspielt. Für eine neue Lösung schlägt Digitals­witz­er­land einen Hacka­ton vor.

Für sie sei klar: “Das Kapitel meineimp​fun​gen​.ch ist abgeschlos­sen”, schreibt der Konsu­men­ten­schutz am Mittwoch in einer Medien­mit­tei­lung. Eine “von der Pharma­in­dus­trie finan­zier­te Stiftung mit einem solchen Verständ­nis von IT-Sicher­heit und Trans­pa­renz” sei für die Verwal­tung von sensi­blen Gesund­heits­da­ten “inakzep­ta­bel”.

Die Schweiz brauche einen elektro­ni­schen Impfnach­weis, der fälschungs­si­cher und daten­schutz­kon­form sei und inter­na­tio­nal anerkannt werde. Es liege nun am Bundes­amt für Gesund­heit (BAG) die Verant­wor­tung für “eine sichere und vertrau­ens­wür­di­ge Alter­na­ti­ve” zu übernehmen.

Nach dem “Groun­ding” von meineimp​fun​gen​.ch brauche es nun inner­halb von drei Monaten eine neue Lösung, sagte FDP-Natio­nal­rat Marcel Tobler (SG), Vize-Präsi­dent der IT-Dachor­ga­ni­sa­ti­on Digitals­witz­er­land, gegen­über der SRF-Sendung “Rendez-Vous”. Aber dazu müssten sich der Bundes­rat und das BAG Hilfe holen, um “die Kompe­tenz, die nicht vorhan­den ist” in Gremien zu besetzen.

Kommentar der Redaktion

Mit dieser unglaub­li­chen Daten­pan­ne beweist das BAG einmal mehr, dass es offen­sicht­lich nicht in der Lage ist, die ihm übertra­ge­nen Aufga­ben zuver­läs­sig zu bewäl­ti­gen. Statt Verant­wor­tung zu überneh­men, distan­ziert man sich einfach von der Stiftung, die für die Daten­bank verant­wort­lich ist. Diese Daten­bank, bei der sich Covid-Geimpf­te freiwil­lig regis­trie­ren konnten, wäre die Basis gewesen für einen geplan­ten elektro­ni­schen Impfpass. Doch das ist nun Geschich­te – das Vertrau­en der Bevöl­ke­rung ist zerstört. Die Daten konnten von jeder­mann einge­se­hen (!) und sogar geändert werden (!!!), da der Schutz offen­bar nicht den Anfor­de­run­gen des Schwei­zer Daten­schut­zes entspro­chen hat.

Was soll man dazu noch dazu sagen? Wir können uns immer wieder nur wieder­ho­len: der Umgang der Behör­den mit dieser «Pande­mie» ist seit Anbeginn ein unsäg­li­ches Trauer­spiel. Eigent­lich könnte man dieses endlose Drama einfach beenden, indem man die verant­wort­li­chen Politi­ker und Behör­den­ver­tre­ter – wie in der Wirtschaft üblich – einfach auf die Strasse stellt, und ihnen damit selbst vor Augen führt, was sie mit ihren andau­ern­den Fehlleis­tun­gen und Leerläu­fen für das Volk und die Wirtschaft an psychi­schem und materi­el­len Schaden angerich­tet haben. 

Doch so weit wird es nicht kommen. Ein Gross­teil der Bevöl­ke­rung hat noch immer Vertrau­en in unsere Behör­den und Politi­ker. Der Grund ist einfach: die Staats­die­ner im Ausland sind schlicht noch viel unfähi­ger! Das Vertrau­en bleibt also wohl auch weiter­hin bestehen. Zumin­dest solange, wie Ende Monat trotz Kurzar­beit das Geld auf dem Konto ist. Wer die Zeche bezahlt, fragt niemand. 

Unsere Kinder und Enkel werden uns aber zu gegebe­ner Zeit die Frage stellen, wie wir es so weit kommen lassen konnten.