EDÖB: Schlussbericht «meineimpfungen.ch» veröffentlicht

EDÖB eröffnet Verfahren gegen Plattformbetreiberin

Der Hintergrund des Schlussberichts des vorliegenden Verfahrens ist Folgender: Auf der von der privaten, nicht gewinnorientierten Stiftung meineimpfungen betriebenen Plattform «www.meineimpfungen.ch» sowie dem darauf implementierten Modul «myCOVIDvac» konnten Privatpersonen ihre erfolgten Impfungen in einem persönlichen Konto elektronisch dokumentieren. Diese Dokumentation hätte eine wichtige Rolle beim Nachweis des Impfstatus und damit der Bekämpfung der COVID-19-Pandemie haben sollen. Das Bundesamt für Gesundheit unterstütze die Stiftung finanziell und empfahl die Plattform zunächst für den elektronischen Impfausweis.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde dann aber im März 2021 durch das Online-Magazin Republik über mögliche Datenschutzverletzungen der Impfplattform «www.meineimpfungen.ch» in Kenntnis gesetzt. Das Magazin Republik machte insbesondere auf eine Sicherheitsprüfung der Plattform durch IT-Spezialisten aufmerksam, die diverse Schwachstellen gefunden hatten. Diese Schwachstellen teilte sie dem EDÖB in Form eines Ergebnisreports mit. Im Wesentlichen wurde folgendes bemängelt (siehe hierzu die Berichterstattung der Republik):

• Umfassende Zugriffsrechte: Jede Medizinfachperson, die auf der Plattform registriert war, hatte umfassenden Zugriffsrechte auf die Impf- und Gesundheitsdaten sämtlicher erfasster Personen. Es bestand so das Risiko, dass die covid­relevanten Impfdaten einfach manipuliert werden.
• Mangelhafte Überprüfung: Bei der erstmaligen Anmeldung als Medizinfachperson fand keine eigentliche Identitätsprüfung statt. Die Verifikation basierte allein auf den Informationen des Antragstellers. Jedermann konnte sich als «Arzt» ausgeben.
• Sicherheitslücken: Hackerinnen konnten relativ leicht die Covid-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten. Mit etwas technischem Wissen wäre es zudem möglich gewesen, die Impfdaten und weitere Gesundheitsdaten zu manipulieren.

Der EDÖB prüfte die von der Republik erhobenen Vorwürfe und die ihm zugänglichen Informationen zunächst summarisch. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) kam er zum Schluss, dass die angezeigten Verletzungen plausibel sind. Daraufhin eröffnete er gestützt auf Art. 29 DSG ein Verfahren gegen die Stiftung, welche die Plattform gleichentags vom Netz nahm. Die Abklärungen liefen bis zum 7. Juli 2021 und fokussierten sich insbesondere auf die Frage, ob die Datenintegrität auf der Plattform sichergestellt ist.

Zudem wurde der EDÖB im Verlauf der Untersuchungen von betroffenen Bürgern darauf aufmerksam gemacht, dass diese ihre Auskunfts- und Löschbegehren gegenüber der Stiftung nicht erfolgreich geltend machen konnten. Scheinbar hatte die Stiftung für Auskunftsbegehren nach Art. 8 DSG eine beglaubigte Ausweiskopie verlangt und die betroffenen Personen an den Kosten der Auskunftserteilung beteiligt.

EDÖB identifiziert technische Schwachstellen

Aus technischer Sicht wurden durch den EDÖB (in Zusammenarbeit mit externen Spezialisten) insgesamt 59 Schwachstellen identifiziert. Folgende Aspekte werden im Schlussbericht des EDÖB hervorgehoben:

• Monitoring und Patches: Grundsätzlich sollte in IT-Systemen überwacht werden, ob alle Sicherheitseinstellungen korrekt sind und Patches und Updates korrekt eingespielt werden. Es existierte bei der Stiftung jedoch kein aktives Monitoring, insbesondere wurden Logs nicht automatisiert ausgewertet.
• Protokollierung und Logging: Logdaten wurden durch die Stiftung nur für 30 Tage aufbewahrt. Zudem wurden die Daten nicht zentralisiert gespeichert und auch nicht automatisch ausgewertet. Es konnte so keine forensische Analyse durchgeführt werden, um bspw. festzustellen, ob Daten in der Vergangenheit manipuliert wurden.
• Datenintegrität: Die Auswertung des Ergebnisreports zeigte gemäss EDÖB zudem, dass die Veränderung von auf der Plattform gespeicherten Daten durch Unbefugte mit einfachen Mitteln denkbar gewesen wäre. Der EDÖB zitiert hierbei den IT-Security Bericht des externen Dienstleisters, der kritisiert hatte, dass eine Gesundheitsperson unautorisiert die Daten von sämtlichen Patienten einsehen konnte. Somit musste ein Angreifer nur eine einzige Fachperson kompromittieren, um sämtliche Daten auf der Plattform auszulesen.

Rechtliche Würdigung und Empfehlungen des EDÖB

Der EDÖB würdigt diese Sachverhaltsfeststellungen mit Blick auf die datenschutzrechtlichen Vorgaben zur Datensicherheit in Art. 7 DSG i.V.m. Art. 8 ff. VDSG. Hiernach müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Wer Personendaten bearbeitet, muss für die Vertraulichkeit, Verfügbarkeit und die Integrität der Daten sorgen. Der EDÖB kommt aufgrund der Berichte zum Schluss, dass die Plattform veraltet war und dass die Schwachstellen auch besonders schützenswerte Personendaten betrafen. Da die Stiftung jedoch im Verlauf der Untersuchungen bekannt gab, die Plattform nicht mehr weiter zu betreiben, verzichtete der EDÖB auf Empfehlungen zur Datensicherheit.

Der EDÖB wiederholt zudem die Feststellungen, dass aufgrund der mangelhaften Protokollierung ein erhöhtes Risiko bestand, dass die Datenintegrität nicht gewährleistet war. Er empfiehlt daher, dass die Stiftung die Datenrichtigkeit der bearbeiteten Daten sicherstellen muss.

Der EDÖB verweist in Bezug auf das Auskunftsrecht darauf, dass die Kostenbeteiligung betroffener Personen die Ausnahme darstellt. Gemäss seiner Ansicht sei vorliegend keine Ausnahmekonstellation gegeben und er empfiehlt der Stiftung, die Kosten den betroffenen Personen zurückzuerstatten. Zudem solle die Stiftung die betroffenen Personen über die mögliche Beeinträchtigung der Datenrichtigkeit informieren. Gemäss Medienberichten hatte die Stiftung im September 2021 eine praktikable Lösung gefunden, mit der die Nutzer wieder Zugriff auf Ihre Daten gehabt hätten, wobei nicht öffentlich kommuniziert wurde, wie diese Lösung aussah (siehe die Berichterstattung des SRF). Als die Stiftung Anfang November jedoch damit anfing, den Nutzerinnen und Nutzern der Plattform deren Impfdaten als Anhang einer unverschlüsselten E-Mail zukommen zu lassen, publizierte der EDÖB eine Stellungnahme, dass dieses Vorgehen nicht mit ihm abgesprochen sei. Weitere Schritte unternahm der EDÖB (soweit ersichtlich) diesbezüglich aber nicht.

Schliesslich empfahl der EDÖB der Stiftung, die betroffenen Personen über den Ablauf und die technische Umsetzung der Einstellung der Plattform zu informieren. Sie solle gegenüber den betroffenen Personen nachweisen, wie die datenschutzrechtlichen Anforderungen eingehalten werden, insb. was mit den Daten geschehe.

Würdigung

Der vorliegende Schlussbericht zeigt, dass der EDÖB bereits unter dem geltenden Datenschutzgesetz relativ rasch und effektiv gegen private Unternehmen tätig werden kann. Das Verfahren veranschaulicht auch die nicht zu unterschätzende Belastung sowie das Reputationsrisiko für Unternehmen, insbesondere da sie (wie vorliegend geschehen) in Fällen von allgemeinem Interesse in den publizierten Schlussberichten namentlich genannt werden können (siehe Art. 30 Abs. 2 DSG).

Gerade weil der Fall von allgemeinem Interesse ist, muss doch kritisch bemerkt werden, dass der vorliegende Schlussbericht etwas oberflächlich bleibt. Die Ausführungen zu den technischen Versäumnissen bleiben eher vage, der EDÖB verweist stattdessen auf die Feststellungen und Berichte der IT-Experten und übernimmt deren Schlussfolgerungen. Sowohl das DSG als auch das VDSG schreiben keine konkreten technischen und organisatorischen Massnahmen vor und so wäre es für die Praxis interessant zu wissen, welche Massnahmen im vorliegenden Fall getroffen wurden, wieso diese aus Sicht des EDÖB ungenügend waren und welche Massnahmen er als dem konkreten Risiko angemessen erachtet hätte.

So war bspw. die Authentifizierung der Medizinfachpersonen scheinbar ungenügend, ob aber eine Zwei-Faktor-Authentifizierung erforderlich bzw. ausreichend gewesen wäre, bleibt offen. Ebenso unklar bleibt, welche Massnahmen mit Blick auf die Datenrichtigkeit genau verlangt werden. Vorliegend war es sicherlich auch die Summe der Unzulänglichkeiten, die zur Verletzung dieses Prinzips führte, dennoch lässt sich aus dem Schlussbericht für andere Unternehmen im Gesundheitsbereich so kaum etwas herleiten. Etwas merkwürdig ist zudem, dass Art. 10 VDSG explizit vorschreibt, dass Logfiles bei der Bearbeitung von besonders schützenswerten Daten mindestens ein Jahr revisionssicher aufbewahrt werden müssen. Diese Pflicht wurde vorliegend mit der Aufbewahrungsdauer von 30 Tagen wahrscheinlich verletzt, der EDÖB lässt diese Bestimmung aber unerwähnt.

Unter dem revidierten Datenschutzgesetz werden die Kompetenzen des EDÖB gestärkt (siehe dazu MLL-News vom 19. Oktober 2020) und es ist zu erwarten, dass dieser mehr Personal erhalten wird. Es ist daher vermehrt mit Verfahren gegen Unternehmen zu rechnen. Selbst wenn die Ausführungen des EDÖB für die Praxis nicht viele konkrete Erkenntnisse bereithalten, sollten gerade Unternehmen, die mit Gesundheitsdaten zu tun haben, mit Blick auf das revidierte Datenschutzgesetz sicherstellen, dass sie ihre IT-Systeme und Datenschutz-Compliance in regelmässigen Abständen evaluieren und an den neuesten Stand der Technik anpassen.

Weitere Informationen:

• Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
• Bundesgesetz über den Datenschutz (DSG)
• MLL-News vom 19. Oktober 2020, Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick
• EDÖB: Schlussbericht zur Sachverhaltsabklärung meineimpfungen.ch
• EDÖB: Kurzmitteilung: Versand von Impfdaten durch die Stiftung «meineimpfungen»