Der Konsumentenschutz erhebt schwere Vorwürfe gegenüber der Stiftung Meineimpfungen: Diese schicke seit Freitag sensible Impfdaten unverschlüsselt an Nutzerinnen und Nutzer zurück.
Diese «stümperhafte Vorgehensweise» müsse gestoppt werden, meldete sich der Konsumentenschutz am Dienstag.
Die Stiftung Meineimpfungen, verantwortlich für das elektronische Impfbüchlein, befindet sich aufgrund ihres löchrigen Datenschutzes bereits in Liquidation. Über 400'000 Impfdossiers waren bis anhin auf der Plattform eingefroren.
Nun hat Meineimpfungen am Freitagabend eigenmächtig und ohne Vorankündigung begonnen, die sensiblen Informationen an die involvierten Akteure der Plattform zu verschicken.
Die Sendung der Impfdaten erfolgte über unverschlüsselte E-Mails mit angehängter Zip-Datei. Verschickt wurden die persönlichen Daten über eine zuvor unbekannte E-Mail-Adresse. So landeten die Nachrichten bei vielen Adressaten im Spam-Ordner, bei einigen kamen die Mails zudem gar nicht an, da sie wegen der suspekten Adresse von der Firewall abgefangen worden waren.
«Diese Methode widerspricht den grundlegendsten Anforderungen an einen angemessenen Datenschutz. Denn: Die unverschlüsselten E-Mails inklusive Anhang könnten von einer Drittperson abgefangen und gelesen werden», moniert der Konsumentenschutz.
Weiter gibt dieser an, dass Meineimpfungen mitgeteilt habe, dass zuvor offene Fragen mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und der Eidgenössischen Stiftungsaufsicht (ESA) geklärt worden seien. Die beiden Stellen gaben aber an, sie seien weder informiert worden noch hätten sie der Handhabung zugestimmt.
Vielmehr hatten die Behörde EDÖB und das Bundesamt für Gesundheit (BAG) bereits eine eigene Lösung für eine datenschutzkonforme Rückgabe der Impfdaten auf dem Tisch. «Mit dem Versand der unverschlüsselten E-Mails hat die Stiftung diese Bedingungen ignoriert und die Lösung des BAG sabotiert», so der Konsumentenschutz weiter.
Verblüffend sei dieses Vorgehen auch deshalb, weil die Stiftung noch im April darauf bestanden habe, nur Auskunfts- und Löschungsbegehren mit beigelegter beglaubigter Ausweiskopie zu bearbeiten. Diese Massnahme hat es gemäss Datenschutzgesetz gar nicht gebraucht.
Der Konsumentenschutz fordert deshalb, dass die involvierten Akteure – die ESA, das BAG und der EDÖB – «das Möglichste» unternehmen, um dieses Vorgehen zu stoppen. Die Verantwortlichen bei Meineimpfungen müssten zudem sanktioniert werden. Und für alle Impfdaten, die noch nicht verschickt wurden, müsste eine datenschutzkonforme Lösung gefunden werden.
Die Stiftung Meineimpfungen hat bereits im März für ein grosses Debakel gesorgt: Damals deckte das Online-Magazin «Republik» und das deutsche «Handelsblatt» auf, dass die Datenbank mit sensiblen Angaben über Geimpfte sehr schlecht geschützt war. Daraufhin wurde die Seite gesperrt.
