Die Sendung der Impfdaten an die Nutzerinnen und Nutzer erfolgte am Freitagabend über unverschlüsselte E-Mails mit angehängter Zip-Datei, wie der Konsumentenschutz am Dienstag mitteilte. Der Versand erfolgte über eine zuvor unbekannte E-Mailadresse. Bei vielen Adressaten landen die Mails darum im Spam-Ordner.
Andere Empfängerinnen und Empfänger erhielten die Benachrichtigungen gar nicht, da die Firewall die suspekten Mails abfing und nicht zustellte. Gemäss dem Konsumentenschutz widerspricht das «laien- und stümperhafte Vorgehensweise der Stiftung» grundlegenden Anforderungen an den Datenschutz.
Gefährdete Personendaten
Die unverschlüsselten E-Mails mit Anhang können von Dritten abgefangen und gelesen werden, macht der Konsumentenschutz geltend. Die auf meineimpfungen.ch eingetragenen Daten seien Gesundheits- und damit besonders schützenswerte Personendaten.
Weiter gibt Meineimpfungen gemäss dem Konsumentenschutz an, offene Fragen seien mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) und der Eidgenössischen Stiftungsaufsicht geklärt. Die beiden Stellen gaben aber an, sie seien weder informiert worden noch hätten sie das Vorgehen abgesegnet.
Der Edöb und das Bundesamt für Gesundheit (BAG) hatten Lösungen für die datenschutzkonforme Rückgabe der Daten des elektronischen Impfbüchleins der Stiftung gesucht und eine Lösung lag auf dem Tisch. Mit dem Versand der unverschlüsselten E-Mails habe Meineimpfungen die Datenschutz-Bedingungen «ignoriert und die Lösung des BAG sabotiert», stellte der Konsumentenschutz fest.
Verzögerunsmanöver vermutet
«Verblüfft» ist der Konsumentenschutz weiter, weil Meineimpfungen noch im April Auskunfts- und Löschungsbegehren nur mit beglaubigter Ausweiskopie bearbeiten wollte. Das ist gemäss Datenschutzgesetz nicht nötig. So kommt beim Konsumentenschutz der Verdacht eines Verzögerungsmanövers auf.
Der Konsumentenschutz fordert die Aufsichtsstellen auf, das Vorgehen der Stiftung zu stoppen. Sollten noch nicht alle Impfdaten verschickt sein, müssten datenschutzkonforme Lösungen gefunden werden. Und die Verantwortlichen von Meineimpfungen müssten sanktioniert werden, denn es gehe nicht an, dass sie nach einem solchen Scherbenhaufen ungeschoren davonkommen.
Auf der Internetseite schrieb Meineimpfungen am 5. November, die Stiftung habe die im Frühling beim BAG beantragten Gelder nicht erhalten, könne die Daten aber jetzt dank eines anonymen Spenders zurück schicken.
Zudem warnte die in Liquidation stehende Stiftung, dass die Mails im Spam-Ordner landen könnten. Die Nutzerinnen und Nutzer sollten ihre Daten überprüfen und im Zweifelsfall ihren Arzt kontaktieren. Die Stiftung war am Dienstag für eine Stellungnahme nicht erreichbar. Auf eine E-Mail-Anfrage hiess es lediglich, aufgrund der finanziellen Lage sei die operative Tätigkeit eingestellt.
Datenschützer unzufrieden
Gar nicht zufrieden zeigte sich der Datenschützer. Wie der Edöb mitteilte, steht das Vorgehen im Widerspruch zu seinen mehrmals mit dem BAG beratenen und detailliert schriftlich festgehaltenen Anforderungen.
Der unverschlüsselte E-Mail-Versand ohne Authentifizierung mit mehreren Faktoren sei nicht datenschutzkonform. Zudem erwecke die Stiftung Meineimpfungen auf ihrer Internetseite und im Begleitschreiben den falschen Eindruck, das Vorgehen sei mit dem Edöb abgesprochen.
Das BAG bedauerte auf Anfrage der Nachrichtenagentur Keystone-SDA die Art und Weise der Rückgabe der Impfdaten. Das Bundesamt habe zusammen mit dem Edöb und der Eidgenössischen Stiftungsaufsicht an einer sicheren Lösung gearbeitet, die bis Ende Jahr fertig sein sollte.
Die Stiftungsaufsicht war froh, dass die Plattform der Mehrheit der Nutzer die Impfdaten doch noch zurückgeben kann. Weder der Datenschutzbeauftragte noch das BAG hätten die Stiftung dabei unterstützt. Angesichts des bevorstehenden Konkurses sei Meineimpfungen selbst aktiv geworden und habe sich dabei an die Empfehlungen des Edöb gehalten.
Anfang Jahr wurde bekannt, dass die 450'000 Impfdaten der elektronischen Plattform, darunter 240'000 von Covid-19-Geimpften, offen zugänglich für alle und manipulierbar waren. In der Folge wurden das BAG und der Edöb aktiv. Die Plattform wurde deaktiviert und ein Verfahren gegen die Betreiber eingeleitet (persoenlich.com berichtete). (sda/cbe)
