Scherbenhaufen meineimpfungen: Erneutes Fiasko bei der Datenrückgabe
Mit unverschlüsselten E-Mails und angehängter Zip-Datei verschickt die Stiftung meineimpfungen sensible Impfdaten. Sie nimmt damit in Kauf, dass Drittpersonen besonders schützenswerte Personendaten von Nutzerinnen und Nutzern abfangen und einsehen können. Der Konsumentenschutz fordert die involvierten Akteure auf, die laien- und stümperhafte Vorgehensweise der Stiftung zu stoppen. Zudem muss die Eidgenössische Stiftungsaufsicht ihre Kontrollfunktion wahrnehmen und Verantwortliche sanktionieren.
Am Abend des 5. November 2021 hat die Stiftung meineimpfungen eigenmächtig und ohne Vorankündigung oder Information an die involvierten Akteure den Nutzerinnen und Nutzern der Plattform ihre Daten zugesendet. Die Vorgehensweise ist in höchstem Masse unprofessionell und fahrlässig: Die Daten, welche sensible persönliche Informationen enthalten, werden von der bisher unbekannten E-Mailadresse [email protected] in unverschlüsselten ZIP-Archiven versandt. Bei vielen Betroffenen landen die E-Mails deshalb im Spam-Ordner. Andere Empfängerinnen und Empfänger erhalten sie möglicherweise gar nicht, da ihre Firewall solche suspekten E-Mails abfängt und nicht zustellt.
Diese Methode widerspricht den grundlegendsten Anforderungen an einen angemessenen Datenschutz. Denn: Die unverschlüsselten E-Mails inklusive Anhang könnten von einer Drittperson abgefangen und gelesen werden. Die auf meineimpfungen.ch eingetragenen Daten sind Gesundheitsdaten und gelten als besonders schützenswerte Personendaten.
Eine Lösung lag auf dem Tisch, die Stiftung meineimpfungen war informiert
Im E-Mail teilt die Stiftung mit, sie habe offene Fragen mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und der Eidgenössischen Stiftungsaufsicht (ESA) geklärt. Die ESA und der EDÖB haben dem Konsumentenschutz jedoch auf Anfrage mitgeteilt, dass sie über dieses Vorgehen weder informiert waren noch der Handhabung zugestimmt haben. Im Hintergrund hatten sie nach Lösungen gesucht, damit die sensiblen Impfdaten datenschutzkonform an die Besitzerinnen und Besitzer zurückgeschickt werden können. Der EDÖB formulierte in mehreren Beratungsgesprächen mit der Stiftung Bedingungen und das Bundesamt für Gesundheit (BAG) hatte eine Lösung auf dem Tisch. Mit dem Versand der unverschlüsselten E-Mails hat die Stiftung diese Bedingungen ignoriert und die Lösung des BAG sabotiert.
«Solch sensible Gesundheitsdaten über ungesicherte E-Mails mit einem suspekten Anhang zu verschicken ist dilettantisch und entbehrt jeder Professionalität. Einmal mehr zeigt sich, dass die Stiftung meineimpfungen sich einen Deut um den Datenschutz schert und ihrer Aufgabe überhaupt nicht gewachsen ist», entrüstet sich Sara Stalder, Geschäftsleiterin des Konsumentenschutzes.
Die schlampige und äusserst fahrlässige Rückgabe der Daten verblüfft auch, weil die Stiftung meineimpfungen im April noch darauf bestand, nur Auskunfts- und Löschungsbegehren mit beigelegter beglaubigter Ausweiskopie zu bearbeiten, was gemäss Datenschutzgesetz nicht gefordert ist. Das verstärkt den Eindruck, dass dieser unnötige Einbau eines Stolpersteins nur die Verzögerung zum Ziel hatte und es der Stiftung dabei nicht um Datenschutz ging.
Verantwortliche müssen sanktioniert werden
Der Konsumentenschutz fordert, dass die involvierten Akteure, die ESA, das BAG und der EDÖB das Möglichste unternehmen, um dieses Vorgehen zu stoppen. Falls noch nicht alle Impfdaten verschickt wurden, muss eine datenschutzkonforme Lösung gefunden werden. Zudem müssen die Verantwortlichen der Stiftung meineimpfungen sanktioniert werden. Es darf nicht sein, dass sie einen solchen Scherbenhaufen hinterlassen können, ohne zur Verantwortung gezogen zu werden.
