Datenpanne im Corona-Testzentrum

Datenpanne im Corona-Testzentrum

Sich auf eine Infizierung mit dem Covid-19-Virus testen zu lassen wird für immer mehr Menschen beinahe alltäglich. Vielerorts sind Testzentren eingerichtet, in denen dies schnell und in der Regel sogar kostenlos möglich ist.

Meist erhalten die Besucher am Ende einen Zugangscode, über den sie nach Ablauf einer gewissen Zeit ihr Testergebnis online einsehen oder eine Bestätigung ausdrucken können. Diese werden vielerorts zum Beispiel vor Betreten bestimmter Einkaufsläden eingefordert. Somit führt kaum ein Weg daran vorbei, sich in ein Testzentrum zu begeben und dort auch seine personenbezogenen Daten anzugeben.

Bei der Online-Präsenz einiger Testzentren kam es nun immer wieder zu IT-Pannen, bei denen Daten von Getesteten jedem zur Verfügung standen. Hierbei handelte es sich nicht nur um personenbezogene Daten wie Name, Geburtsdatum, Adresse und Telefonnummer, sondern auch um die jeweiligen Testergebnisse, die als Gesundheitsdaten unter dem besonderen Schutz des Art. 9 I DSGVO fallen.

Aktuelle Beispiele

Nicht nur im März 2021 wurde von Sicherheitsforschern festgestellt, dass Corona-Testzentren in Deutschland und Österreich unzureichend geschützt waren (hier waren Name, Adresse, Geburtsdatum, Staatsbürgerschaft, das Corona-Testergebnis und teilweise Ausweisdaten von mehr als 80.000 Personen offen einsehbar), sondern auch immer noch vor Kurzem war es möglich, entsprechende Daten von über 14.000 Getesteten aus Zentren in Hamburg, Berlin, Leipzig und Schwerte einzusehen.

Das Problem ist also immer noch aktuell.

Gründe für die Datenpannen

Doch wo genau lagen die Fehler, die solche Datenpannen überhaupt möglich machen?

Bei über 100 Testzentren standen Schnittstellen der Webseiten und Webanwendungen, über die Kunden sich für einen Test anmelden und ihr Ergebnis abfragen können, ungeschützt zur Verfügung. Nicht nur waren diese Schnittstellen der betroffenen Testzentren ungenügend gesichert, sondern konnten selbst laienhafte Computernutzer durch Abänderung der letzten Ziffer ihrer zugeteilten Kunden-Kennnummer zur Einsicht in ihr Ergebnis das Ergebnis und andere personenbezogenen Daten anderer Kunden einsehen. Um das zu verhindern, können in der Programmierung so genannte UUIDs und komplexe Hashwerte (Ergebnisse) verwendet werden.

Zudem soll zum Teil online über jeden Kunden-Account einsehbar gewesen sein, in welchem Testzentrum wann wer getestet wird und was das Ergebnis ist.

Konsequenzen

Gegen die einzelnen Betreiber wurden Bußgelder verhängt, so wie es auch von der DSGVO vorgesehen ist. Allerdings wurden schnell Stimmen laut, dass es den Behörden beim Vorgehen gegen solche Datenpannen an der nötigen Härte fehle.

Die betroffenen Betreiber, die die Pflicht zur Meldung dieser Datenpannen traf, sagten aus, dass die Schwachstellen inzwischen behoben seien.

Doch es ist absehbar, dass bezüglich der Datenmengen, die in Zusammenhang mit Corona erhoben werden, in Zukunft noch weitere Digitalisierungsmängel offenbart werden.

Lehren für den Datenschutz in der Gesundheitsbranche

Die Datenpannen in den Corona-Testzentren sind kein Einzelfall. Sie stehen exemplarisch für ein grundlegendes Problem: In Situationen, in denen schnell gehandelt werden muss, wird der Datenschutz häufig vernachlässigt. Die Pandemie hat gezeigt, dass digitale Lösungen im Gesundheitsbereich zwar dringend benötigt werden, aber nur dann akzeptabel sind, wenn sie von Anfang an datenschutzkonform konzipiert werden.

Art. 25 DSGVO formuliert hierzu den Grundsatz des Datenschutzes durch Technikgestaltung (Privacy by Design). Dieser besagt, dass Datenschutzmaßnahmen bereits bei der Entwicklung eines Systems berücksichtigt werden müssen und nicht erst nachträglich implementiert werden dürfen. Bei den betroffenen Testzentren war genau das Gegenteil der Fall: Die Plattformen wurden unter Zeitdruck entwickelt, ohne grundlegende Sicherheitsanforderungen zu berücksichtigen.

Technische Mindestanforderungen bei Gesundheitsdaten

Gesundheitsdaten fallen nach Art. 9 DSGVO unter die besonderen Kategorien personenbezogener Daten und genießen einen erhöhten Schutzstandard. Für die Verarbeitung solcher Daten müssen besonders strenge technische und organisatorische Maßnahmen getroffen werden:

• Authentifizierung und Autorisierung: Der Zugang zu Gesundheitsdaten muss durch starke Authentifizierungsverfahren abgesichert werden. Einfache Kundennummern oder fortlaufende Ziffern reichen hierfür keinesfalls aus. Stattdessen sollten kryptografisch sichere Token oder UUID-basierte Zugangscodes verwendet werden.
• Verschlüsselung: Sowohl bei der Übertragung als auch bei der Speicherung müssen Gesundheitsdaten verschlüsselt werden. Eine Ende-zu-Ende-Verschlüsselung stellt sicher, dass die Daten selbst bei einem Zugriff durch Unbefugte nicht lesbar sind.
• API-Sicherheit: Schnittstellen müssen gegen unbefugten Zugriff abgesichert sein. Rate-Limiting, Eingabevalidierung und eine konsequente Rechteverwaltung sind Pflicht. Die Enumeration von Datensätzen durch das Ändern von IDs in der URL (sogenannte IDOR-Schwachstellen) muss zuverlässig verhindert werden.
• Penetrationstests: Vor dem Livegang einer Plattform, die Gesundheitsdaten verarbeitet, sollten unabhängige Sicherheitsexperten die Anwendung auf Schwachstellen prüfen.

Meldepflicht bei Datenpannen nach Art. 33 und 34 DSGVO

Kommt es trotz aller Vorsichtsmaßnahmen zu einer Datenpanne, greifen die Meldepflichten der DSGVO. Nach Art. 33 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Außerdem müssen nach Art. 34 DSGVO auch die betroffenen Personen selbst benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat. Bei Gesundheitsdaten ist von einem solchen hohen Risiko in der Regel auszugehen.

Die Betreiber der betroffenen Testzentren haben diese Pflichten teilweise erst verspätet erfüllt, was die Situation zusätzlich verschärft hat. Eine verspätete oder unvollständige Meldung kann als eigenständiger Verstoß gegen die DSGVO gewertet werden und zu weiteren Bußgeldern führen.

Bußgelder und Haftungsrisiken

Die DSGVO sieht bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten tendieren die Aufsichtsbehörden zu strengeren Sanktionen.

Neben den behördlichen Bußgeldern drohen den Betreibern auch zivilrechtliche Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO. Betroffene können sowohl materielle als auch immaterielle Schäden geltend machen. Bei einer Datenpanne mit Gesundheitsdaten von über 80.000 Personen kann dies schnell zu erheblichen Gesamtsummen führen.

Fazit: Datenschutz als Grundvoraussetzung digitaler Gesundheitslösungen

Die Fälle der Corona-Testzentren zeigen eindrücklich, dass Datenschutz kein optionales Feature ist, sondern eine Grundvoraussetzung für jede digitale Lösung im Gesundheitsbereich. Unternehmen, die mit technisch-organisatorischen Maßnahmen und einer professionellen Datenschutzberatung von Anfang an auf Sicherheit setzen, schützen nicht nur die Daten ihrer Kunden, sondern auch sich selbst vor empfindlichen Bußgeldern und Reputationsschäden.

Datenschutz-Folgenabschätzung bei Gesundheitsdaten

Art. 35 DSGVO schreibt vor, dass eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die umfangreiche Verarbeitung von Gesundheitsdaten fällt ausdrücklich in diese Kategorie. Eine DSFA hätte vor dem Betrieb der Testzentrum-Plattformen durchgeführt werden müssen und hätte die gravierenden Sicherheitsmängel mit hoher Wahrscheinlichkeit aufgedeckt.

Die DSFA umfasst eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine Bewertung der Risiken für die Betroffenen sowie die vorgesehenen Abhilfemaßnahmen und Sicherheitsvorkehrungen. Ergibt die DSFA, dass die Verarbeitung trotz der vorgesehenen Maßnahmen ein hohes Restrisiko birgt, muss vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultiert werden.

Verantwortung der Auftraggeber

Die Datenpannen in den Testzentren werfen auch die Frage nach der Verantwortung der öffentlichen Stellen auf, die solche Plattformen beauftragen oder fördern. Wer die Verarbeitung personenbezogener Daten in Auftrag gibt, bleibt datenschutzrechtlich mitverantwortlich. Öffentliche Auftraggeber müssen sicherstellen, dass die von ihnen beauftragten Dienstleister über angemessene technische und organisatorische Maßnahmen verfügen.

Dies umfasst die sorgfältige Auswahl des Dienstleisters, den Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO, die regelmäßige Kontrolle der Einhaltung der vereinbarten Maßnahmen und die unverzügliche Reaktion bei Bekanntwerden von Sicherheitsmängeln. Gerade in Krisensituationen wie einer Pandemie darf der Zeitdruck nicht dazu führen, dass grundlegende Datenschutzanforderungen vernachlässigt werden.

Checkliste für den datenschutzkonformen Betrieb von Testzentren und Gesundheitseinrichtungen

Damit Betreiber von Gesundheitseinrichtungen nicht in dieselben Fallen tappen wie die betroffenen Corona-Testzentren, empfiehlt sich folgende Checkliste:

• Datenschutz-Folgenabschätzung vor dem Start der Plattform durchführen und dokumentieren.
• Auftragsverarbeitungsvertrag mit allen beteiligten IT-Dienstleistern abschließen.
• Penetrationstest durch unabhängige Sicherheitsexperten vor dem Livegang beauftragen.
• Verschlüsselung aller Gesundheitsdaten bei Speicherung und Übertragung sicherstellen.
• Zugangsberechtigungen auf das notwendige Minimum beschränken und regelmäßig überprüfen.
• Identitätsprüfung für medizinisches Personal über zertifizierte Verfahren implementieren.
• Notfallplan für Datenschutzverletzungen erstellen und regelmäßig testen.
• Betroffene transparent über die Datenverarbeitung und ihre Rechte informieren.

Die Einhaltung dieser Grundsätze schützt nicht nur die Daten der Patienten, sondern auch den Betreiber vor Bußgeldern und Reputationsschäden.