Schweizer Plattform für digitalen Impfausweis muss schließen

In der Schweiz ist mit der Webseite „meineimpfungen.ch“ eine Lösung für einen digitalen Impfausweis an den Start gegangen. Gefördert wurde dies vom Bundesamt für Gesundheit. Schließlich sollte es besonders in der aktuellen Situation die Covid-19-Impfung einfach nachweisbar machen. So sollte es den Schweizern zum Beispiel ermöglicht werden, dort Urlaub zu machen, wo ein Impfnachweis dies möglich macht.

Doch gerade in dem dafür gefertigten Modul ist so einiges schief gelaufen.

Sicherheitslücken

Bereits im März wurde bekannt, dass die Plattform erhebliche Sicherheitslücken aufweist.

Die Grundidee war, dass die Bürger hier möglichst einfach eintragen können, wann sie geimpft wurden und selbst überprüfen können, welche Impfungen ihnen unter Umständen fehlen. Hierbei handelt es sich um personenbezogene Daten der besonderen Kategorie gemäß Art. 9 I DSGVO. Den Nutzern wurde dabei versichert, dass ein Zugriff auf diese Daten durch Dritte (etwa medizinisches Personal) nur mit ihrer Zustimmung möglich sei.

Leider sah die Realität ganz anders aus: Jeder, der es darauf anlegte, konnte sich als Arzt auf der Plattform registrieren, ohne weiter kontrolliert zu werden und konnte dann alle Daten der Nutzer einsehen. Die Nutzer-ID sei ein einfacher Zeitstempel des Registrierungszeitpunktes gewesen, sodass man durch Ausprobieren leicht an einen Impfausweis eines Nutzers kommen konnte. Die Kennnummern, die zur Registrierung als Arzt notwendig waren, liegen in der Schweiz in einem öffentlich verfügbaren Verzeichnis, sodass diese einfach zu eigenen Zwecken missbraucht werden konnten.

Mit etwas mehr technischem Know-How soll auch ein Zugang zur Plattform über die Passwort-Reset-Funktion möglich gewesen sein.

Neben dieser Möglichkeit, sich als fake-Arzt zu registrieren und Daten einzusehen, soll es zu allem Überfluss auch möglich gewesen sein, die Daten zu verändern. Man soll so Personen in Risikogruppen verschieben gekonnt haben oder Impfdatensätze manipulieren gekonnt haben.

Das unterläuft nicht nur den ganzen Sinn und Zweck des Portals, sondern stellt auch eine erhebliche Verletzung des Datenschutzes der Nutzer dar.

Die Bürokratie

Mit diesen Vorwürfen konfrontiert nahm der Betreiber die Plattform zunächst vom Netz, um die Fehler zu beheben. Viele Nutzer hatten aber bereits das Vertrauen verloren und wollten ihre Daten gelöscht wissen. Dafür forderte der Betreiber aber eine beglaubigte Ausweiskopie an, die den Nutzer umgerechnet etwa 13 Euro kosten würde, sowie weitere persönliche Daten und bei Minderjährigen zudem eine Sorgerechtsbestätigung. Eine Übernahme dieser Kosten wies der Betreiber ab. Sobald die Plattform wieder online sei, könne die Löschung von jedem Nutzer selbst vorgenommen werden, so der Betreiber.

Dazu kam es aber nie. Der Betreiber sehe sich außer Stande, den Betrieb der Webseite wieder aufzunehmen. Eine Lösung, wie die Nutzer wieder an ihre Daten kommen, gäbe es noch nicht.

Hier werden ganz grundlegende Betroffenenrechte nach der DSGVO erschwert und am Ende praktisch verweigert.

Gegen die Betreiber wurde bereits ein Aufsichtsverfahren eingeleitet.

Das Schweizer Parlament sieht in der Plattform nicht die Standards, die das gerade erst verabschiedete Schweizer Covid-19-Gesetz an eine digitale Impfpasslösung stellt, was kaum verwunderlich ist.

Wie weiter (gegen den Betreiber) vorgegangen wird, bleibt abzuwarten.

 

%d Bloggern gefällt das: