Schweizer Plattform für digitalen Impfausweis muss schließen

Schweizer Plattform für digitalen Impfausweis muss schließen

In der Schweiz ist mit der Webseite „meineimpfungen.ch“ eine Lösung für einen digitalen Impfausweis an den Start gegangen. Gefördert wurde dies vom Bundesamt für Gesundheit. Schließlich sollte es besonders in der aktuellen Situation die Covid-19-Impfung einfach nachweisbar machen. So sollte es den Schweizern zum Beispiel ermöglicht werden, dort Urlaub zu machen, wo ein Impfnachweis dies möglich macht.

Doch gerade in dem dafür gefertigten Modul ist so einiges schief gelaufen.

Sicherheitslücken

Bereits im März wurde bekannt, dass die Plattform erhebliche Sicherheitslücken aufweist.

Die Grundidee war, dass die Bürger hier möglichst einfach eintragen können, wann sie geimpft wurden und selbst überprüfen können, welche Impfungen ihnen unter Umständen fehlen. Hierbei handelt es sich um personenbezogene Daten der besonderen Kategorie gemäß Art. 9 I DSGVO. Den Nutzern wurde dabei versichert, dass ein Zugriff auf diese Daten durch Dritte (etwa medizinisches Personal) nur mit ihrer Zustimmung möglich sei.

Leider sah die Realität ganz anders aus: Jeder, der es darauf anlegte, konnte sich als Arzt auf der Plattform registrieren, ohne weiter kontrolliert zu werden und konnte dann alle Daten der Nutzer einsehen. Die Nutzer-ID sei ein einfacher Zeitstempel des Registrierungszeitpunktes gewesen, sodass man durch Ausprobieren leicht an einen Impfausweis eines Nutzers kommen konnte. Die Kennnummern, die zur Registrierung als Arzt notwendig waren, liegen in der Schweiz in einem öffentlich verfügbaren Verzeichnis, sodass diese einfach zu eigenen Zwecken missbraucht werden konnten.

Mit etwas mehr technischem Know-How soll auch ein Zugang zur Plattform über die Passwort-Reset-Funktion möglich gewesen sein.

Neben dieser Möglichkeit, sich als fake-Arzt zu registrieren und Daten einzusehen, soll es zu allem Überfluss auch möglich gewesen sein, die Daten zu verändern. Man soll so Personen in Risikogruppen verschieben gekonnt haben oder Impfdatensätze manipulieren gekonnt haben.

Das unterläuft nicht nur den ganzen Sinn und Zweck des Portals, sondern stellt auch eine erhebliche Verletzung des Datenschutzes der Nutzer dar.

Die Bürokratie

Mit diesen Vorwürfen konfrontiert nahm der Betreiber die Plattform zunächst vom Netz, um die Fehler zu beheben. Viele Nutzer hatten aber bereits das Vertrauen verloren und wollten ihre Daten gelöscht wissen. Dafür forderte der Betreiber aber eine beglaubigte Ausweiskopie an, die den Nutzer umgerechnet etwa 13 Euro kosten würde, sowie weitere persönliche Daten und bei Minderjährigen zudem eine Sorgerechtsbestätigung. Eine Übernahme dieser Kosten wies der Betreiber ab. Sobald die Plattform wieder online sei, könne die Löschung von jedem Nutzer selbst vorgenommen werden, so der Betreiber.

Dazu kam es aber nie. Der Betreiber sehe sich außer Stande, den Betrieb der Webseite wieder aufzunehmen. Eine Lösung, wie die Nutzer wieder an ihre Daten kommen, gäbe es noch nicht.

Hier werden ganz grundlegende Betroffenenrechte nach der DSGVO erschwert und am Ende praktisch verweigert.

Gegen die Betreiber wurde bereits ein Aufsichtsverfahren eingeleitet.

Das Schweizer Parlament sieht in der Plattform nicht die Standards, die das gerade erst verabschiedete Schweizer Covid-19-Gesetz an eine digitale Impfpasslösung stellt, was kaum verwunderlich ist.

Wie weiter (gegen den Betreiber) vorgegangen wird, bleibt abzuwarten.

Datenschutzrechtliche Einordnung des Vorfalls

Der Fall von „meineimpfungen.ch“ ist ein Paradebeispiel dafür, wie fatale Konsequenzen die Missachtung grundlegender Datenschutzprinzipien haben kann. Obwohl die Plattform in der Schweiz betrieben wurde, wo das Schweizer Datenschutzgesetz (DSG) gilt, sind die zugrunde liegenden Probleme auch für Unternehmen im Geltungsbereich der DSGVO hochrelevant.

Die DSGVO formuliert in Art. 25 den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default). Dieser Grundsatz verlangt, dass Datenschutzmaßnahmen bereits in der Planungs- und Entwicklungsphase eines Systems berücksichtigt werden. Bei „meineimpfungen.ch“ wurde gegen praktisch alle Aspekte dieses Grundsatzes verstoßen.

Typische Sicherheitslücken bei Gesundheitsplattformen

Die bei der Schweizer Plattform aufgedeckten Schwachstellen sind leider kein Einzelfall. Vergleichbare Probleme treten immer wieder bei digitalen Gesundheitsanwendungen auf:

• Fehlende Identitätsprüfung: Die Möglichkeit, sich ohne Verifizierung als medizinisches Fachpersonal zu registrieren, stellt einen gravierenden Designfehler dar. In der DSGVO wird eine angemessene Authentifizierung als Teil der technischen Maßnahmen nach Art. 32 DSGVO gefordert. Eine mehrstufige Identitätsprüfung bei der Registrierung von Gesundheitsdienstleistern ist wichtig.
• Vorhersehbare Identifikatoren: Die Verwendung einfacher Zeitstempel als Nutzer-IDs ermöglicht das systematische Durchprobieren von Kennungen (sogenannte Enumeration-Angriffe). Sichere Systeme verwenden stattdessen kryptografisch zufällige Identifikatoren wie UUIDs (Universally Unique Identifiers), die praktisch nicht erraten werden können.
• Unzureichende Zugriffskontrolle: Das Fehlen einer granularen Rechteverwaltung ermöglichte es registrierten Nutzern, auf Daten anderer Nutzer zuzugreifen. Ein robustes Berechtigungskonzept muss sicherstellen, dass jeder Nutzer nur die Daten einsehen kann, für die er berechtigt ist.
• Manipulierbarkeit von Daten: Dass Datensätze nicht nur eingesehen, sondern auch verändert werden konnten, zeigt das Fehlen grundlegender Integritätskontrollen. Gerade bei Gesundheitsdaten können solche Manipulationen lebensbedrohliche Folgen haben.

Betroffenenrechte bei Datenpannen

Die Reaktion des Betreibers auf die Löschanfragen der Nutzer war sowohl aus rechtlicher als auch aus ethischer Sicht höchst problematisch. Nach Art. 17 DSGVO haben betroffene Personen das Recht auf Löschung ihrer personenbezogenen Daten. Der Verantwortliche ist verpflichtet, diesem Recht unverzüglich und kostenfrei nachzukommen.

Die Forderung nach einer kostenpflichtigen beglaubigten Ausweiskopie als Voraussetzung für die Löschung widerspricht dem Grundgedanken der DSGVO. Zwar darf der Verantwortliche bei begründeten Zweifeln an der Identität des Antragstellers zusätzliche Informationen anfordern (Art. 12 Abs. 6 DSGVO), doch muss dies verhältnismäßig sein und darf keine unzumutbare Hürde darstellen.

Lehren für digitale Gesundheitsanwendungen in Deutschland

Auch in Deutschland spielen digitale Gesundheitsanwendungen eine immer wichtigere Rolle. Das Digitale-Versorgung-Gesetz (DVG) und die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) schaffen den Rahmen für sogenannte „Apps auf Rezept“. Diese müssen strenge Anforderungen an Datenschutz und IT-Sicherheit erfüllen und durchlaufen ein Prüfverfahren beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).

Der Fall der Schweizer Impfausweis-Plattform zeigt eindrücklich, warum solche Prüfverfahren notwendig sind. Ohne eine unabhängige Sicherheitsüberprüfung vor dem Livegang können selbst staatlich geförderte Plattformen grundlegende Sicherheitsanforderungen verfehlen.

Empfehlungen für Unternehmen und Behörden

Unternehmen und Behörden, die digitale Lösungen für die Verarbeitung von Gesundheitsdaten entwickeln oder in Auftrag geben, sollten folgende Grundsätze beachten:

• Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vor dem Start des Projektes durchführen.
• Unabhängige Sicherheitsaudits und Penetrationstests vor der Veröffentlichung beauftragen.
• Einen erfahrenen Datenschutzbeauftragten von Beginn an in die Entwicklung einbeziehen.
• Transparente Kommunikation mit den Nutzern im Falle von Sicherheitsvorfällen sicherstellen.
• Notfallpläne für den Umgang mit Datenschutzverletzungen vorbereiten und regelmäßig testen.

Das revidierte Schweizer Datenschutzgesetz

Der Fall von „meineimpfungen.ch“ hat in der Schweiz auch die politische Debatte über den Datenschutz befeuert. Am 1. September 2023 ist das revidierte Schweizer Datenschutzgesetz (revDSG) in Kraft getreten, das die Schweizer Datenschutzgesetzgebung stärker an die EU-DSGVO angleicht. Das neue Gesetz verschärft unter anderem die Informationspflichten, führt eine Meldepflicht bei Datenschutzverletzungen ein und erhöht die Bußgelder auf bis zu 250.000 Schweizer Franken für natürliche Personen.

Für Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, bedeutet dies, dass sie zwei Datenschutzregimes beachten müssen, die sich zwar in vielen Punkten ähneln, aber in Details durchaus unterscheiden. Eine enge Abstimmung zwischen dem Schweizer Datenschutzrecht und der DSGVO ist daher unerlässlich.

Digitale Gesundheitsanwendungen: Standards und Zertifizierungen

Um das Vertrauen in digitale Gesundheitsanwendungen zu stärken, setzen verschiedene Länder auf Zertifizierungsprogramme und Standards. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Technischen Richtlinie TR-03161 einen Standard für die Sicherheit digitaler Gesundheitsanwendungen geschaffen. Dieser legt Mindestanforderungen an die IT-Sicherheit fest, die von Herstellern digitaler Gesundheitsanwendungen erfüllt werden müssen.

Auf europäischer Ebene arbeitet die Europäische Agentur für Cybersicherheit (ENISA) an Empfehlungen und Leitlinien für die Sicherheit von Gesundheits-IT-Systemen. Auch die ISO 27001-Zertifizierung gewinnt im Gesundheitsbereich zunehmend an Bedeutung als Nachweis für ein angemessenes Informationssicherheitsniveau.

Für Patienten und Nutzer digitaler Gesundheitsanwendungen empfiehlt es sich, nur Plattformen zu nutzen, die von anerkannten Stellen zertifiziert wurden und deren Betreiber transparent über ihre Datenschutzpraktiken informieren. Im Zweifelsfall kann der zuständige Landesdatenschutzbeauftragte oder eine Verbraucherzentrale weiterhelfen.

Fazit

Der Fall der Schweizer Impfausweis-Plattform verdeutlicht, wie wichtig es ist, den Datenschutz von Anfang an in die Entwicklung digitaler Gesundheitslösungen zu integrieren. Schnelle und kostengünstige Lösungen, die grundlegende Sicherheitsanforderungen missachten, können am Ende deutlich teurer werden als eine sorgfältige, datenschutzkonforme Entwicklung von Beginn an.