EDÖB: Schlussbericht «meineimpfungen.ch» veröffentlicht


Ihre Kontakte

Der EDÖB hat jüngst seinen Schlussbericht zur Untersuchung der Plattform meineimpfungen.ch publiziert. Die vom Bundesamt für Gesundheit mitfinanzierte Plattform war aufgrund des mangelhaften Datenschutzes in die Kritik geraten und musste, nicht zuletzt aufgrund der Untersuchung des EDÖB sowie der entsprechenden Medienberichterstattung, letztlich vom Netz genommen werden. Insbesondere die fehlende Sicherstellung der Datenrichtigkeit sowie die ungenügende Datensicherheit wurden vom EDÖB bemängelt. Leider gibt der Schlussbericht aber wenig Auskunft darüber, welche Charakteristika eine rechtskonforme Lösung hätte haben müssen. Dennoch zeigt das Verfahren exemplarisch, dass gerade im Bereich E-Health tätige Unternehmen gut beraten sind, ihre Datenschutz-Compliance und IT-Sicherheit regelmässig zu überprüfen.

EDÖB eröffnet Verfahren gegen Plattformbetreiberin

Der Hintergrund des Schlussberichts des vorliegenden Verfahrens ist Folgender: Auf der von der privaten, nicht gewinnorientierten Stiftung meineimpfungen betriebenen Plattform «www.meineimpfungen.ch» sowie dem darauf implementierten Modul «myCOVIDvac» konnten Privatpersonen ihre erfolgten Impfungen in einem persönlichen Konto elektronisch dokumentieren. Diese Dokumentation hätte eine wichtige Rolle beim Nachweis des Impfstatus und damit der Bekämpfung der COVID-19-Pandemie haben sollen. Das Bundesamt für Gesundheit unterstütze die Stiftung finanziell und empfahl die Plattform zunächst für den elektronischen Impfausweis.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde dann aber im März 2021 durch das Online-Magazin Republik über mögliche Datenschutzverletzungen der Impfplattform «www.meineimpfungen.ch» in Kenntnis gesetzt. Das Magazin Republik machte insbesondere auf eine Sicherheitsprüfung der Plattform durch IT-Spezialisten aufmerksam, die diverse Schwachstellen gefunden hatten. Diese Schwachstellen teilte sie dem EDÖB in Form eines Ergebnisreports mit. Im Wesentlichen wurde folgendes bemängelt (siehe hierzu die Berichterstattung der Republik):

  • Umfassende Zugriffsrechte: Jede Medizinfachperson, die auf der Plattform registriert war, hatte umfassenden Zugriffsrechte auf die Impf- und Gesundheitsdaten sämtlicher erfasster Personen. Es bestand so das Risiko, dass die covid­relevanten Impfdaten einfach manipuliert werden.
  • Mangelhafte Überprüfung: Bei der erstmaligen Anmeldung als Medizinfachperson fand keine eigentliche Identitätsprüfung statt. Die Verifikation basierte allein auf den Informationen des Antragstellers. Jedermann konnte sich als «Arzt» ausgeben.
  • Sicherheitslücken: Hackerinnen konnten relativ leicht die Covid-Impfausweise sämtlicher bisher geimpfter Personen auf der Plattform erbeuten. Mit etwas technischem Wissen wäre es zudem möglich gewesen, die Impfdaten und weitere Gesundheitsdaten zu manipulieren.

Der EDÖB prüfte die von der Republik erhobenen Vorwürfe und die ihm zugänglichen Informationen zunächst summarisch. Nach Rücksprache mit dem Nationalen Zentrum für Cybersicherheit (NCSC) kam er zum Schluss, dass die angezeigten Verletzungen plausibel sind. Daraufhin eröffnete er gestützt auf Art. 29 DSG ein Verfahren gegen die Stiftung, welche die Plattform gleichentags vom Netz nahm. Die Abklärungen liefen bis zum 7. Juli 2021 und fokussierten sich insbesondere auf die Frage, ob die Datenintegrität auf der Plattform sichergestellt ist.

Zudem wurde der EDÖB im Verlauf der Untersuchungen von betroffenen Bürgern darauf aufmerksam gemacht, dass diese ihre Auskunfts- und Löschbegehren gegenüber der Stiftung nicht erfolgreich geltend machen konnten. Scheinbar hatte die Stiftung für Auskunftsbegehren nach Art. 8 DSG eine beglaubigte Ausweiskopie verlangt und die betroffenen Personen an den Kosten der Auskunftserteilung beteiligt.

EDÖB identifiziert technische Schwachstellen

Aus technischer Sicht wurden durch den EDÖB (in Zusammenarbeit mit externen Spezialisten) insgesamt 59 Schwachstellen identifiziert. Folgende Aspekte werden im Schlussbericht des EDÖB hervorgehoben:

  • Monitoring und Patches: Grundsätzlich sollte in IT-Systemen überwacht werden, ob alle Sicherheitseinstellungen korrekt sind und Patches und Updates korrekt eingespielt werden. Es existierte bei der Stiftung jedoch kein aktives Monitoring, insbesondere wurden Logs nicht automatisiert ausgewertet.
  • Protokollierung und Logging: Logdaten wurden durch die Stiftung nur für 30 Tage aufbewahrt. Zudem wurden die Daten nicht zentralisiert gespeichert und auch nicht automatisch ausgewertet. Es konnte so keine forensische Analyse durchgeführt werden, um bspw. festzustellen, ob Daten in der Vergangenheit manipuliert wurden.
  • Datenintegrität: Die Auswertung des Ergebnisreports zeigte gemäss EDÖB zudem, dass die Veränderung von auf der Plattform gespeicherten Daten durch Unbefugte mit einfachen Mitteln denkbar gewesen wäre. Der EDÖB zitiert hierbei den IT-Security Bericht des externen Dienstleisters, der kritisiert hatte, dass eine Gesundheitsperson unautorisiert die Daten von sämtlichen Patienten einsehen konnte. Somit musste ein Angreifer nur eine einzige Fachperson kompromittieren, um sämtliche Daten auf der Plattform auszulesen.

Rechtliche Würdigung und Empfehlungen des EDÖB

Der EDÖB würdigt diese Sachverhaltsfeststellungen mit Blick auf die datenschutzrechtlichen Vorgaben zur Datensicherheit in Art. 7 DSG i.V.m. Art. 8 ff. VDSG. Hiernach müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Wer Personendaten bearbeitet, muss für die Vertraulichkeit, Verfügbarkeit und die Integrität der Daten sorgen. Der EDÖB kommt aufgrund der Berichte zum Schluss, dass die Plattform veraltet war und dass die Schwachstellen auch besonders schützenswerte Personendaten betrafen. Da die Stiftung jedoch im Verlauf der Untersuchungen bekannt gab, die Plattform nicht mehr weiter zu betreiben, verzichtete der EDÖB auf Empfehlungen zur Datensicherheit.

Der EDÖB wiederholt zudem die Feststellungen, dass aufgrund der mangelhaften Protokollierung ein erhöhtes Risiko bestand, dass die Datenintegrität nicht gewährleistet war. Er empfiehlt daher, dass die Stiftung die Datenrichtigkeit der bearbeiteten Daten sicherstellen muss.

Der EDÖB verweist in Bezug auf das Auskunftsrecht darauf, dass die Kostenbeteiligung betroffener Personen die Ausnahme darstellt. Gemäss seiner Ansicht sei vorliegend keine Ausnahmekonstellation gegeben und er empfiehlt der Stiftung, die Kosten den betroffenen Personen zurückzuerstatten. Zudem solle die Stiftung die betroffenen Personen über die mögliche Beeinträchtigung der Datenrichtigkeit informieren. Gemäss Medienberichten hatte die Stiftung im September 2021 eine praktikable Lösung gefunden, mit der die Nutzer wieder Zugriff auf Ihre Daten gehabt hätten, wobei nicht öffentlich kommuniziert wurde, wie diese Lösung aussah (siehe die Berichterstattung des SRF). Als die Stiftung Anfang November jedoch damit anfing, den Nutzerinnen und Nutzern der Plattform deren Impfdaten als Anhang einer unverschlüsselten E-Mail zukommen zu lassen, publizierte der EDÖB eine Stellungnahme, dass dieses Vorgehen nicht mit ihm abgesprochen sei. Weitere Schritte unternahm der EDÖB (soweit ersichtlich) diesbezüglich aber nicht.

Schliesslich empfahl der EDÖB der Stiftung, die betroffenen Personen über den Ablauf und die technische Umsetzung der Einstellung der Plattform zu informieren. Sie solle gegenüber den betroffenen Personen nachweisen, wie die datenschutzrechtlichen Anforderungen eingehalten werden, insb. was mit den Daten geschehe.

Würdigung

Der vorliegende Schlussbericht zeigt, dass der EDÖB bereits unter dem geltenden Datenschutzgesetz relativ rasch und effektiv gegen private Unternehmen tätig werden kann. Das Verfahren veranschaulicht auch die nicht zu unterschätzende Belastung sowie das Reputationsrisiko für Unternehmen, insbesondere da sie (wie vorliegend geschehen) in Fällen von allgemeinem Interesse in den publizierten Schlussberichten namentlich genannt werden können (siehe Art. 30 Abs. 2 DSG).

Gerade weil der Fall von allgemeinem Interesse ist, muss doch kritisch bemerkt werden, dass der vorliegende Schlussbericht etwas oberflächlich bleibt. Die Ausführungen zu den technischen Versäumnissen bleiben eher vage, der EDÖB verweist stattdessen auf die Feststellungen und Berichte der IT-Experten und übernimmt deren Schlussfolgerungen. Sowohl das DSG als auch das VDSG schreiben keine konkreten technischen und organisatorischen Massnahmen vor und so wäre es für die Praxis interessant zu wissen, welche Massnahmen im vorliegenden Fall getroffen wurden, wieso diese aus Sicht des EDÖB ungenügend waren und welche Massnahmen er als dem konkreten Risiko angemessen erachtet hätte.

So war bspw. die Authentifizierung der Medizinfachpersonen scheinbar ungenügend, ob aber eine Zwei-Faktor-Authentifizierung erforderlich bzw. ausreichend gewesen wäre, bleibt offen. Ebenso unklar bleibt, welche Massnahmen mit Blick auf die Datenrichtigkeit genau verlangt werden. Vorliegend war es sicherlich auch die Summe der Unzulänglichkeiten, die zur Verletzung dieses Prinzips führte, dennoch lässt sich aus dem Schlussbericht für andere Unternehmen im Gesundheitsbereich so kaum etwas herleiten. Etwas merkwürdig ist zudem, dass Art. 10 VDSG explizit vorschreibt, dass Logfiles bei der Bearbeitung von besonders schützenswerten Daten mindestens ein Jahr revisionssicher aufbewahrt werden müssen. Diese Pflicht wurde vorliegend mit der Aufbewahrungsdauer von 30 Tagen wahrscheinlich verletzt, der EDÖB lässt diese Bestimmung aber unerwähnt.

Unter dem revidierten Datenschutzgesetz werden die Kompetenzen des EDÖB gestärkt (siehe dazu MLL-News vom 19. Oktober 2020) und es ist zu erwarten, dass dieser mehr Personal erhalten wird. Es ist daher vermehrt mit Verfahren gegen Unternehmen zu rechnen. Selbst wenn die Ausführungen des EDÖB für die Praxis nicht viele konkrete Erkenntnisse bereithalten, sollten gerade Unternehmen, die mit Gesundheitsdaten zu tun haben, mit Blick auf das revidierte Datenschutzgesetz sicherstellen, dass sie ihre IT-Systeme und Datenschutz-Compliance in regelmässigen Abständen evaluieren und an den neuesten Stand der Technik anpassen.

 

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.