«Stümperhaft»: Meineimpfungen verschickt unverschlüsselte Impfdaten

Wie kürzlich bekannt wurde, gibt die Stiftung «Meineimpfungen» die Daten des «schweizerischen elektronischen Impfausweises» an die User zurück. Lange war nicht klar, ob diese für immer verloren sind. Nun sorgt aber gerade die eigentlich frohe Kunde für Missstimmung. Die Konsumentenstiftung schreibt in einer Mitteilung deutlich: «Der Konsumentenschutz fordert die involvierten Akteure auf, die laien- und stümperhafte Vorgehensweise der Stiftung zu stoppen».

Was ist geschehen? Die Stiftung begann am 5. November ohne Vorankündigung oder Rücksprache mit Betroffenen, die Daten per E-Mail an ehemalige User ihrer Plattform zu senden – und zwar als unverschlüsseltes ZIP-Archiv. Im Resultat könnten die sensiblen persönlichen Informationen von Unbefugten abgefangen und eingesehen werden, so der Konsumentenschutz. Persönliche Gesundheitsdaten gelten als besonders schützenswert.

Besondere Brisanz verleiht dem neuerlichen Debakel aber eine Erklärung des BAG. Auf Anfrage von «Inside IT» schreibt die Behörde: Das BAG habe eine Lösung gehabt, wie alle Daten bis Ende Jahr auf sichere Weise an die Nutzenden zurückgegeben werden könnten. Die Diskussionen seien noch in Gang gewesen, als die Stiftung ihr Vorgehen einseitig beschlossen habe. Das BAG bedauere dies. Auch der Konsumentenschutz schreibt, die Stiftung habe «Lösung des BAG sabotiert».

Die Stiftung hat nun eigens eine Mitteilung aufgeschaltet: «Der E-Mail-Versand steht im Einklang mit dem schweizerischen Datenschutzrecht», wehrt sie sich darin. Zahlreiche positive Rückmeldungen würden zudem die Zufriedenheit der User belegen. Antworten auf kritische Nachfragen will die Stiftung aber nicht beantworten, da sie sich in Liquidation befindet, hiess es bereits Anfang November.

In der Auseinandersetzung geht es nicht mehr bloss um Meinungsverschiedenheiten. Offenbar schätzen die Stiftung und das BAG auch die faktischen Begebenheiten unterschiedlich ein: «Entgegen anderslautender Behauptungen», habe das BAG zahlreiche Anfragen unbeantwortet gelassen und erst am 28. Oktober einen ersten Terminvorschlag für eine Besprechung geschickt, behauptet die Stiftung. «Weder das Bundesamt für Gesundheit (BAG) noch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) waren bereit, die Stiftung direkt zu unterstützen».

Das BAG kann sich tatsächlich nicht aus der Verantwortung stehlen. Schliesslich wurde die Plattform im Auftrag des Bundesamtes betrieben. «Diesen Sommer hat die Stiftung Meineimpfungen dem BAG ein Gesuch um finanzielle Unterstützung geschickt. Kurze Zeit später beantragte sie die Liquidation», so das BAG. Man finanziere keine Stiftung in Liquidation, habe aber Unterstützung für eine Lösung angeboten, die den Datenschutz wie auch finanzielle Bedürfnisse berücksichtigen würden.

«Einmal mehr zeigt sich, dass die Stiftung Meineimpfungen sich einen Deut um den Datenschutz schert und ihrer Aufgabe überhaupt nicht gewachsen ist», hält der Konsumentenschutz fest. Die Organisation fordert nun Sanktionen gegen die Stiftung. «Es darf nicht sein, dass sie einen solchen Scherbenhaufen hinterlassen können, ohne zur Verantwortung gezogen zu werden», schliesst die Mitteilung.