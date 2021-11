meineimpfungen.ch Elektronisches Impfbüchlein: Daten unverschlüsselt per Mail verschickt Endlich erhielten die Kunden der Plattform meineimpfungen.ch ihre Impfdaten zugestellt. Doch war die Stiftung allzu voreilig? Der Eidgenössische Datenschutzbeauftragte kritisiert, der unverschlüsselte Versand per Mail sei nicht datenschutzkonform. Er hat die Stiftung gebeten, sofort damit aufzuhören. Anna Wanner 09.11.2021, 05.00 Uhr

Den Nachweis einer Impfung digital festzuhalten, war bisher in der Schweiz keine gute Idee. Michael Buholzer / KEYSTONE

Nach Monaten der Ungewissheit verschickt die Stiftung meineimpfungen.ch ihren Kunden eine Mail mit guten Nachrichten: Die Stiftung könne die von den Kunden auf der Plattform gespeicherten und seit Monaten blockierten Impfdaten nun per Mail zuzustellen. Möglich sei dies dank einer «anonymen Spende». Um wie viel Geld es sich handelt oder ob der Spender eine Privatperson ist, will die Stiftung nicht preisgeben. Nur dies: Die Behörden haben nicht zu einer Lösung beigetragen, wie die Stiftung schreibt:

«Wir haben die beim Bundesamt für Gesundheit beantragte finanzielle Unterstützung für die Rückgabe der Daten an die Nutzerinnen und Nutzer leider nicht erhalten.»

Trotzdem freue sich die Stiftung, die Daten nun den Kunden endlich übermitteln zu können. Dem Kundenmail sind drei Dokumente angehängt:

der Impfausweis (Impfungen von Fachperson geprüft)

die Liste aller Impfungen (ungeprüft)

eine Datei mit allen erfassten medizinischen Informationen und Impfungen

Und falls jemand leere Dokumente erhalten haben sollte, bedeute dies, dass auf der Impfplattform gar nie Impfungen eingetragen worden seien, schreibt die Stiftung.

Öffentlichkeitsbeauftragter verlangt Stopp des Versands

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte reagiert ungehalten auf das Vorgehen der Stiftung:

«Der unverschlüsselte Versand von Gesundheitsdaten per E-Mail ist nicht datenschutzkonform.»

Doch Kritik alleine reicht in diesem Fall nicht. Der Datenschutzbeauftragte gibt an, mit der Stiftung Kontakt aufgenommen und diese aufgefordert zu haben, die Übermittlung der Impfdaten per sofort einzustellen. Und: Die Zustellung dieser sensiblen Informationen sei an datenschutzrechtliche Vorgaben anzupassen.

Mutmasslich kommt diese Intervention zu spät. Die Stiftung hat die Mails am 5. November verschickt.

Was passiert mit den Löschanträgen?

Weiterhin unklar bleibt laut Datenschützer wie mit hängigen Löschgesuchen umgegangen wird und ob die Rechte der Gesuchsteller gewährleistet werden können. Ende August, als die Stiftung ihre Tätigkeit komplett einstellte, standen noch 500 Löschbegehren aus.

Und schliesslich, so schreibt der Datenschutzbeauftragte, stimme es auch nicht, dass er die von der Stiftung gewählte Lösung genehmigt habe, die Daten per Versand zu verschicken. Die Stiftung schreibt im Email aber: «Wir konnten offene Fragen mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und mit der Eidgenössischen Stiftungsaufsicht klären.»

Der Datenschützer hält dagegen fest:

«Eine Beratung der Stiftung in Bezug auf das nun gewählte Vorgehen hat nicht stattgefunden.»

Die Behörden ziehen sich aus der Verantwortung

Es ist die neueste Wende in einem höchst bizarren Hickhack zwischen den Betreibern der Plattform meineimpfungen.ch und den Behörden, die bis vor Kurzem an der Plattform beteiligt waren. Im Zuge der Covid-Impfung hätten die Funktionen des elektronischen Impfbüchleins erweitert werden sollen. Da wurden Anfang Jahr Sicherheitslücken publik. Die Plattform zählte damals rund 400'000 Nutzerinnen und Nutzer.

Das Bundesamt für Gesundheit distanzierte sich vom Projekt und half auch bei der Finanzierung nicht mehr mit. Die Partner der Stiftung, der Ärzteverband FMH und der Apothekerverband Pharmasuisse, pumpten 600'000 Franken in die Stiftung, um möglichst viele Auskunftsbegehren und Löschanträge doch noch zu bearbeiten. Es reichte nicht.

Ende August informierte die Stiftung, dass die finanzielle Situation es nun nicht mehr erlaube, die Plattform meineimpfungen.ch überhaupt zu betreiben. Das bedeutete, dass sämtliche Daten der Plattform zwar sicher aufbewahrt, aber nicht mehr bearbeitet werden konnten.

Bis im September ging die Stiftung noch davon aus, mit den Behörden eine Lösung zu finden, wie aus einem E-Mail an die Kunden hervorgeht. Die Stiftung habe mehrere Lösungen vorgeschlagen, etwa finanzielle Unterstützung oder die Hilfe von einem IT-Unternehmen. Das BAG bestätigt diese Anfragen. Erklärt aber:

«Das BAG subventioniert keine Stiftungen in Liquidation.»

Das Bundesamt gibt an, seine Dienste angeboten zu haben, um eine sichere Lösung für die Kunden zu finden.

Doch dann lief etwas schief. Das BAG schreibt:

«Die Diskussionen waren noch im Gange, als die Stiftung einseitig beschloss, die Impfdaten an die Nutzerinnen und Nutzer zurückzugeben, ohne die vom Datenschutzbeauftragten vorgegebenen Datenschutzbestimmungen zu beachten, was das BAG bedauert.»

Das BAG schreibt weiter, es hätte eine Lösung gehabt, um alle Daten bis Ende Jahr auf sichere Weise an die Nutzenden zurückzugeben.

Auch der Datenschutzbeauftragte, der das BAG für eine «datenschutzverträgliche Lösung» beraten hatte, zeigt sich «erstaunt», dass seine Beratung offenbar keine Wirkung zeigte.

Wieso die Stiftung das Heft letztlich selbst in die Hand genommen hatte und die Mails unverschlüsselt verschickte, ist unklar. Sie beantwortet keine Fragen.