Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten

Berlin taz | Durch zwei neue Sicherheitslücken im Gesundheitsbereich können die Daten von insgesamt mehreren Millionen Menschen in unbefugte Hände geraten sein. So machten WDR und Süddeutsche Zeitung eine umfassende Sicherheitslücke bei einem Betreiber mehrerer Dutzend Coronaschnelltestzentren bekannt, die IT-Expert:innen der Gruppe Zerforschung entdeckt haben.

Demnach waren rund 175.000 PDF-Dateien mit Buchungsbestätigungen oder Testergebnissen im Internet abrufbar. Die Dateien enthielten unter anderem Namen, ­Ge­burtsdaten, Adressen, Telefon- und, soweit angegeben, auch Personalausweisnummern. Betroffen sein sollen mehrere 10.000 Menschen. Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen gab an, den Fall zu prüfen.

Datenschutz- und Sicherheitsprobleme beim Schnelltestzentren sind ein bekanntes Problem: Die IT wird anscheinend ähnlich schnell aufgebaut, wie die Teststellen selbst. Vorgaben wie Privacy by Design, das die Datenschutz-Grundverordnung vorsieht und wonach nur so viele Daten wie unbedingt nötig erhoben werden dürfen, werden dabei nur selten beachtet.

Häufig zeigen die Sicherheitslücken, dass außerdem grobe Programmierfehler gemacht werden, die dazu führen, dass persönliche Gesundheitsdaten von Getesteten ungeschützt im Netz abrufbar sind.

Millionen von Doctolib-Terminen frei im Netz

Im zweiten Fall geht es um Daten von Patient:innen, die Termine über das Portal Doctolib buchen. Laut einem Bericht von Zeit Online wurden dem Chaos Computer Club Daten zugespielt, die zeigten, dass ein Datensatz von 150 Millionen Terminvereinbarungen für Unbefugte frei im Internet zugänglich gewesen sein soll. Erst Mitte vergangenen Jahres sei die Lücke geschlossen worden.

Die Datenbank soll teilweise bis ins Jahr 1990 zurückreichen. Das ist grundsätzlich plausibel, da Doctolib bei teilnehmenden Praxen teilweise auch Termine aus der Vergangenheit ausliest. Gegenüber Zeit Online bestritt Doctolib den Umfang der Sicherheitslücke, eine Anfrage der taz ließ das Unternehmen bis Redaktionsschluss offen.

Doctolib ist bereits länger im Visier von Datenschützer:innen. Der Verein Digitalcourage verlieh der Plattform kürzlich einen Negativpreis. Und die Berliner Datenschutzbeauftragte gab auf Anfage der taz an, dass bereits Beschwerdeverfahren laufen würden.

Dabei gehe es sowohl um Doctolib direkt als auch um Praxen, die den Dienst einsetzen. Auch die „Einbindung von Doctolib im Rahmen des Impfmanagements“ sei Gegenstand von Verfahren – das Unternehmen wickelt für das Land Berlin die Vergabe von Impfterminen und die Dokumentation der Impfungen ab. Damit liegen unter anderem die Anamnesebögen – auf denen beispielsweise Vorerkrankungen und Allergien angegeben werden müssen, in der Hand von Doctolib.