Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten

IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern. Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein.

Ein Fahradfahrer auf einem Gelände einer Teststation

Eine Corona-Teststation in München Foto: Sven Hoppe/dpa

BERLIN taz | Durch zwei neue Sicherheitslücken im Gesundheitsbereich können die Daten von insgesamt mehreren Millionen Menschen in unbefugte Hände geraten sein. So machten WDR und Süddeutsche Zeitung eine umfassende Sicherheitslücke bei einem Betreiber mehrerer Dutzend Coronaschnelltestzentren bekannt, die IT-Expert:innen der Gruppe Zerforschung entdeckt haben.

Demnach waren rund 175.000 PDF-Dateien mit Buchungsbestätigungen oder Testergebnissen im Internet abrufbar. Die Dateien enthielten unter anderem Namen, ­Ge­burtsdaten, Adressen, Telefon- und, soweit angegeben, auch Personalausweisnummern. Betroffen sein sollen mehrere 10.000 Menschen. Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen gab an, den Fall zu prüfen.

Datenschutz- und Sicherheitsprobleme beim Schnelltestzentren sind ein bekanntes Problem: Die IT wird anscheinend ähnlich schnell aufgebaut, wie die Teststellen selbst. Vorgaben wie Privacy by Design, das die Datenschutz-Grundverordnung vorsieht und wonach nur so viele Daten wie unbedingt nötig erhoben werden dürfen, werden dabei nur selten beachtet.

Häufig zeigen die Sicherheitslücken, dass außerdem grobe Programmierfehler gemacht werden, die dazu führen, dass persönliche Gesundheitsdaten von Getesteten ungeschützt im Netz abrufbar sind.

Millionen von Doctolib-Terminen frei im Netz

Im zweiten Fall geht es um Daten von Patient:innen, die Termine über das Portal Doctolib buchen. Laut einem Bericht von Zeit Online wurden dem Chaos Computer Club Daten zugespielt, die zeigten, dass ein Datensatz von 150 Millionen Terminvereinbarungen für Unbefugte frei im Internet zugänglich gewesen sein soll. Erst Mitte vergangenen Jahres sei die Lücke geschlossen worden.

Die Datenbank soll teilweise bis ins Jahr 1990 zurückreichen. Das ist grundsätzlich plausibel, da Doctolib bei teilnehmenden Praxen teilweise auch Termine aus der Vergangenheit ausliest. Gegenüber Zeit Online bestritt Doctolib den Umfang der Sicherheitslücke, eine Anfrage der taz ließ das Unternehmen bis Redaktionsschluss offen.

Doctolib ist bereits länger im Visier von Datenschützer:innen. Der Verein Digitalcourage verlieh der Plattform kürzlich einen Negativpreis. Und die Berliner Datenschutzbeauftragte gab auf Anfage der taz an, dass bereits Beschwerdeverfahren laufen würden.

Dabei gehe es sowohl um Doctolib direkt als auch um Praxen, die den Dienst einsetzen. Auch die „Einbindung von Doctolib im Rahmen des Impfmanagements“ sei Gegenstand von Verfahren – das Unternehmen wickelt für das Land Berlin die Vergabe von Impfterminen und die Dokumentation der Impfungen ab. Damit liegen unter anderem die Anamnesebögen – auf denen beispielsweise Vorerkrankungen und Allergien angegeben werden müssen, in der Hand von Doctolib.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de