Datenleck
Meineimpfungen.ch: Datenschützer empfiehlt die Löschung aller Daten

Eigentlich hätten die Impfdaten von der Plattform meineimpfungen.ch verkauft werden sollen. Davon rät der oberste Datenschützer nun ab, weil Datenmängel bis heute nicht behoben wurden. Das BAG bedauert dies, die Stiftung für Konsumentenschutz bezeichnet es als «Fiasko».

Ann-Kathrin Amstutz
Drucken
Der oberste Datenschützer Lobsiger will die Löschung aller Daten der Impfplattform meineimpfungen.ch.

Der oberste Datenschützer Lobsiger will die Löschung aller Daten der Impfplattform meineimpfungen.ch.

Keystone

Die Geschichte um das digitale Impfbüchlein meineimpfungen.ch ist um ein unrühmliches Kapitel reicher. Im November 2021 war über der Stiftung meineimpfungen, welche die digitale Impfplattform meineimpfungen.ch betrieben hatte, der Konkurs eröffnet worden.

In der Konkursmasse befinden sich besonders schützenswerte Personendaten der Nutzerinnen und Nutzer der Datenplattform. Das zuständige Konkursamt Bern-Mittelland plante, die Personendaten an ein privates Unternehmen zu verkaufen.

Daraus wird nun nichts: Der eidgenössische Datenschützer Adrian Lobsiger empfiehlt dem Konkursamt, vom Verkauf abzusehen und alle Impfdaten der Plattform meineimpfungen.ch zu löschen. Dies gab der Datenschützer am Dienstag in einer Mitteilung bekannt. Bereits im September 2021 hatte Lobsiger schwerwiegende technische Mängel festgestellt, die das ganze Angebot der Plattform betrafen. Die Sicherheit sei nicht gewährleistet gewesen.

Schwerwiegende Datenmängel wurden bis heute nicht behoben

Im März 2021 war bekannt geworden, dass es auf der Impfplattform meineimpfungen.ch zu möglichen Datenschutzverletzungen gekommen sein soll. Daten von hunderttausenden Menschen sollen für Hacker einfach zugänglich gewesen sein. Darauf hin wurde die Plattform vom Netz genommen. Der Datenschutzbeauftragte Lobsiger leitete ein Verfahren ein.

Bis heute seien die Mängel nicht behoben worden, schreibt der Datenschützer in der aktuellen Mitteilung. In der langen Zeitspanne seit Feststellung der Mängel hätten die Verantwortlichen keinen Weg gefunden, um die Daten den berechtigten Nutzerinnen und Nutzern in einer datenschutzrechtlich vertretbaren Weise zur Verfügung zu stellen, heisst es weiter. Der Datenschützer müsse deshalb annehmen:

«Jede weitere Datenbearbeitung würde zu Persönlichkeitsverletzungen führen, welche die Nachteile einer Datenlöschung überwiegen.»

Der oberste Datenschützer erinnerte weiter daran, dass die Stiftung anfangs November 2021 einen «rechtswidrigen Teilversand» der Daten durchgeführt habe. Damit habe sie sich über die Empfehlungen des Datenschützers hinweggesetzt.

Es gelte nun zu verhindern, dass unter dem zeitlichen Druck des insolvenzrechtlichen Verwertungsverfahrens Entscheidungen getroffen werden, welche die bereits geschehenen Verletzungen der Privatsphäre und informationellen Selbstbestimmung noch übermässig verstärken würden.

Das Bundesamt für Gesundheit bedauert die Löschung

Der Antrag des Datenschützers, alle Impfdaten zu löschen, ist nicht im Sinne des Bundesamt für Gesundheit (BAG). Seit der Deaktivierung der Plattform sei das BAG mit der Stiftung in Kontakt geblieben. Es habe seine Dienste angeboten, um die Rückgabe der Impfdaten an die Nutzerinnen und Nutzer sicher und zuverlässig abzuwickeln, schreibt das BAG am Dienstag in einer Mitteilung. Doch da die Stiftung anschliessend in Liquidation ging, sei der Spielraum zur Lösungsfindung eingeschränkt gewesen.

Dennoch habe sich das Bundesamt weiter bemüht, eine Lösung für die fast 300'000 betroffenen Nutzerinnen und Nutzer zu finden. Vergebens:

«Das BAG bedauert, dass Tausende von Nutzerinnen und Nutzer ihre Impfdaten verlieren werden.»

Stiftung für Konsumentenschutz: «Ein Armutszeugnis für den Rechtsstaat»

Die Stiftung für Konsumentenschutz bezeichnete den Fall in einer Mitteilung vom Dienstagabend als «Desaster sondergleichen». Das Scheitern aller Beteiligten habe nur Konsequenzen für die Konsumentinnen und Konsumenten, die schlussendlich all ihre Impfdaten verlieren würden, liess sich Geschäftsleiterin Sara Stalder zitieren:

Sara Stalder, Geschäftsleiterin der Stiftung für Konsumentenschutz.

Sara Stalder, Geschäftsleiterin der Stiftung für Konsumentenschutz.

Keystone
«Alle, die gewurstelt haben und sich unkooperativ verhielten, werden vermutlich ungeschoren davonkommen.»

Der Fall zeige, dass es in der Schweiz möglich sei, hochsensible Gesundheitsdaten zu sammeln und unsicher zu horten. Es sei sogar möglich, dass die Datenbank nicht weitergeführt wird und die Daten unwiderruflich verloren gehen, ohne dass Konsequenzen folgen. «Das ist ein Schlag ins Gesicht der betroffenen Nutzerinnen und Nutzer und ein Armutszeugnis für den Rechtsstaat», so Stalder.