Stiftung Meineimpfungen verschickt unverschlüsselte Impfdossiers

om, sda

9.11.2021 - 09:49

So sah das einmal aus: Internationales Impfbüchlein und Blick auf die elektronische Version der Stiftung Meineimpfungen. (Archivbild)
Keystone

Der Konsumentenschutz erhebt schwere Vorwürfe gegen die Stiftung Meineimpfungen. Nach grossen technischen Mängeln schicke diese sensible Impfdaten so zurück, dass Dritte schützenswerte Personendaten abgreifen könnten. Dieses «stümperhafte» Vorgehen müsse aufhören.

om, sda

9.11.2021 - 09:49

Die Sendung der Impfdaten an die Nutzerinnen und Nutzer erfolgte am Freitagabend über unverschlüsselte E-Mails mit angehängter Zip-Datei, wie der Konsumentenschutz am Dienstag mitteilte. Der Versand erfolgte über eine zuvor unbekannte E-Mailadresse. Bei vielen Adressaten landen die Mails darum im Spam-Ordner.

Andere Empfängerinnen und Empfänger erhielten die Benachrichtigungen gar nicht, da die Firewall die suspekten Mails abfing und nicht zustellte. Gemäss dem Konsumentenschutz widerspricht das «laien- und stümperhafte Vorgehensweise der Stiftung» grundlegenden Anforderungen an den Datenschutz.

Gefährdete Personendaten

Die unverschlüsselten E-Mails mit Anhang können von Dritten abgefangen und gelesen werden, macht der Konsumentenschutz geltend. Die auf meineimpfungen.ch eingetragenen Daten seien Gesundheits- und damit besonders schützenswerte Personendaten.

Weiter gibt Meineimpfungen gemäss dem Konsumentenschutz an, offene Fragen seien mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) und der Eidgenössischen Stiftungsaufsicht geklärt. Die beiden Stellen gaben aber an, sie seien weder informiert worden noch hätten sie das Vorgehen abgesegnet.

Der Edöb und das Bundesamt für Gesundheit (BAG) hatten Lösungen für die datenschutzkonforme Rückgabe der Daten des elektronischen Impfbüchleins der Stiftung gesucht und eine Lösung lag auf dem Tisch. Mit dem Versand der unverschlüsselten E-Mails habe Meineimpfungen die Datenschutz-Bedingungen «ignoriert und die Lösung des BAG sabotiert», stellte der Konsumentenschutz fest.

Verzögerunsmanöver vermutet

«Verblüfft» ist der Konsumentenschutz weiter, weil Meineimpfungen noch im April Auskunfts- und Löschungsbegehren nur mit beglaubigter Ausweiskopie bearbeiten wollte. Das ist gemäss Datenschutzgesetz nicht nötig. So kommt beim Konsumentenschutz der Verdacht eines Verzögerungsmanövers auf.

Der Konsumentenschutz fordert die Aufsichtsstellen auf, das Vorgehen der Stiftung zu stoppen. Sollten noch nicht alle Impfdaten verschickt sein, müssten datenschutzkonforme Lösungen gefunden werden. Und die Verantwortlichen von Meineimpfungen müssten sanktioniert werden, denn es gehe nicht an, dass sie nach einem solchen Scherbenhaufen ungeschoren davonkommen.

Auf der Internetseite schrieb Meineimpfungen am 5. November, die Stiftung habe die im Frühling beim BAG beantragten Gelder nicht erhalten, könne die Daten aber jetzt dank eines anonymen Spenders zurück schicken.

Zudem warnte die in Liquidation stehende Stiftung, dass die Mails im Spam-Ordner landen könnten. Die Nutzerinnen und Nutzer sollten ihre Daten überprüfen und im Zweifelsfall ihren Arzt kontaktieren.

Die Stiftung war am Dienstag für eine Stellungnahme nicht erreichbar. Auf eine E-Mail-Anfrage hiess es lediglich, aufgrund der finanziellen Lage sei die operative Tätigkeit eingestellt.

om, sda