Im März 2021 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) ein Verfahren gegen die Stiftung Meineimpfungen eröffnet. Die Betreiberin des "digitalen Impfbüchleins" musste damals ihre Plattform vom Netz nehmen, da erhebliche Sicherheitsmängel entdeckt worden waren. Ab diesem Zeitpunkt hatten die User keinen Zugriff mehr auf ihre Impfdaten und mussten stattdessen ein Auskunfts- oder Löschbegehren an die Betreiber der Plattform richten.

Nun hat der Datenschützer seinen Schlussbericht veröffentlicht: "Dem Edöb ist aufgrund von schriftlichen und telefonischen Anfragen betroffener Bürgerinnen und Bürgern bekannt, dass viele gesuchstellende Personen sodann keine Impfdaten erhalten haben bzw. ihr Auskunfts- und auch Löschungsbegehren nicht erfolgreich geltend machen konnten", heisst es dort. Die Stiftung hat nach eigenen Angaben keine Kenntnis davon, räumt aber ein, dass die Bearbeitung von Gesuchen teilweise länger als 30 Tage in Anspruch nahm.

Mitte Juli implementierte man seitens der Plattformbetreiber ein Online-Formular, mit dem User Zugriff auf ihre Daten erwirken konnten und erfüllte damit eine Forderung des Edöb. Mittlerweile ist das Makulatur: Die Stiftung hat im August den Betrieb eingestellt und behandelt keine Begehren mehr. Stattdessen verhandelt sie mit dem Bundesamt für Gesundheit (BAG) und dem Edöb darüber, wie man die Daten der User retten kann.

Für die Entwicklung und den technischen Betrieb der Plattform zeichnete die Firma Arpage im zürcherischen Küsnacht verantwortlich. Am Freitagnachmittag war sie telefonisch nicht erreichbar. Laut Edöb-Bericht erklärte sie gegenüber der Betreiberstiftung, ihr Rechenzentrum werde nach ISO/IEC 270001-Standard betrieben. Die Komponenten seien aktualisiert und die Daten verschlüsselt worden. Weiter führe die Firma Netchange Informatik wöchentliche Kontrollen sowie regelmässige Penetrationstests durch.

Die Firma Compass Security hatte aber in Tests im Frühling insgesamt 59 Schwachstellen aufgespürt. Diese war von der Stiftung Meineimpfungen damit beauftragt worden, nachdem die 'Republik' krasse Mängel der Plattform bekannt gemacht hatte. Gestützt auf den Bericht von Compass schreibt der Datenschützer nun: Es "existiert kein aktives Monitoring und damit auch keine Alarmierung". Angriffe oder Angriffsversuche hätten demnach gar nicht erkannt werden können. Zudem seien Komponenten eingesetzt worden, die zum Teil nicht mehr unterstützt würden und in denen bekannte Schwachstellen klafften. "Das bedeutet, dass Unbefugte ohne Weiteres Zugriff auf vorhandene Daten gehabt haben können", so der Edöb.

Im Bericht des Datenschützers wird auf ein Dokument mit dem Titel "lncident Report GTA" verwiesen, mit dem die Frage nach der Integrität der Daten, ihrer Manipulation oder einem Diebstahl beantwortet werden könne. Darin enthalten: Logdaten und Loganalyse. "Das Dokument wurde dem Edöb jedoch nicht übermittelt", heisst es vom Datenschützer. Auf Nachfrage und dem Hinweis, er müsse in die Loganalyse einsehen können, erhielt er von der Stiftung die Auskunft, dass das Dokument nicht vorhanden sei. "Das erwähnte Dokument beziehungsweise der erwähnte 'Incident Report GTA' liegt unserer Mandantin noch nicht in einer fertiggestellten Fassung vor", heisst es in einem Schreiben der Anwaltskanzlei Steiger Legal, die Meineimpfungen vertritt.

Das ist nicht erstaunlich. Das Logging-Verfahren wurde fahrlässig gehandhabt: Die Logdaten wurden nur für 30 Tage aufbewahrt, nicht zentral gesammelt und auch nicht vor Manipulation geschützt. Ausserdem mangelte es an automatischer Auswertung, um Anomalien festzustellen. Dies geht aus der Analyse der Firma Compass Security hervor. Diese moniert, dass keine forensische Analyse durchgeführt werden konnte, weil "keine auswertbaren Log-Daten vorhanden sind, da die Quantität und Qualität der wenigen vorhandenen Logdaten unzureichend sind".

Meineimpfungen betont derweil, dass keinerlei Anzeichen für einen Verstoss gegen die Datenintegrität vorliegen würden. "Die Stiftung konnte diese Aussage jedoch nicht belegen", hält der Edöb fest. Ein Fragenkatalog, den er der Betreiberin in der Folge zustellen liess, sei nur "teilweise aussagekräftig" beantwortet worden. "Folglich geht der Edöb davon aus, dass die Datenintegrität Risiken ausgesetzt war und möglicherweise nicht mehr gegeben ist."

Angesichts des Loggings dürfte sich ein Nachweis auch künftig kaum erbringen lassen. Ende März meldete jemand der Stiftung, dass Daten von meineimpfungen.ch im Darknet aufgetaucht seien. Dies habe sich aber als Falschmeldung herausgestellt, wie Abklärungen der Kantonspolizei Zürich und der SCIP AG ergeben haben, heisst es von der Stiftung.