Vogt am Freitag: Die unendliche Geschichte

10. Mai 2024 um 11:48
image

Der Kanton Aargau hat der unendlichen Geschichte rund um Meineimfpungen.ch ein weiteres Kapitel hinzugefügt. Die Rückgabe der Impfdaten hat begonnen – ich habe es ausprobiert.

Um zu verstehen, worum es beim Fall meineimfpungen.ch geht, kommen wir um eine (kurze), chronologische Abhandlung nicht herum. Spoiler: Es ist eine (kleine) Horrorshow. Wer sie bereits kennt, kann zum "Selbstversuch" weiter unten springen.

Eine Horrorshow in fünf Akten

2015: Die Plattform meineimfpungen.ch soll das Impfbüechli digitalisieren und ersetzen. Hinter der Idee steckt das Bundesamt für Gesundheit, verwaltet wird die Plattform von einer Stiftung. Wirklich dafür interessieren tut sich knapp fünf Jahre lang fast niemand.
2020: Wegen Covid verfünffacht sich die Anzahl registrierter Nutzerinnen und Nutzer von 100'000 auf 450'000. Auch ich lege ein Konto an und speichere meine Impfdaten. Diese werden bei einer privaten Firma gehostet; Datenschutz wird kleingeschrieben. "Wir sind nicht gewinnorientiert", heisst es damals. Das kann problemlos als "wir müssen uns keine Mühe geben" interpretiert werden.
2021: Unabhängige Security-Berater finden 59 Schwachstellen, die unter anderem SQL-Injection und Cross-Site-Scripting erlauben. Jede und jeder konnte sich als medizinische Fachperson registrieren. Adressen, Telefonnummern, Geburtsdaten, Krankenkasseninformationen, Impfstatus waren einsehbar und veränderbar. Im gleichen Jahr wird die Plattform offline genommen, der Betrieb eingestellt und die Stiftung liquidiert. Später erhalten Nutzerinnen und Nutzer ihre Daten zurück (finanziert durch eine anonyme Spende), allerdings in einer unverschlüsselten ZIP-Datei.
2022: Der Datenschutzbeauftragte will die Daten zunächst löschen lassen, tut das aber dann doch nicht. Das Parlament lanciert ein Nachfolgeprojekt.
2023: Der Kanton Aargau beziehungsweise dessen Stammgemeinschaft für das elektronische Patientendossier sichert sich die Daten und die Geschäftsprüfungskommission des Nationalrats findet alles zuvor Beschriebene irgendwie nur halb so wild. Im Mai startet die Datenrettung der Impfdaten, was 700'000 Franken kostet. Dabei werden die ehemaligen Nutzerinnen und Nutzer von meineimpfungen.ch nie gefragt, ob sie möchten, dass der Kanton Aargau Zugriff auf die Daten erhält.

Und nun im Jahr 2024?

Ende April hat die Datenrückgabe begonnen. Ehemalige Nutzerinnen und Nutzer der Plattform können ihre Impfdaten herunterladen, vernichten oder in ein E-Patientendossier übertragen. Die Stammgemeinschaft eHealth Aargau (Stehag) hat begonnen, entsprechende Informationen per E-Mail zu verschicken.
Auf meine Anfrage hin schreibt Michel Hassler, Kommunikationschef beim Departement Gesundheit und Soziales des Kantons Aargau, dass Stehag und sein Departement die Impfdaten retten wollten. Das Projekt habe 530'000 Franken gekostet, was von Bund und Kantonen finanziert worden sei. Es sei aber nicht darum gegangen, so Hassler, eine Promoaktion für die Stammgemeinschaft eHealth Aargau zu starten. Sondern eben um die Datenrettung. Naja.

Selbstversuch: Datenrettung von Meineimpfungen.ch

image
E-Mail zur Datenrückgabe
Als ehemaliger Nutzer von meineimpfungen.ch habe auch ich eine E-Mail der Stehag erhalten, wobei das nicht auf den ersten Blick ersichtlich ist. Ganz oben prangt ein "Emedo-Logo", das nicht klickbar ist. Google verrät mir dann, dass "Emedo" die EPD-Lösung für den Kanton Aargau ist. Das dürften viele komisch finden, die die Vorgeschichte nicht kennen und ausserhalb des Kantons Aargau zu Hause sind. Also viele. Darüber hinaus erinnert die E-Mail optisch eher an einen Phishing-Versuch denn an ein offizielles Anschreiben. Aber dies nur am Rande.
Ich hätte diese E-Mail ignoriert, würde ich nicht darüber schreiben wollen. Wer das auch tut (also ignorieren), dem wird versprochen, dass seine Daten am 30. Juni 2024 nun endgültig gelöscht werden. Alle anderen haben die Wahl, die Daten herunterzuladen, in ein EPD zu überführen oder ebenfalls zu löschen. Wer Letzteres will, kann sich den nun folgenden, nicht ganz unkomplizierten Prozess eigentlich sparen – einen Unterschied macht es nämlich nicht.
Nach dem Klick auf den Link für die Datenrückgabe musste ich zuerst meine E-Mail-Adresse bestätigen, anschliessend einen Account eröffnen (mit einem 16-stelligen Passwort), 2-Faktor-Authentifizierung einrichten und meine demografischen Daten (inklusive AHV-Nummer) angeben. Dies ist offenbar nötig, um die Daten im System zu matchen. Bei mir war dieser Abgleich erfolgreich und nach erneutem Einloggen erhielt ich Zugriff auf die App und konnte nun eben wählen, was ich mit meinen Impfdaten machen wollte: Downloaden, ins EPD transferieren oder löschen. Insgesamt halte ich diesen Prozess für stringent, durchdacht und, soweit ich das beurteilen kann, auch für sicher.

Datentransfer ins EPD klappt

Anschliessend probierte ich alle möglichen Schritte aus:
image
Screenshot: Meineimpfungen-App
  • Download: Ich lud die Impfdaten herunter. Auf dem PC landete eine ZIP-Datei mit einem elektronischen Impfausweis in PDF-Form und zwei JSON-Dateien, welche dieselben Daten in strukturierter Form enthalten.
  • Transfer ins EPD: Ein Klick genügte, um den Datentransfer ins EPD zu starten. Ohne weiteres Login startet der Prozess und tatsächlich landet dasselbe PDF automatisch in meinem EPD, obwohl dieses nicht beim Kanton Aargau, sondern bei der Post domiziliert ist. Ich bin erstaunt.
  • Löschung: Nach dem Download und dem Transfer der Daten lösche ich diese wieder. Dabei verschwinden nicht nur die Impfdaten, sondern auch das erstellte Benutzerkonto. Vorbildlich.
image
Wer noch nie ein EPD gesehen hat: Hier ist meines.
In meinem EPD finden sich also seitdem zwei Dateien. Eine davon lässt sich öffnen und zeigt dasselbe PDF, das ich auch heruntergeladen hatte. Die andere ist kaputt (¯\_(ツ)_/¯). Funfact: Im Zugriffsprotokoll ist ersichtlich, dass die Dateien von der "Gesundheitsfachperson: Nicolai Lütschg" erstellt worden sind. Lütschg ist Geschäftsführer bei der Stammgemeinschaft eHealth Aargau.
image
Beim elektronischen Impfausweis wird darauf hingewiesen, dass "diese Impfung aus myvaccines.ch importiert" wurde. Sie solle von einem Arzt validiert werden. Daten, Impfstoffe und die Validierung fehlen. Das kann aber daran liegen, dass ich sie damals nicht bei Meineimpfungen.ch hinterlegt hatte. So ist mein elektronischer Impfausweis jedenfalls nichts wert. Und das dürfte vielen anderen genauso ergehen.

Ist die Geschichte auserzählt?

Ist damit das letzte Kapitel in dieser Geschichte geschrieben? Ist sie nicht unendlich, sondern tatsächlich zu Ende erzählt? Dafür würde ich meine Hand nicht ins Feuer legen. Etwas daraus lernen sollten die Verantwortlichen dennoch:
  • Wer Datenschutz und Cybersicherheit von Anfang an mitdenkt, zahlt zwar zu Beginn mehr, unter dem Strich aber weniger.
  • Intransparente Kommunikation zu den Gründen, weshalb die Daten nicht gelöscht, sondern in den Aargau transferiert worden sind, hilft nicht.
  • Dass das elektronische Patientendossier bis dato ein Misserfolg ist, hat auch mit dem Fall meineimpfungen.ch zu tun. Diesen Vertrauensverlust zu reparieren, ist enorm schwierig.

Loading

Mehr erfahren

Mehr zum Thema

image

Zürcher Justizdirektion beschafft IT-Unterstützung

Die Direktion schliesst mit zahlreichen IT-Dienstleistern Rahmenverträge über mehrere Millionen Franken für Personalressourcen ab.

publiziert am 10.6.2024
image

Schwyzer Kantonsratsdebatten können im Internet übertragen werden

Die Regierung war zwar dagegen, das Volk hat sich aber dafür entschieden.

publiziert am 10.6.2024 1
image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2
image

Vogt am Freitag: Serviette

Die Aufarbeitung des Xplain-Falls ist eine Farce. Es scheint, als wollten die Verantwortlichen zur Tagesordnung übergehen.

publiziert am 7.6.2024 2