Stiftung Meineimpfungen verschickt unverschlüsselte Impfdossiers
Die Stiftung Meineimpfung verschickte Impfdaten ohne den notwendigen Datenschutz. Schützenswerte Personendaten könnten so von Dritten abgefangen werden.
Das Wichtigste in Kürze
- Schwere Vorwürfe wurden vom Konsumentenschutz an die Stiftung Meineimpfungen erhoben.
- Die Stiftung habe sensible Daten ohne genügenden Schutz verschickt.
- So hätten Dritte einfachen Zugriff auf schützenswerte Personendaten haben können.
Der Konsumentenschutz erhebt schwere Vorwürfe gegen die Stiftung Meineimpfungen. Nach grossen technischen Mängeln schicke diese sensiblen Impfdaten so zurück, dass Dritte schützenswerte Personendaten abgreifen könnten. Dieses «stümperhafte» Vorgehen müsse aufhören.
Die Sendung der Impfdaten an die Nutzerinnen und Nutzer erfolgte am Freitagabend über unverschlüsselte E-Mails mit angehängter Zip-Datei. Das hat der Konsumentenschutz am Dienstag mitgeteilt.
Der Versand erfolgte über eine zuvor unbekannte E-Mailadresse. Bei vielen Adressaten landen die Mails darum im Spam-Ordner.
Andere Empfängerinnen und Empfänger erhielten die Benachrichtigungen gar nicht, da die Firewall die suspekten Mails abfing und nicht zustellte. Gemäss dem Konsumentenschutz widerspricht das «laien- und stümperhafte Vorgehensweise der Stiftung» grundlegenden Anforderungen an den Datenschutz.
Die unverschlüsselten E-Mails mit Anhang können von Dritten abgefangen und gelesen werden, macht der Konsumentenschutz geltend. Die auf meineimpfungen.ch eingetragenen Daten seien Gesundheits- und damit besonders schützenswerte Personendaten.
Offene Fragen seien mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) und der Eidgenössischen Stiftungsaufsicht geklärt. Das gibt Meineimpfungen gemäss dem Konsumentenschutz an. Die beiden Stellen gaben aber an, sie seien weder informiert worden noch hätten sie das Vorgehen abgesegnet.
Lösungen des BAG bereits vorhanden
Der Edöb und das Bundesamt für Gesundheit (BAG) hatten Lösungen für die datenschutzkonforme Rückgabe der Daten des elektronischen Impfbüchleins gesucht. Eine Lösung lag bereits auf dem Tisch. Mit dem Versand der unverschlüsselten E-Mails habe Meineimpfungen die Datenschutz-Bedingungen «ignoriert und die Lösung des BAG sabotiert». Das stellte der Konsumentenschutz fest.
«Verblüfft» ist der Konsumentenschutz weiter, weil Meineimpfungen noch im April Auskunfts- und Löschungsbegehren nur mit beglaubigter Ausweiskopie bearbeiten wollte. Das ist gemäss Datenschutzgesetz nicht nötig. So kommt beim Konsumentenschutz der Verdacht eines Verzögerungsmanövers auf.
Der Konsumentenschutz fordert die Aufsichtsstellen auf, das Vorgehen der Stiftung zu stoppen. Sollten noch nicht alle Impfdaten verschickt sein, müssten datenschutzkonforme Lösungen gefunden werden. Und die Verantwortlichen von Meineimpfungen müssten sanktioniert werden. Es gehe nicht an, dass sie nach einem solchen Scherbenhaufen ungeschoren davonkommen.
Kein Geld vom BAG, dafür aber anonymer Spender
Auf der Internetseite schrieb Meineimpfungen am 5. November, die Stiftung habe die im Frühling beim BAG beantragten Gelder nicht erhalten. Dank eines anonymen Spenders sie jetzt die Daten aber zurückschicken.
Zudem warnte die in Liquidation stehende Stiftung, dass die Mails im Spam-Ordner landen könnten. Die Nutzerinnen und Nutzer sollten ihre Daten überprüfen und im Zweifelsfall ihren Arzt kontaktieren.
Die Stiftung war am Dienstag für eine Stellungnahme nicht erreichbar. Auf eine E-Mail-Anfrage hiess es lediglich, aufgrund der finanziellen Lage sei die operative Tätigkeit eingestellt.