Die Schlammschlacht um die Impfdaten
Vor einem Jahr wurde die Plattform Meineimpfungen.ch eingestellt. Nun sollen die Daten der Nutzerinnen gelöscht werden. Es ist das Ergebnis einer wüsten Posse. Und ein Versagen des digitalen Gesundheitswesens.
Von Adrienne Fichter, 31.05.2022
Für Leute, die sich für Datenschutz interessieren, war der Dienstag der vergangenen Woche ein bizarrer Tag. Da wurde morgens die Erfolgsmeldung verkündet, dass nun – wie vom Parlament gewollt – ein Konzept für einen neuen elektronischen Impfausweis vorliege. Die Berner Fachhochschule, Pharmasuisse und auch der Ärzteverband FMH hätten als Konsortium an einer neuen Form der Impfdatenspeicherung gefeilt.
Positive News also. Nur folgten umgehend die schlechten. Sie betreffen die Impfdaten selbst.
Denn gleichentags publizierten der eidgenössische Datenschutzbeauftragte (Edöb) und das Bundesamt für Gesundheit (BAG) zwei widersprüchliche Meldungen im Zusammenhang mit der Stiftung Meineimpfungen.ch, die sich in Konkurs befindet.
Die beiden Medienmitteilungen offenbaren ihre unterschiedlichen Positionen in einem monatelangen Streit.
Der Datenschutzbeauftragte schrieb, er empfehle dem Berner Konkursamt, «im Rahmen des Konkursverfahrens vom angekündigten Verkauf der Impfdaten an einen Dritten abzusehen und die Daten zu vernichten». Eine Empfehlung mit Nachdruck: Sollte das Amt nicht spuren und es die Daten trotz Intervention an den Meistbietenden verhökern wollen, würde der oberste Datenschützer über das Bundesverwaltungsgericht intervenieren.
Das BAG wiederum überschreibt seine Medienmitteilung so: «Das BAG bedauert die Nicht-Rückgabe der Daten der Plattform meineimpfungen.ch.» Aufgrund der Löschung würden die Nutzerinnen ihre Daten leider verlieren.
Zur Erinnerung: Im März 2021 deckte die Republik gemeinsam mit den Experten der Firma ZFT Company gravierende Sicherheitslücken bei der Plattform Meineimpfungen.ch auf. Seit deren Einstellung im Mai 2021 wird debattiert, was genau mit den Hunderttausenden Impfdaten geschehen soll.
Offen wie ein Telefonbuch und leicht manipulierbar: Um die Sicherheit und den Datenschutz beim digitalen Schweizer Impfausweis steht es schlimmer als bisher bekannt. Selbst die Impfdaten von Bundesräten waren für die Republik zugänglich. Wollen Sie wissen, womit Viola Amherd geimpft ist?
Streitobjekt sind die Einträge von rund 300’000 Userinnen, die ihre Informationen zur Grippe, zu Covid oder zur Tetanusimpfung entweder nicht angefordert oder bis jetzt nicht erhalten haben.
Nachdem die Stiftung im November 2021 einen Teil der Daten unverschlüsselt via E-Mail an einige Tausend Nutzerinnen verschickt hatte, gab es ein Veto des obersten Datenschützers. Es entstand eine monatelange Pattsituation, in der die Rettung der mehreren Hunderttausend Datensätze zwischen den Ämtern und der Stiftung wie eine heisse Kartoffel hin und her gereicht wurde. Verhandelt wurden alle möglichen Optionen: von einer DVD-Übergabe an alle Nutzerinnen über verschlüsselte E-Mails bis hin zur Löschung aller Daten.
Die involvierten Stellen blockierten sich dabei gegenseitig. Eine Lösung lag bis Mai 2022 nicht auf dem Tisch. Nun übernimmt das Konkursamt Bern den Fall und prüft die Option, die Impfdaten an Dritte zu verkaufen.
Doch der Datenschutzbeauftragte fordert die komplette Löschung. Er hat die Integrität und Qualität der im November 2021 verschickten Daten extern nochmals evaluieren lassen. Dabei zeigte sich, dass es einige faule Äpfel gab: falsche Zuordnungen der Impfdaten zu den Nutzerprofilen, Doubletten, ungenaue Kontaktangaben. Diese sind gemäss Insidern nicht den von der Republik aufgedeckten Sicherheitslücken geschuldet. Stattdessen hatten die Stiftung und die nutzenden Ärztinnen selbst viel Chaos angerichtet.
Sind diese faulen Äpfel gravierend genug, um gleich die Löschung aller 300’000 Impfdossiers anzuordnen?
Es ist die zentrale Streitfrage in dieser andauernden Posse.
Das BAG, das seit der Republik-Recherche Distanz zur Stiftung hält, wollte das Problemdossier möglichst bald loswerden. Es schien sich darum mit allerlei Lösungen zufriedenzugeben, solange es dafür selber nichts tun musste. Involvierte kritisieren, dass das Bundesamt nach Jahren von «verbrannten» Subventionen keinen einzigen Rappen mehr an die Stiftung überweisen wollte – auch nicht für eine saubere Übergabe der Daten.
Trotzdem soll es mehrere Initiativen gegeben haben, die Impfdaten vor der Löschung zu bewahren.
Eine davon stammt laut einem Bericht von «Heidi News» von Soignezmoi.ch, der Betreiberin einer E-Sprechstunden-Plattform. Sie machte dem Konkursamt ein Angebot. Dafür gab es grünes Licht vom BAG. Das Konzept von Soignezmoi.ch hat der eidgenössische Datenschutzbeauftragte nicht vertieft geprüft, weil hier Impfdaten ohne vorgängige Einwilligung der Betroffenen in den Händen einer privaten Firma landen würden – trotz Zusicherung, diese nicht kommerziell oder anderweitig zu verwerten. Er intervenierte beim Konkursamt. Der Datenschutzbeauftragte Adrian Lobsiger sagt auf Anfrage der Republik, hier gehe um es eine «Hochrisikobearbeitung» von besonders schützenswerten Daten mit fehlender Integrität. Eine Übermittlung der Impfdaten an eine andere private Firma – ohne Zustimmung der Betroffenen – ist in der Tat ein risikoreiches Unterfangen.
Informelle Gespräche liefen auch mit der Stammgemeinschaft «eHealth Aargau», wie die Republik herausgefunden hat und vom BAG bestätigt worden ist. Dies ist vor allem deshalb interessant, weil die Stammgemeinschaft in Zusammenarbeit mit der Post eine Anbieterin des elektronischen Patientendossiers Emedo ist – und damit klare Interessen hat, was die Datenspeicherung betrifft. Die Stammgemeinschaft wollte die Gespräche gegenüber der Republik nicht kommentieren: «Ich bitte um Ihr Verständnis, dass ich mich zum jetzigen Zeitpunkt nicht zu diesen Fragen äussern werde», sagt Geschäftsführer Nicolai Lütschg.
Andere Non-Profit-Initiativen für die Datenrettung zogen sich nach anfänglichem Interesse zurück. Grund: Die Kosten für den Erwerb und das ganze Verwertungsverfahren belaufen sich fast auf eine halbe Million Franken, wie aus einem internen Dokument hervorgeht, das der Republik vorliegt.
Die Ankündigung der Löschung hat auf jeden Fall viel Ärger in Gesundheitsfachkreisen ausgelöst. Gut möglich aber, dass das letzte Wort noch nicht gesprochen ist und gegen die Empfehlung des eidgenössischen Datenschützers Adrian Lobsiger gehandelt wird. Er wäre seinerseits immer noch empfänglich für eine Alternative zur Löschung, wie er auf Anfrage sagt: «Wenn eine gesundheitsbehördliche Initiative die Daten übernimmt und staatliche Garantien abgibt für die Rettung und Wiederherstellung der Integrität der Daten und die Zweckbindung der Daten, bin ich offen dafür.»
Mit anderen Worten: Weder Bund noch Kantone haben sich zur Rettung der Impfdaten aufgerafft.
Wir fassen zusammen:
Dem eidgenössischen Datenschützer wird vorgeworfen, statt in Lösungen nur in Löschungen investieren zu wollen.
Dem BAG wird vorgeworfen, sich nicht für eine nachhaltige Lösung zu interessieren und auch keine Mittel dafür zu investieren.
Der Stiftung wird vorgeworfen, dilettantisch gehandelt zu haben und die Zügel zur Datenverwaltung nicht aus der Hand geben zu wollen.
Die Posse rund um Meineimpfungen.ch wirft ein sehr schlechtes Licht auf das digitale Gesundheitswesen der Schweiz. Man hatte ein Jahr Zeit, sich um die Datenrettung zu kümmern. Doch wenn der Staat nicht imstande ist, hier eine zufriedenstellende Lösung für die sichere Übermittlung und Rückgabe von Gesundheitsdaten zu finden, wie sollen denn Bürgerinnen Vertrauen in das ungeliebte elektronische Patientendossier aufbauen?
Es gibt nämlich ein Projekt «Impfausweis im EPD» des BAG, das ein Modul im Patientendossier darstellen sollte. Hierbei sollen «neue» Impfdaten von Patienten erfasst werden: «Nicht Teil des Projektes ist die Frage nach der Aufbewahrung der Daten von meineimpfungen.ch.» Das neue Impfmodul soll Ende 2022 bereitstehen.