Sensible Daten auslesbar Massive Datenschutzprobleme bei Coronavirus-Tests

Daten und Corona-Testergebnisse Tausender Bürger waren offen einsehbar. Den Anbietern drohen Strafen, aber das Vertrauen in die Tests könnte geschwächt werden, befürchtet Baden-Württembergs Datenschutzbeauftragter.
Coronatest bei einer Reiserückkehrerin

Coronatest bei einer Reiserückkehrerin

Foto:

Moritz Frankenberg / dpa

Wer einen Coronatest macht, muss darauf vertrauen können, dass die personenbezogenen Daten geschützt bleiben. Doch das ist nicht immer der Fall. Schon im März und im April hatten Sicherheitsforscher schwach gesicherte Daten von Zigtausenden Bürgerinnen und Bürgern im Netz einsehen können. Nun gibt es nach SPIEGEL-Informationen auch in Baden-Württemberg zwei gravierende Fälle von Verstößen – der Landesdatenschutzbeauftragte Stefan Brink ermittelt. Konkret geht es darum, dass mehrere Tausend personenbezogene Daten und Testergebnisse offen einsehbar waren, wie die Behörde auf Anfrage mitteilt. In einem der beiden Fälle betreibt eine betroffene Firma mehrere Testzentren im Bundesland. Bei dem anderen war ein Dienstleister im Land betroffen, der Daten für Testzentren auch in anderen Bundesländern verarbeitet. Nach SPIEGEL-Informationen sind verschiedene Teststationen im Bundesgebiet betroffen.

»Coronatests sind ein sensibles Thema«, sagt der zuständige baden-württembergische Datenschützer Brink. Es würden dabei Daten verarbeitet werden, die grundsätzlich »diskriminierungsanfällig« seien. Brink meint damit etwa das Risiko, dass Ämter oder der Arbeitgeber über ein positives Testergebnis informiert werden könnten. »Das sind Informationen, die man vielleicht noch nicht mal im Familien- und Freundeskreis teilen möchte. Wenn jedermann darauf theoretisch Zugriff hat, ist das ein massiver Fehler«, sagt Brink.

Vor einem Abstrich geben die Testpersonen oft eine E-Mail-Adresse an. Ist das Ergebnis ermittelt, kann man es auf einer Website des Anbieters abrufen. Normalerweise sollte es mindestens durch eine Kombination aus Mailadresse und Passwort gesichert sein. Das Problem: Teilweise gibt es nur den Schutz durch ein Passwort, manchmal kann das auch noch erraten werden. »Es gibt Anbieter, die einfach eine fortlaufende Kombination benutzen«, sagt Brink. Durch Raten sei es so möglich, auf gut Glück nach Befunden zu fahnden. Selbst wenn es eine weitere Absicherung durch eine persönliche Mailadresse gebe, könne ein fortlaufendes Passwort immer noch zu Problemen führen. »Wenn ich eine Person in der Schlange vor dem Testzentrum sehe und deren Mailadresse kenne, kann ich das Passwort auszählen«, sagt Datenschützer Brink.

Anbieter sind keine profilierten Anbieter im Gesundheitswesen

Laut dem obersten Datenschützer von Baden-Württemberg gebe es auch zahlreiche weitere, durchaus gravierende Mängel: So binden einige Testzentren auf ihren Websites und in Benachrichtigungs-E-Mails Tracking-Dienste ein oder speicherten personenbezogene Daten ohne ausreichenden Schutz in Drittstaaten. Dadurch würden Dritten sensible Gesundheitsdaten offenbart, die sie zu kommerziellen Zwecken verwerten.

Es handle sich bei den betroffenen Anbietern auch und vor allem um Firmen, die keine profilierten Anbieter im Gesundheitswesen seien. Brink sieht darin aber keine Entschuldigung. »Wer mit medizinischen Daten hantiert, muss höchsten Standards genügen«, so der Datenschützer.

Wurde der Test etwa für eine Reise angefertigt, finden sich noch mehr personenbezogene Daten im Netz, darunter etwa die Passnummer. Brink hält das laxe Vorgehen mancher Anbieter für »äußerst gravierend und extrem ärgerlich«. Gesundheitsdaten gehörten zur obersten Kategorie der schützenswerten Informationen eines Menschen. Deshalb habe die Behörde auch ein Bußgeldverfahren eingeleitet. Theoretisch sind Strafen bis zu 20 Millionen Euro möglich. Allerdings richten diese sich nach dem Umsatz des Unternehmens. Sind Daten betroffen, die zum Bereich Gesundheit zählen, ist das Bußgeld oft erheblich.

Fälle von Missbrauch wurden bisher nicht gemeldet. Man habe sehr schnell darauf hingewirkt, dass die Datenlecks geschlossen wurden. Doch der Schaden sei weit größer. »Solche Datenschutzlücken schrecken Menschen davon ab, sich testen zu lassen. Das macht die Offenheit für die wichtigen Tests völlig unnötig kaputt«, sagt Brink. Es sei schwer, als Testperson zu erkennen, dass Datenschutzprobleme vorlägen. »Man kann eigentlich nur nachfragen, wie und wo die Daten genau verarbeitet werden. Wer Zweifel hat, sollte sich umgehend an den Datenschutzbeauftragten seines Bundeslandes wenden«, sagt Brink.