# taz.de -- Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten | |
> IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern. | |
> Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein. | |
Bild: Eine Corona-Teststation in München | |
BERLIN taz | Durch zwei neue Sicherheitslücken im Gesundheitsbereich können | |
die Daten von insgesamt mehreren Millionen Menschen in unbefugte Hände | |
geraten sein. So machten [1][WDR und Süddeutsche Zeitung eine umfassende | |
Sicherheitslücke bei einem Betreiber mehrerer Dutzend | |
Coronaschnelltestzentren bekannt], die IT-Expert:innen der Gruppe | |
Zerforschung entdeckt haben. | |
Demnach waren rund 175.000 PDF-Dateien mit Buchungsbestätigungen oder | |
Testergebnissen im Internet abrufbar. Die Dateien enthielten unter anderem | |
Namen, Geburtsdaten, Adressen, Telefon- und, soweit angegeben, auch | |
Personalausweisnummern. Betroffen sein sollen mehrere 10.000 Menschen. Die | |
Landesdatenschutzbeauftragte von Nordrhein-Westfalen gab an, den Fall zu | |
prüfen. | |
Datenschutz- und Sicherheitsprobleme beim Schnelltestzentren sind ein | |
bekanntes Problem: Die IT wird anscheinend ähnlich schnell aufgebaut, wie | |
die Teststellen selbst. Vorgaben wie Privacy by Design, das die | |
Datenschutz-Grundverordnung vorsieht und wonach nur so viele Daten wie | |
unbedingt nötig erhoben werden dürfen, werden dabei nur selten beachtet. | |
Häufig zeigen die Sicherheitslücken, dass außerdem grobe Programmierfehler | |
gemacht werden, die dazu führen, dass persönliche Gesundheitsdaten von | |
Getesteten ungeschützt im Netz abrufbar sind. | |
## Millionen von Doctolib-Terminen frei im Netz | |
Im zweiten Fall geht es um Daten von Patient:innen, die Termine über das | |
Portal Doctolib buchen. Laut einem [2][Bericht von Zeit Online] wurden dem | |
Chaos Computer Club Daten zugespielt, die zeigten, dass ein Datensatz von | |
150 Millionen Terminvereinbarungen für Unbefugte frei im Internet | |
zugänglich gewesen sein soll. Erst Mitte vergangenen Jahres sei die Lücke | |
geschlossen worden. | |
Die Datenbank soll teilweise bis ins Jahr 1990 zurückreichen. Das ist | |
grundsätzlich plausibel, da Doctolib bei teilnehmenden Praxen teilweise | |
auch Termine aus der Vergangenheit ausliest. Gegenüber Zeit Online bestritt | |
Doctolib den Umfang der Sicherheitslücke, eine Anfrage der taz ließ das | |
Unternehmen bis Redaktionsschluss offen. | |
Doctolib ist bereits länger im Visier von Datenschützer:innen. Der Verein | |
Digitalcourage verlieh der Plattform kürzlich einen Negativpreis. Und die | |
Berliner Datenschutzbeauftragte gab auf Anfage der taz an, dass bereits | |
Beschwerdeverfahren laufen würden. | |
Dabei gehe es sowohl um Doctolib direkt als auch um Praxen, die den Dienst | |
einsetzen. Auch die „Einbindung von Doctolib im Rahmen des Impfmanagements“ | |
sei Gegenstand von Verfahren – das Unternehmen wickelt für das Land Berlin | |
die Vergabe von Impfterminen und die Dokumentation der Impfungen ab. Damit | |
liegen unter anderem die Anamnesebögen – auf denen beispielsweise | |
Vorerkrankungen und Allergien angegeben werden müssen, in der Hand von | |
Doctolib. | |
23 Jun 2021 | |
## LINKS | |
[1] https://www.tagesschau.de/investigativ/wdr/sicherheitsluecken-testzentren-1… | |
[2] https://www.zeit.de/digital/datenschutz/2021-06/doctolib-online-buchung-arz… | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Schwerpunkt Coronavirus | |
Gesundheitsdaten | |
Online-Plattform | |
Schwerpunkt Coronavirus | |
CO2-Emissionen | |
Schwerpunkt Überwachung | |
Datenschutz | |
Schwerpunkt Coronavirus | |
Gesundheit | |
## ARTIKEL ZUM THEMA | |
Corona-Apps der Bundesregierung: Auf Google fixiert | |
Ohne den US-Giganten sind die Corona-Apps der Regierung nicht nutzbar. Das | |
macht es Nutzer*innen, die sich nicht überwachen lassen wollen, unnötig | |
schwer. | |
Ministerium für Digitales: Der Quatsch mit dem Querschnitt | |
Ein Ministerium für digitale Transformation muss her. Die Vorstellung, dass | |
beim Internet alle mitdenken, ist illusorisch. | |
Experte über Firma für Gesichtserkennung: „Einschüchternde Wirkung“ | |
Das US-Unternehmen Clearview speichert in seiner biometrischen | |
Fotodatenbank auch Europäer:innen. Das will die Datenschutzorganisation | |
noyb beenden. | |
Big Brother Award für Online-Plattform: Negativpreis für Doctolib | |
Der Datenschutzverein Digitalcourage zeichnet die Online-Plattform in der | |
Kategorie Gesundheit aus. Es gebe zahlreiche Probleme mit der Transparenz. | |
Corona und Datenschutz: Die falsche Erzählung | |
Für die Coronabekämpfung müssen wir auf Datenschutz verzichten, heißt es | |
oft. Doch das ist ein Kurzschluss: Man kann beides verbinden. | |
Datenschützer über E-Patientenakte: „Alles andere als vertrauenswürdig“ | |
Digitalisierung ist notwendig, sagt Thilo Weichert. Aber wer seine | |
elektronische Patientenakte jetzt schon nutzt, ist noch Teil eines | |
Experiments. |