 |
# taz.de -- Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten |
|
|
|
> IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern. |
|
> Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein. |
|
|
 |
Bild: Eine Corona-Teststation in München |
|
|
|
Berlin taz | Durch zwei neue Sicherheitslücken im Gesundheitsbereich können |
|
die Daten von insgesamt mehreren Millionen Menschen in unbefugte Hände |
|
geraten sein. So machten [1][WDR und Süddeutsche Zeitung eine umfassende |
|
Sicherheitslücke bei einem Betreiber mehrerer Dutzend |
|
Coronaschnelltestzentren bekannt], die IT-Expert:innen der Gruppe |
|
Zerforschung entdeckt haben. |
|
|
|
Demnach waren rund 175.000 PDF-Dateien mit Buchungsbestätigungen oder |
|
Testergebnissen im Internet abrufbar. Die Dateien enthielten unter anderem |
|
Namen, Geburtsdaten, Adressen, Telefon- und, soweit angegeben, auch |
|
Personalausweisnummern. Betroffen sein sollen mehrere 10.000 Menschen. Die |
|
Landesdatenschutzbeauftragte von Nordrhein-Westfalen gab an, den Fall zu |
|
prüfen. |
|
|
|
Datenschutz- und Sicherheitsprobleme beim Schnelltestzentren sind ein |
|
bekanntes Problem: Die IT wird anscheinend ähnlich schnell aufgebaut, wie |
|
die Teststellen selbst. Vorgaben wie Privacy by Design, das die |
|
Datenschutz-Grundverordnung vorsieht und wonach nur so viele Daten wie |
|
unbedingt nötig erhoben werden dürfen, werden dabei nur selten beachtet. |
|
|
|
Häufig zeigen die Sicherheitslücken, dass außerdem grobe Programmierfehler |
|
gemacht werden, die dazu führen, dass persönliche Gesundheitsdaten von |
|
Getesteten ungeschützt im Netz abrufbar sind. |
|
|
|
## Millionen von Doctolib-Terminen frei im Netz |
|
|
|
Im zweiten Fall geht es um Daten von Patient:innen, die Termine über das |
|
Portal Doctolib buchen. Laut einem [2][Bericht von Zeit Online] wurden dem |
|
Chaos Computer Club Daten zugespielt, die zeigten, dass ein Datensatz von |
|
150 Millionen Terminvereinbarungen für Unbefugte frei im Internet |
|
zugänglich gewesen sein soll. Erst Mitte vergangenen Jahres sei die Lücke |
|
geschlossen worden. |
|
|
|
Die Datenbank soll teilweise bis ins Jahr 1990 zurückreichen. Das ist |
|
grundsätzlich plausibel, da Doctolib bei teilnehmenden Praxen teilweise |
|
auch Termine aus der Vergangenheit ausliest. Gegenüber Zeit Online bestritt |
|
Doctolib den Umfang der Sicherheitslücke, eine Anfrage der taz ließ das |
|
Unternehmen bis Redaktionsschluss offen. |
|
|
|
Doctolib ist bereits länger im Visier von Datenschützer:innen. Der Verein |
|
Digitalcourage verlieh der Plattform kürzlich einen Negativpreis. Und die |
|
Berliner Datenschutzbeauftragte gab auf Anfage der taz an, dass bereits |
|
Beschwerdeverfahren laufen würden. |
|
|
|
Dabei gehe es sowohl um Doctolib direkt als auch um Praxen, die den Dienst |
|
einsetzen. Auch die „Einbindung von Doctolib im Rahmen des Impfmanagements“ |
|
sei Gegenstand von Verfahren – das Unternehmen wickelt für das Land Berlin |
|
die Vergabe von Impfterminen und die Dokumentation der Impfungen ab. Damit |
|
liegen unter anderem die Anamnesebögen – auf denen beispielsweise |
|
Vorerkrankungen und Allergien angegeben werden müssen, in der Hand von |
|
Doctolib. |
|
|
|
23 Jun 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.tagesschau.de/investigativ/wdr/sicherheitsluecken-testzentren-1… |
|
[2] https://www.zeit.de/digital/datenschutz/2021-06/doctolib-online-buchung-arz… |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Coronavirus |
|
Gesundheitsdaten |
|
Online-Plattform |
|
Schwerpunkt Coronavirus |
|
CO2-Emissionen |
|
Schwerpunkt Überwachung |
|
Datenschutz |
|
Schwerpunkt Coronavirus |
|
Gesundheit |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Corona-Apps der Bundesregierung: Auf Google fixiert |
|
|
|
Ohne den US-Giganten sind die Corona-Apps der Regierung nicht nutzbar. Das |
|
macht es Nutzer*innen, die sich nicht überwachen lassen wollen, unnötig |
|
schwer. |
|
|
|
Ministerium für Digitales: Der Quatsch mit dem Querschnitt |
|
|
|
Ein Ministerium für digitale Transformation muss her. Die Vorstellung, dass |
|
beim Internet alle mitdenken, ist illusorisch. |
|
|
|
Experte über Firma für Gesichtserkennung: „Einschüchternde Wirkung“ |
|
|
|
Das US-Unternehmen Clearview speichert in seiner biometrischen |
|
Fotodatenbank auch Europäer:innen. Das will die Datenschutzorganisation |
|
noyb beenden. |
|
|
|
Big Brother Award für Online-Plattform: Negativpreis für Doctolib |
|
|
|
Der Datenschutzverein Digitalcourage zeichnet die Online-Plattform in der |
|
Kategorie Gesundheit aus. Es gebe zahlreiche Probleme mit der Transparenz. |
|
|
|
Corona und Datenschutz: Die falsche Erzählung |
|
|
|
Für die Coronabekämpfung müssen wir auf Datenschutz verzichten, heißt es |
|
oft. Doch das ist ein Kurzschluss: Man kann beides verbinden. |
|
|
|
Datenschützer über E-Patientenakte: „Alles andere als vertrauenswürdig“ |
|
|
|
Digitalisierung ist notwendig, sagt Thilo Weichert. Aber wer seine |
|
elektronische Patientenakte jetzt schon nutzt, ist noch Teil eines |
|
Experiments. |
