Name und Wohnort im Internet: Datenleck in Corona-Testzentren
Daten wie Wohnort und Telefonkontakt möchten die wenigsten von sich
im Internet wiederfinden. Bei einer Datenpanne in Corona-Testzentren
ist genau das möglich gewesen. Der Fall ist nicht das einzige
Beispiel für unzureichenden Datenschutz im Freistaat.
Erlangen/Forchheim (dpa/lby) - Name, Wohnort, Handynummer: Solche
sensiblen Daten von Menschen, die sich in zwei fränkischen
Testzentren für einen PCR-Test angemeldet hatten, waren zeitweise im
Internet einsehbar. Man bedaure den Vorfall sehr, teilte der
Arbeiter-Samariter-Bund (ASB) Bayern als Betreiber am Freitag mit.
«Der ASB hat die Datenlücke umgehend geschlossen und das Schutzniveau
erhöht.» Zuvor hatte t-online über die Datenpanne berichtet.
Betroffen ist das Testzentrum im Kreis Forchheim und das gemeinsame
Zentrum der Stadt Erlangen und des Kreises Erlangen-Höchstadt.
«Hier scheint ganz klar etwas schief gegangen zu sein», sagte Andreas
Sachs, Vizepräsident des Bayerischen Landesamtes für
Datenschutzaufsicht, der Deutschen Presse-Agentur. «Diese Daten
gehören nicht für Unbefugte abrufbar gemacht. Das ist ganz klar.»
Sachs schränkte aber ein, nach vorläufiger Einschätzung des Amtes
sehe man das Datenleck nicht als «schweren Sicherheitsvorfall».
Unklar ist, ob Unbefugte tatsächlich auf die Daten zugegriffen haben.
Es werde umfassend geprüft, zum jetzigen Zeitpunkt sei davon nicht
auszugehen, teilte der ASB mit. Über eine Suchmaschine war das
Dokument t-online zufolge nicht zu finden.
Der ASB arbeitet eigenen Angaben zufolge bei der Terminvergabe mit
einem externen Callcenter mit Sitz in Berlin zusammen. Die Termine -
mitsamt der Personendaten - wurden in Google-Dokumenten gespeichert,
also in Dateien, auf die mehrere Nutzer online zugreifen können. Das
Problem: Wer den Link zu diesem Dokument hatte, konnte dem
t-online-Bericht zufolge ohne weiteres zugreifen und die sensiblen
Daten einsehen: Name, Wohnort und Telefonnummer in Forchheim,
Nationalität, Geburtsdatum, Anschrift und Mailadresse in Erlangen.
Der ASB Bayern sprach mit Blick auf das Forchheimer Zentrum von
«falschen Berechtigungseinstellungen» durch einen
Callcenter-Mitarbeiter.
Robert Ziegenfelder, Geschäftsführer der ASB-Notfallhilfe Erlangen,
stellte die Sache in diesem Punkt anders dar: Für den Zugriff auf die
Terminliste des Erlanger Zentrums sei ein Passwort notwendig gewesen.
Gesundheitsdaten wie etwa Testergebnisse waren in den Dokumenten
nicht hinterlegt. «Diese Daten waren nie für Dritte einsehbar»,
stellte der ASB klar. Laut ASB sind 1600 Menschen betroffen, die
PCR-Tests in einem der beiden Zentren vereinbart hatten. Das
Datenleck wurde Ziegenfelder zufolge umgehend geschlossen, nachdem
man am Donnerstag durch die t-online-Recherche davon erfuhr.
Unklar sei, seit wann die Terminvergabe so geregelt wurde - und
damit, wie lange Unbefugte Zugriff auf die Daten hätten haben können.
Mit dem externen Dienstleister arbeite man seit Anfang September
zusammen, sagte Ziegenfelder. Nach Angaben des Landesamtes für
Datenschutzaufsicht wird der Vorfall aufgearbeitet. Dies sei
ein Standardvorgang, sagte Sachs.
Die Datenpanne in Franken ist der Behörde zufolge nicht der erste
Fall von unzureichendem Datenschutz in bayerischen Testzentren. Es
habe in einer einstelligen Zahl von Fällen weitere Missstände
gegeben, sagte Sachs. Diese seien teils durch Beschwerden, teils
durch Recherchen des Amtes aufgefallen. In diesen Fällen sei es aber
weniger um online verfügbare Dokumente, sondern um Sicherheitslücken
bei der Software zur Terminvergabe gegangen.
Protokolldaten hätten aber gezeigt, dass sich niemand habe Zugriff
verschaffen können. «Da hat man Glück gehabt», sagte Sachs.
Gleichzeitig stellte er klar: «Es ist kein Massenphänomen.» Man müs
se
nicht befürchten: «Ich habe mich einmal testen lassen und jetzt sind
meine Daten weg.»