Datenschutz: Gravierende Sicherheitslücke bei Corona-Testzentren

Aktivisten finden wieder eine Datenpanne in der IT-Infrastruktur eines Testzentrums. Der Fall zeigt, dass die Politik die Gefahr ignoriert: Die Testverordnung kennt gar keinen Datenschutz.

Eine neu entdeckte Lücke in der Datensicherheit von Corona-Testzentren zeigt Mängel in der Testverordnung: Der Fall Coronapoint ist der bisher gravierendste in einer Reihe von Datenpannen, wie SZ und WDR vom IT-Sicherheitskollektiv "Zerforschung" erfuhren. Knapp 174 000 Buchungsbestätigungen waren teils mit Testergebnissen abrufbar, es gibt Zehntausende Betroffene. Die Aktivisten haben die zuständigen Behörden informiert, geschlossen wurde die Datenlücke erst nach mehreren Hinweisen von "Zerforschung".

Als der SPD-Gesundheitsexperte Karl Lauterbach vergangene Woche ein Testzentrum des Betreibers Coronapoint besuchte, sagte er noch: "Ich habe mich sehr geärgert, dass ein paar wenige Zentren den Ruf dieser wichtigen Branche beschädigt haben." Dass gerade der Betreiber Coronapoint bald zur Rufschädigung beitragen wird, weiß er zu diesem Zeitpunkt nicht - obwohl das Unternehmen schon über die Mängel in der Software informiert war.

Besonders gravierend ist der Fall Coronapoint, weil neben sensiblen Gesundheitsdaten auch Ausweisnummern betroffen sind. "Kriminelle können damit erheblichen finanziellen Schaden verursachen", schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Landesbeauftragte für Datenschutz in Baden-Württemberg, Stefan Brink, sieht Identitätsdiebstahl als größtes Risiko. Testzentren seien daher ein lohnendes Ziel für Hacker. Ob es in diesem Fall unerlaubte Zugriffe gab, ist nicht klar.

Generell wird der Schutz der sensiblen Daten in den Testverordnungen von Bund und Ländern schlicht nicht berücksichtigt. Auch werden die zuständigen Behörden von der Eröffnung von Testzentren nicht benachrichtigt. Sonst, so Brink, könnten sie zumindest Hinweise zur Datensicherung geben. Schon die Erhebung von Ausweisdaten, wenn sie nicht notwendig ist, bezeichnet Brink als "klaren datenschutzrechtlichen Verstoß" und "unverhältnismäßiges Risiko". Auch das Bundesgesundheitsministerium beschreibt einen "Verstoß gegen das Gebot der Datenminimierung". Das Missbrauchsrisiko steigt aber, weil die IT-Systeme oft laienhaft geschützt sind. Systematische Kontrollen gibt es keine, weil Ressourcen fehlen. Die Behörden sind auf das Engagement von Aktivisten angewiesen.

Was mit Millionen sensibler Daten passiert, wenn sich die betreffenden Unternehmen auflösen, ist unklar. Gefährliche Szenarien reichen von der unsachgemäßen Entsorgung von Speichergeräten bis zur gezielten Veräußerung der Daten: "Wer von der Insolvenz bedroht ist, für den kann das lukrativ sein", sagt Brink. Datenschützer zeigen sich ob dieser Gefahren alarmiert, politisch fehlt aber eine klare Zuständigkeit. Das Gesundheitsministerium verweist bei Fragen auf das BSI, die NRW-Datenschutzbehörde sieht die Verantwortung bei den Unternehmen.

Karl Lauterbach geht insgesamt, sagt er auf Anfrage, weiter davon aus, dass überwiegend ehrlich gearbeitet werde. Dennoch zeigt er sich entsetzt: "Wenn ich von den Verdächtigungen gewusst hätte, hätte ich auf keinen Fall dieses Unternehmen besucht."