Pfusch beim DatenschutzEntlassene Contact-Tracer hatten noch monatelang Zugriff auf sensible Daten
Im Kanton Zürich ist es beim Datenschutz zu groben Versäumnissen gekommen. Ein Datenschützer ist von der Panne schockiert. Die Konten seien inzwischen deaktiviert worden.
Die Firma JDMT hat im Contact-Tracing seit Beginn der Pandemie grosse Datenmengen im Auftrag des Kantons Zürich gesammelt.
REUTERSDarum gehts
Die Firma JDMT hat über das Corona-Contact-Tracing im Kanton Zürich etwa 950’000 Datensätze von Zürcherinnen und Zürchern erstellt. Jeder und jede, die mindestens einmal positiv getestet wurden oder in Quarantäne mussten, ist mit Namen, Adresse, E-Mail, Telefonnummer und Ansteckungsdatum verzeichnet. Hinzukommen in gewissen Fällen Angaben über den Ansteckungsort, allfällige Vorerkrankungen, Symptome sowie Kontaktpersonen.
Per Ende März hat JDMT das Contact-Tracing eingestellt und den grössten Teil der Angestellten entlassen. Recherchen des «Tages-Anzeigers» haben jetzt jedoch ergeben, dass Ende Juni die Nutzerkonten von mehr als 600 Tracerinnen und Tracern noch immer aktiv waren, und diese theoretisch weiterhin auf die sensiblen Daten zugreifen konnten.
Datenschützer: «Schwerer organisatorischer Mangel»
Sven Fassbender, Spezialist für Informationssicherheit und Mitgründer der Beratungsfirma ZFT, bezeichnet den Fall gegenüber dem «Tages-Anzeiger» als «schweren organisatorischen Mangel». Denn beim Austritt eines Mitarbeiters oder einer Mitarbeiterin müssten alle Konten deaktiviert werden.
Besonders kritisch beurteilt Fassbender den Fakt, dass es auch nicht personalisierte Log-ins gab, mit denen auf die Datenbank zugegriffen werden konnte. Diese verfügten zudem über Administratorrechte. «Nicht personalisierte Log-ins sind für eine solche Datenbank grundsätzlich nicht in Ordnung», so Fassbender. Ein Betrieb müsse nachvollziehen können, wer wann welche Änderungen im System vorgenommen habe.
Konten sind mittlerweile deaktiviert worden
Auf Anfrage des «Tages-Anzeigers» bestätigt die Gesundheitsdirektion des Kantons Zürichs die Panne. Beat Lauper, der beim Amt für Gesundheit für das Contact-Tracing zuständig ist, gibt an, die Konten seien mittlerweile deaktiviert worden. «Wir bedauern diesen Fehler», versichert Lauper. Die Firma JDMT war in Absprache mit der Gesundheitsdirektion nicht für eine Stellungnahme verfügbar.
Wie vorsichtig bist du mit deinen persönlichen Daten?
Gemäss Lauper ist bisher kein Missbrauch der Daten festgestellt worden. Die Aussage, wonach Angestellte eine Datenschutzerklärung unterschreiben mussten, beruhigt jedoch nur bedingt: Ein ehemaliger JDMT-Angestellte gab gegenüber dem «Tages-Anzeiger» an, nie eine solche Vereinbarung unterschrieben zu haben. Es habe auch keine anderen Sicherheitschecks gegeben.
Keine Sicherheitschecks
Auch dies bewertet Datenschutzexperte Fassbender als problematisch, denn bei grossen Gesundheitsanbietern gehöre es üblicherweise dazu, dass neue Angestellte einen Strafregister- und einen Betreibungsregisterauszug vorlegen müssen, bevor sie auf sensible Daten zugreifen können.
Sven Fassbender gibt an, Angestellte oder Ehemalige könnten aus den Daten durchaus potenziell grossen Gewinn schlagen – oder grossen Schaden anrichten. Auf dem entsprechenden Markt könne der Wert von Gesundheitsdaten bei mehreren Franken pro Datensatz liegen.
Offen bleibt, ob JDMT weiterhin für das Contact-Tracing verpflichtet werde, so Tracing-Chef Beat Lauper. Noch in den nächsten Tagen wird der Auftrag neu ausgeschrieben. Konsequenzen werde die Panne für JDMT indes keine haben, denn das Amt für Gesundheit trägt die Verantwortung für die Contact-Tracing-Software – und damit für den Datenschutz. Die Software wird nur noch bis Ende August verwendet.