EDÖB: Abschluss der Sachverhaltsabklärung zur Datenbank privater Covid-19-Testzentren
Veröffentlicht am:Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 28.04.2023
Nach Eingang eines Hinweises einer Privatperson führte der EDÖB eine Sachverhaltsabklärung zu einer unzureichend gesicherten Datenbank privater Covid-19-Testzentren durch. Im heute veröffentlichten Schlussbericht hält der Beauftragte fest, dass die in der Datenbank bearbeiteten Gesundheitsdaten aufgrund der angezeigten Schwachstelle beträchtlichen Sicherheitsrisiken ausgesetzt waren. Da die Verantwortlichen nach Bekanntwerden des Mangels angemessene Sofortmassnahmen eingeleitet hatten, konnte das Risiko für die Betroffenen minimiert werden. Das Verfahren wird deshalb ohne Empfehlungen abgeschlossen.
Im November 2022 meldete eine Privatperson dem EDÖB und dem Nationalen Zentrum für Cybersicherheit (NCSC) einen Mangel der Zugriffskontrolle bei einer Datenbank, auf der Gesundheitsdaten gespeichert waren, die von privaten Covid-19-Testzentren mit mehreren Standorten in der Schweiz stammten. Die Privatperson hatte sich aufgrund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der dort bearbeiteten Daten heruntergeladen. Die Verantwortlichen nahmen die Datenbank noch am Tag der Meldung vom Server und verschoben sie auf einen verschlüsselten physischen Datenträger.
Im Rahmen der Sachverhaltsabklärung, die der EDÖB im Nachgang an die erhaltene Meldung und darauf gestützte erste Abklärungen eröffnete, stellte er verschiedene Mängel in Bezug auf die Datensicherheit fest. Der für die Testzentren Verantwortliche konnte gestützt auf die Protokolle der Zugriffe nachweisen, dass kein weiterer unbefugter Zugriff auf die Daten stattgefunden hatte. Durch die ergriffenen Sofortmassnahmen bestand zudem kein Risiko für die betroffenen Personen mehr. Aufgrund dieser Konstellation und angesichts der Tatsache, dass der Betrieb der Covid-Testzentren schon einige Zeit vor Bekanntwerden der Schwachstelle eingestellt worden war, hat der EDÖB das Verfahren ohne Erlass einer Empfehlung abgeschlossen.
Aufgrund des Auslandbezugs des Systems hatte sich der EDÖB amtshilfeweise mit verschiedenen Behörden, insbesondere mit den Datenschutzbehörden Österreichs und des Fürstentums Liechtenstein ausgetauscht.
Der Fall zeigt einerseits auf, welche Risiken sich aus Schwachstellen in einer Datenbank ergeben können. Andererseits konnten dank des Ergreifens von Sofortmassnahmen und der Protokollierung der Zugriffe auf die Datenbank weitere Risiken für die Betroffenen ausgeschlossen werden.
Dokumente
Schlussbericht vom 16.03.2023 mit Ergänzungen 28.04.2023 (geschwärzt) (PDF, 213 kB)
Adresse für Rückfragen
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tel. +41 58 464 94 10, info@edoeb.admin.ch, https://www.edoeb.admin.ch/
RSS Feed abonnieren