Im Hinblick auf Apotheken-Testdaten sehen eine Datenschutz-NGO, der ORF und ein IT-Experte erhebliche Mängel bei „Österreich testet“. Das Gesundheitsministerium sieht keine Sicherheitslücke.
Bei der Plattform „Österreich testet“, der Website des Gesundheitsministeriums zur Organisation von Covid-19 Tests, soll es eine massive Sicherheitslücke gegeben haben. Einer gemeinsamen Recherche von „ORF konkret“ und der Datenschutz-NGO „epicenter.works“ zufolge hat dadurch eine zugriffsberechtigte Apotheke nicht bloß auf die von ihr durchgeführten Tests Zugriff gehabt, sondern auf die gesamten Daten aller Tests der vergangenen sieben Tage. Über diese Lücke sei es möglich gewesen, Name, Adresse, Sozialversicherungsnummer, Telefonnummer, E-Mail und Corona-Testergebnis von potenziell Hunderttausenden Personen in ganz Österreich abzurufen, berichtet Thomas Lohninger Geschäftsführer von „epicenter.works“.
Entdeckt wurde die Sicherheitslücke von einem von besagter Apotheke beauftragten Webentwickler, der diese sogleich dokumentierte und sich mit der Bitte um dringende Reparatur an das Gesundheitsministerium und den ORF gewandt habe. Den Datenschützern zufolge ist der Programmierer zunächst ignoriert worden, erst als der ORF anfragte, habe es eine Reaktion gegeben. Und zwar sei die Apotheke von „oesterreich-testet.at“ ausgeschlossen worden, woraufhin diese das Arbeitsverhältnis mit dem Webentwickler beendete.
Das Gesundheitsministerium habe zunächst abgestritten, dass es sich um eine Sicherheitslücke handelte und sprach von einer „widerrechtlichen Verwendung interner Dokumentationssysteme“ einer einzelnen Apotheke, so „epicenter.works“. Gleichlautend argumentierte das Ministerium am Donnerstag in einer Stellungnahme gegenüber der APA. Die Apotheken seien im Rahmen der Testungen „alleinige Datenschutzverantwortliche“, eine Zuständigkeit des Gesundheitsministeriums sei nicht gegeben. Zudem merkte das Ministerium an, dass Apotheken wie niedergelassene Ärzte „einer gesetzlichen Sorgfaltspflicht sowie einem Berufsgeheimnis unterliegen“. Man habe gemeinsam mit der Apothekerkammer das interne System einzelner Apotheken optimiert und den angesprochenen Fehler behoben, hieß es: „In den vergangenen Wochen wurden entsprechende Anpassungen vorgenommen, um die internen Dokumentationssysteme noch besser gegen eine etwaige widerrechtliche Verwendung einzelner Teststellen zu schützen.“ (APA/red)