Testzentrum-Datenpanne
Author
Maren Keller, Fr, 2. Jul. 2021
in Aktuelles

Testzentrum-Datenpanne

Persönliche Daten im Internet aufgetaucht

Erneut ist es zu einer Testzentrum-Datenpanne gekommen. Die Folge: Persönliche Daten von Bürgern, die eine Buchungsbestätigung für einen PCR-Test erhalten haben, waren öffentlich einsehbar. Und das war nicht die erste Datenpanne. 

Wo die Testzentrum-Datenpanne stattgefunden hat und warum der Datenschutz bei den Testzentren häufig auf der Strecke bleibt, erfahren Sie bei uns.

Testzentrum-Datenpanne kein Einzelfall

Berlin, Forchheim, Benrath, Hamburg, Schwerte, Leipzig – die Liste von Orten, an denen es zu einer Testzentrum-Datenpanne gekommen ist, lässt sich fortsetzen. Zuletzt waren in zwei bayrischen Testzentren persönliche Daten öffentlich abrufbar gewesen. Die Zentren des Arbeiter-Samariter-Bundes (ASB) nutzten frei zugängliche Google-Tabellen, um die Terminabstimmung für PCR-Tests zu organisieren. Für den ASB war das die einfachste Möglichkeit, für Datenschützer jedoch ein Graus.

Jeder, der den Link kannte, konnte ihn aufrufen und sensible Daten einsehen. Dazu gehören unter anderem der Name, die Anschrift, die E-Mail-Adresse und die Handynummer derjenigen, die einen Testtermin vereinbart hatten. Immerhin: Das Testergebnis war bei der Testzentrum-Datenpanne nicht einsehbar und über die Google-Suche konnten die Dokumente nicht gefunden werden.

Wie kam es zu der Datenpanne? Die Terminvergabe läuft über eine kostenlose Servicehotline. Wer dort anruft, landet beim Dienstleister abravo. Er vergibt und erfasst die Termine – in der besagten Google-Datei. Der ASB sieht die Verantwortung daher in erster Linie bei abravo, hat aber mittlerweile reagiert: Die Dokumente sind nicht mehr abrufbar.

Testzentrum-Datenpanne: Hände mit weißen Handschuhen mit einem Corona-Schnelltest. Bild: Unsplash/Mufid Majnun

Wer denkt an den Datenschutz im Corona-Testzentrum? Bild: Unsplash/Mufid Majnun

Weitere Fälle einer Testzentrum-Datenpanne

Ein weiterer Fall einer Testzentrum-Datenpanne betrifft Coronapoint, einen weiteren Betreiber von Testzentren. Dort waren laut IT-Sicherheitskollektiv „Zerforschung“ knapp 174.000 Buchungsbestätigungen und Testergebnisse abrufbar. Geschlossen wurde diese gravierende Sicherheitslücke aber erst, nachdem die zuständigen Behörden mehrere Hinweise erhalten hatten. Diese Sicherheitslücke war auch deshalb so schwerwiegend, weil Ausweisnummern ebenfalls einsehbar waren. Damit können Kriminelle laut Bundesamt für Sicherheit in der Informationstechnik erheblichen Schaden anrichten, unter anderem finanzieller Art.

Und in einem Testzentrum in Benrath hat ein Ehepaar, das einen Termin für einen PCR-Test vereinbart hatte, das Testergebnis noch vor dem eigentlich Test erhalten. Auch hier lag eine Testzentrum-Datenpanne vor.

Die Testzentren der Firma Eventus Media International (EMI) sind ebenfalls nicht vor einer Testzentrum-Datenpanne gefeit. Ganz im Gegenteil: Testergebnisse, Adressen, Namen und Geburtsdaten von über 14.000 Getesteten waren unter anderem frei zugänglich.

Testzentrum-Datenpanne: Wo bleibt der Datenschutz?

Die Beispiele zeigen, wie lax der Umgang mit sensiblen Daten ist. Das Problem: Die deutsche Testverordnung kennt keinen Datenschutz. Der Schutz der sensiblen Daten in den Testverordnungen von Bund und Ländern ist einfach nicht berücksichtigt worden. Und jetzt ignoriert die Politik die Gefahr. Die Folgen bekommen die Bürger zu spüren. Und die sind enorm.

Denn neben dem Vertrauensverlust gegenüber den Testzentren kann der Datendiebstahl auch wirtschaftliche Folgen haben. Im „besten Fall“ erhalten Sie einfach nur Phishing-E-Mails oder Spam-Nachrichten per E-Mail oder SMS. Im schlimmsten Fall aber können Kriminelle nach einen Identitätsdiebstahl in Ihrem Namen einkaufen, Konten erstellen, Shops aufbauen und Straftaten begehen. Und der Identitätsdiebstahl ist dank der öffentlich einsehbaren Daten nach der Testzentrum-Datenpanne kinderleicht möglich. Doch die Folgen tragen Sie, da die Straftaten in Ihrem Namen geschehen.

Beispiele dafür finden Sie bei uns im Blog. Unter anderem in den Beiträgen zur Online-Ausweisfunktion, zum Identitätsdiebstahl bei Facebook, der Freemail-Adresse oder dem PayPal-Spam.

Testzentrum-Datenpanne: FFP2-Maske mit negativem Schnelltest. Bild: Unsplash/Waldemar Brandt

Mit einem negativen Corona-Test gibt es ein Stück Freiheit. Der Schutz der persönlichen Daten bleibt auf der Strecke. Bild: Unsplash/Waldemar Brandt

Sicherheitslücken und die Folgen

Die meisten Datenlecks in Testzentren beruhen auf Lücken in den Datenverarbeitungssystemen. Auch wenn die Testzentren mit IT-Experten zusammenarbeiten, die die Programmierung der Systeme vornehmen, können Fehler passieren. Das liegt vor allem daran, dass die Testzentren in großer Eile hochgezogen worden sind. Alles musste schnell gehen, damit möglichst flächendeckend viel getestet werden kann. Die Datensicherheit ist dabei auf der Strecke geblieben.

Da es aber bei den Datenpannen um Gesundheitsdaten geht, die besonderen Schutz benötigen, sind die Datenlücken besonders gravierend. Die Behörden könnten Bußgelder verhängen, doch laut Zerforschung fehlt es an der nötigen Härte der Behörden. Und auch an personellen Ressourcen für notwendige Kontrollen. So sind die Behörden weiterhin auf das Engagement der Aktivisten angewiesen. Übrigens: Weitere grundsätzliche Infos zu Corona, der Warn-App oder der alternativen Luca-App finden Sie bei uns im Blog.

Testzentrum-Datenpanne: keine Zuständigkeit

Bleibt nun noch die Frage, was mit all den erfassten Daten passiert, wenn die Testzentren aufgelöst werden. Kommt es dann zur nächsten Testzentrum-Datenpanne, weil die Verantwortlichen Speichergeräte unsachgemäß entsorgen oder persönliche Daten aus monetären Gründen gezielten verkaufen?

Datenschützer sind zwar alarmiert, aber eine klare Zuständigkeit gibt es nicht. So verweist das Gesundheitsministerium auf das BSI, während die NRW-Datenschutzbehörde die Verantwortung bei den Unternehmen sieht. Wir dürfen gespannt sein – und gleichzeitig vorgewarnt. Erhalten Sie nach einem Corona-Test im Testzentrum plötzlich vermehrt Spam- und Phishing-E-Mails, Werbeanrufe oder anderes, hatten Kriminelle vermutlich aufgrund einer Testzentrum-Datenpanne Zugriff auf Ihre persönlichen Daten.

Wie ist Ihr Gefühl, wenn Sie zu einer Teststelle gehen? Machen Sie sich Sorgen um Ihre Daten? Oder sind Sie vielleicht sogar schon Opfer vom Datenklau geworden? Berichten Sie uns von Ihren Erfahrungen gern in den Kommentaren.

_______________________________________________

Weiterführende Links:  trojaner-info, süddeutsche, t-online, netzpolitik, rp-online, Zerforschung, Zerforschung

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.