Eine Privatperson hatte den Eidgenössischen Datenschutzbeauftragten (Edöb) und das Nationale Zentrum für Cybersicherheit (NCSC) informiert, dass es bei der Datenbank an der Zugriffskontrolle mangele, wie es in einer Mitteilung vom Freitag hiess. Diese Meldung vom November 2022 löste die Abklärungen aus.
Kopie der Daten heruntergeladen
Die gespeicherten Gesundheitsdaten stammten von privaten Covid-19-Testzentren mit mehreren Standorten im Land. Die Privatperson, die den Vorfall gemeldet hatte, hatte sich auf Grund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der vorhandenen Daten heruntergeladen.
Noch am Tag der Meldung wurde die Datenbank vom Server genommen und auf einen verschlüsselten physischen Datenträger verschoben. Bei seinen Abklärungen stellte der Edöb verschiedene Mängel in Bezug auf die Datensicherheit fest.
Anhand der Protokolle der Zugriffe auf die Datenbank konnte die für die Testzentren verantwortliche Person aber nachweisen, dass kein weiterer unbefugter Zugriff auf die Daten stattgefunden hatte. Und weil umgehend Massnahmen ergriffen wurden, bestand für die betroffenen Personen kein Risiko mehr.
System mit Bezug zum Ausland
Der Datenschutzbeauftragte hat das Verfahren nun abgeschlossen, und er verzichtet auf Empfehlungen. Den Ausschlag gaben laut seinen Angaben die schnelle und angemessene Reaktion der Zuständigen und der Umstand, dass die Testzentren schon schon einige Zeit vor dem Bekanntwerden der Schwachstelle den Betrieb eingestellt hatten.
Der Datenschützer tauschte sich bei seinen Abklärungen mit verschiedenen Behörden aus, namentlich mit den Datenschutzbehörden von Österreich und Liechtenstein. Grund war, dass das untersuchte System einen Bezug zum Ausland hatte.
In den Worten des Datenschutzbeauftragten zeigt der Fall, dass Schwachstellen in Datenbanken zu Risiken führen. Umgekehrt hätten aber dank der Sofortmassnahmen und dem Protokollieren der Zugriffe auf die Daten weitere Risiken für die Betroffenen ausgeschlossen werden können.
(AWP)