Die kompromittierten Daten der Nutzerinnen und Nutzer der Plattform meineimpfungen.ch wurden im Juni 2022 im letzten Moment doch nicht gelöscht. Die Daten wurden vom Departement für Gesundheit und Soziales des Kantons Aargau übernommen. Dort vergammeln die Daten seither bei der Stammgemeinschaft eHealth Aargau.
Bei der Plattform meineimpfungen.ch verfügten mehr als 400’000 Nutzer aus der Schweiz und aus dem Fürstentum Liechtenstein über einen elektronischen Impfausweis.
Betreiberin der Plattform war die Stiftung meineimpfungen, die massgeblich vom Bundesamt für Gesundheit (BAG) finanziert wurde. Im Stiftungsrat sassen gemäss Auszug aus dem Handelsregister bekannte BAG-Vertreter wie Daniel Koch und Virginie Masserey.
Was wurde aus den Impfdaten, die seit Juni 2022 im Kanton Aargau liegen? Wieso zog der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seine Löschempfehlung plötzlich zurück?
Vorgeschichte: Elektronischer Impfausweis mit Sicherheitsmängeln
März 2021: Datenleck bei meineimpfungen.ch
Am 23. März 2021 berichtete die «Republik», die Plattform sei «offen wie ein Telefonbuch und leicht manipulierbar»:
«Um die Sicherheit und den Datenschutz beim digitalen Schweizer Impfausweis steht es schlimmer als bisher bekannt. Selbst die Impfdaten von Bundesräten waren für die Republik zugänglich.»
Die Stiftung meineimpfungen musste ihre Plattform offline nehmen. Die Nutzer hatten und haben seit Ende März 2021 keine Möglichkeit, selbst auf ihre Daten zuzugreifen.
Immerhin konnte die Stiftung meineimpfungen im Sommer 2021 mehreren 1’000 Nutzern auf Anfrage Auskunft über ihre Daten erteilen. Weitere Nutzer erhielten Anfang November 2021 ihre Daten per E-Mail zugestellt.
Dieser E-Mail-Versand wurde unter anderem nach Kritik des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gestoppt. Der EDÖB hatte erklärt, der E-Mail-Versand sei «nicht datenschutzkonform» und «rechtswidrig». Die Stiftung – so der EDÖB – habe sich über die Empfehlungen in seinem Schlussbericht hinweggesetzt. Diese Darstellung wurde von der Stiftung bestritten. Ob der E-Mail-Versand tatsächlich widerrechtlich war, ist – soweit ersichtlich – bis heute nicht geklärt.
Die Stiftung meineimpfungen konnte die Daten der Nutzer nicht retten, letztlich auch mangels finanzieller Mittel.
Das BAG war nach jahrelanger Beteiligung an der Stiftung auf Distanz gegangen und hatte weitere Subventionen verweigert. Am 17. November 2022 wurde über die Stiftung der Konkurs eröffnet.
20. Mai 2022: EDÖB empfiehlt Löschung der Daten
In der Folge wollte das Konkursamt Bern-Mittelland – unglaublich, aber wahr! – die Impfdaten der Nutzer an ein Unternehmen verkaufen, soweit ersichtlich für 15’000 Franken an die Telemedizin-Anbieterin soignez-moi.ch SA.
Der EDÖB intervenierte und empfahl am 20. Mai 2022 dem Konkursamt formell, auf den Verkauf zu verzichten und die Daten zu löschen.
Der EDÖB erklärte, aufgrund von festgestellten schwerwiegenden Mängeln an der Datenintegrität sei davon auszugehen, dass jede weitere Datenbearbeitung zu Persönlichkeitsverletzungen führen werde, die nicht gerechtfertigt werden könnten:
«Ein von Dritten am 15. November 2021 erstelltes Gutachten hat die vom EDÖB in seinem Schlussbericht vom 31.08.2021 in der Sachverhaltsabklärung zur Plattform meineimpfungen.ch festgestellten schwerwiegenden Mängel an der Datenintegrität bestätigt, sowohl inhaltlich (bspw. falsche Impfeinträge zu Tetanus und Covid-19) als auch betreffend die Kontaktdaten. Die Bearbeitungsverantwortlichen haben in der langen Zeitspanne seit Publikation des Schlussberichts durch den EDÖB keinen Weg gefunden, um die Daten den berechtigten Nutzerinnen und Nutzern in einer datenschutzrechtlich vertretbaren Weise zur Verfügung zu stellen. Der EDÖB muss deshalb davon ausgehen, dass jede weitere Datenbearbeitung zu Persönlichkeitsverletzungen führen würde, welche die von der Stiftung zu vertretenden Nachteile einer Löschung dieser Daten überwiegen.»
Das Konkursamt akzeptierte die Empfehlung:
«Der EDÖB hat deshalb am Freitag, dem 20. Mai 2022 in Absprache mit dem Datenschutzbeauftragten des Kantons Bern das für die Konkursmasse der Stiftung meineimpfungen handelnde Konkursamt Bern-Mittelland mit formeller Empfehlung angewiesen, vom geplanten Freihandverkauf abzusehen. Er hat zudem empfohlen, sämtliche Daten zu löschen. Das Konkursamt Bern-Mittelland hat die Empfehlungen akzeptiert.»
Mit Schreiben vom 9. Juni 2022 teilte mir das Konkursamt Bern-Mittelland mit, die Daten würden gelöscht, sobald das Konkursverfahren rechtskräftig abgeschlossen sei und eine schriftliche Bestätigung der Löschempfehlung vom EDÖB vorliege.
20. Juni 2022: EDÖB hebt Löschempfehlung auf
Am 20. Juni 2022, genau einen Monat nach seiner Löschempfehlung, erklärte der EDÖB überraschend die Aufhebung seiner Löschempfehlung.
Der EDÖB teilte mit, es sei eine öffentlich-rechtliche Vereinbarung für die Übernahme der Daten von meineimpfungen.ch durch das Departement für Gesundheit und Soziales des Kantons Aargau abgeschlossen worden:
«Gesundheitsbehörden nutzten auf Einladung des EDÖB einen letzten Versuch zur Rettung der Impfdaten, sodass der Beauftragte seine Löschempfehlung widerrufen kann.»
Und:
«Nach Übertragung der Daten wird es nun um die Evaluation und Umsetzung eines datenschutzkonformen Projekts zur Wahrung der Datenschutzrechte und insbesondere des Auskunftsrechts der Betroffenen gehen. Sollte sich zeigen, dass eine datenschutzverträgliche Umsetzung wider der Erwartung des Departements für Gesundheit und Soziales des Kantons Aargau und der Stammgemeinschaft eHealth Aargau nicht realisierbar ist, müssten die fraglichen Daten doch noch gelöscht werden.»
Wie kam es zu diesem Meinungsumschwung?
10 Tage vorher: Schreiben von EDÖB Adrian Lobsiger an BAG-Direktorin Anne Lévy
Die Gründe für den Meinungsumschwung beim EDÖB können seinem Schreiben vom 10. Juni 2022 an BAG-Direktorin Anne Lévy Goldblum nachgelesen werden.
In diesem Schreiben zählt der EDÖB unter anderem auf, wer ein besonderes grosses Interesse an den Daten zeigte:
- MIDATA Genossenschaft, die Betreiberin einer Plattform für die «selbstbestimmte Nutzung von personenbezogenen Daten», wohin die Daten übertragen werden sollten
- soignez-moi.ch SA, die bereits erwähnte Telemedizin-Anbieterin, welche die Daten für 15’000 Franken kaufen und über ein elektronisches Patientendossier (EPD) zur Verfügung stellen wollte
- Stammgemeinschaft eHealth Aargau (SteHAG), eine Anbieterin für das bislang erfolglose elektronische Patientendossier (EPD) in der Schweiz, um mit den Impfdaten neue EPD-Nutzer zu gewinnen
Für eine Veräusserung an die Stammgemeinschaft eHealth Aargau setzte sich der Aargauer Regierungsrat Jean-Pierre Gallati vehement ein. Der Aargauer Gesundheitsdirektor betonte, die Nutzer von meineimpfungen.ch hätten ein Recht, über die Bearbeitung ihrer Daten während und nach der Liquidation der Stiftung informiert zu werden und ihre Rechte wie beispielsweise Auskunft und Löschung geltend zu machen.
Die Stammgemeinschaft eHealth Aargau ist formell ein privater Verein. Der Verein ist nach eigenen Angaben der «wichtigste Partner des Kantons Aargau bei der Digitalisierung des Gesundheitswesens» und «arbeitet nach Vorgabe einer umfassenden, kantonalen eHealth-Strategie».
Gallati ist ein offensiver Befürworter des elektronischen Patientendossiers. Gemäss Medienbericht von Ende 2020 eröffnete Gallati das erste (!) elektronische Patientendossier der Schweiz:
«[…] ist in der Schweiz das erste elektronische Patientendossier eröffnet worden. Das Rennen hat der Kanton Aargau gemacht, Gesundheitsdirektor Jean-Pierre Gallati eröffnete am Freitag als erster sein eigenes elektronisches Patientendossier, kurz EPD. Damit soll eine neue Ära anbrechen, so die Hoffnung.»
Bis Ende September 2022 folgten ihm lediglich weitere 1’000 Aargauerinnen und Aargauer. Das freiwillige EPD ist im Kanton Aargau wie auch in der übrigen Schweiz ein Misserfolg.
Überwiegendes öffentliches Interesse: Geheime Vereinbarung mit dem Kanton Aaragu
Jedenfalls sah der EDÖB nun ein «gewichtiges öffentliches Interesse i.S.v. Art. 13 Abs. 1 DSG an einer Weiterbearbeitung der fraglichen Daten zwecks Wahrung der Datenschutzrechte der betroffenen Personen». Für den nochmaligen Versuch einer Datenrettung regte der EDÖB den «Weg über eine öffentlich-rechtliche Vereinbarung» an.
Nach (!) der Übertragung der Daten – so der EDÖB – müssten die «Datenschutzverträglichkeit und Finanzierbarkeit» der Datenrettung abgeklärt werden. Bei einer positiven Vorprüfung müsste die Rückerstattung der Daten an die betroffenen Personen in datenschutzkonformer Weise erfolgen. Sollte die «datenschutzkonforme Realisierbarkeit und / oder Finanzierbarkeit indessen verneint werden, wären die fraglichen Gesundheitsdaten zu löschen.»
Ferner erklärte der EDÖB, auch für die «Überführung in ein elektronisches Patientendossier» sehe er ein überwiegendes öffentliches Interesse gemäss Art. 13 Abs. 1 DSG.
Gleichzeitig erklärte der EDÖB, für eine solche zusätzliche Bearbeitung der Daten müsse die Einwilligung der Nutzer vorliegen. Eigentlich würde die Einwilligung oder das überwiegende öffentliche Interesse genügen.
In Bezug auf bereits vorliegende Löschbegehren von Nutzern erklärte der EDÖB, diese müssten «so rasch wie möglich nachgeholt» werden.
Im Ergebnis teilte der EDÖB in seinem Schreiben der BAG-Direktorin mit, unter zwei kumulativen Voraussetzungen seine Löschempfehlung aufzuheben:
- Bis zum 18. Juni 2022 müsse eine von einer oder mehreren Gesundheitsbehörden von Bund oder Kantonen mit dem Konkursamt Bern-Mittelland unterzeichnete öffentlich-rechtliche Vereinbarung vorgelegt werden,
- Aus dieser Vereinbarung müsse ausdrücklich hervorgehen, dass die «Übertragung und Weiterbearbeitung der Impfdaten zum alleinigen Zweck der Wahrung der Datenschutzrechte der betroffenen Personen» erfolge.
Diese Voraussetzungen wurden offensichtlich erfüllt, weshalb der EDÖB am 20. Juni 2022 seine Löschempfehlung zurückzog:
«Die unter Mitwirkung des BAG zustande gekommene Übernahme der Impfdaten durch das Departement für Gesundheit und Soziales des Kantons Aargau entsprach dieser Anregung und den damit verbundenen Anforderungen des EDÖB, sodass der Beauftragte seine Löschempfehlung vom 20. Mai 2022 am vergangenen Freitag gegenüber dem Konkursamt Bern-Mittelland in Wiedererwägung ziehen und widerrufen konnte […].»
Die Vereinbarung wurde bislang nicht veröffentlicht, das heisst, die Vereinbarung ist geheim. Es wäre mit Blick auf das Öffentlichkeitsprinzip wünschenswert, dass Behörden von sich aus ein solches Dokument veröffentlichen würden.
Am 21. Juni 2022 informierte die Stammgemeinschaft eHealth Aargau (SteHAG) über ihr Vorprojekt für die Daten von meineimpfungen.ch:
«Im Rahmen eines Vorprojekts soll gemeinsam mit dem BAG, den weiteren zertifizierten Stammgemeinschaften sowie weiteren Akteuren geprüft werden, ob sich diese Daten in einem Zustand befinden, der eine Rettung zulässt. Vertretungen seitens des eidgenössischen sowie des kantonalen Datenschutzes sind explizit eingeladen, dieses Vorprojekt zu begleiten.»
Am Vortag hatte bereits der Kanton Aargau entsprechend informiert.
Kanton Aargau: Was ist aus den Daten von meineimpfungen.ch geworden?
Die Stammgemeinschaft eHealth Aargau (SteHAG), das Bundesamt für Gesundheit (BAG) und die erwähnten «weiteren Akteure» äusserten sich – soweit ersichtlich – seit Juni 2022 nicht mehr zur Datenrettung.
Auf ein Auskunftsbegehren antwortete die Stammgemeinschaft eHealth Aargau mit Schreiben vom 31. Oktober 2022, es könnten «im Rahmen des Vorprojektes keine Auskunfts- und Löschbegehren beantwortet» werden.
Und:
«Die SteHAG und das Departement Gesundheit und Soziales (DGS) des Kantons Aargau unternehmen mit der Unterstützung des Bundesamtes für Gesundheit (BAG) einen Versuch, zur Rettung der Impfdaten der Stiftung ‹meineimpfungen.ch›, von rund 300’000 Schweizerinnen und Schweizern. In einem Vorprojekt werden die Integrität der Daten und Wirtschaftlichkeit der Rettung geprüft.»
Die Daten der Nutzer von meineimpfungen.ch bleiben damit verschollen. Fortschritte bei der Datenrettung scheint es nicht zu geben, denn einen solchen Erfolg hätten die Aargauer Behörden und die Stammgemeinschaft eHealth Aargau sicherlich kommuniziert.
Immerhin ist aufgrund der Auskunft klar, dass die formell private SteHAG für die Daten mindestens mitverantwortlich ist und nicht etwa allein der Kanton Aargau als öffentlich-rechtliche Einrichtung. Wer welche Verantwortung trägt, müsste in der geheimen Vereinbarung stehen.
Wie die Datenintegrität doch noch hergestellt werden könnte, ist unklar. Der EDÖB als auch Dritte hatten schwerwiegende Mängel festgestellt, die offensichtlich bislang auch von der Stammgemeinschaft eHealth Aargau nicht behoben werden konnten.
Dabei wird der Nutzen der Daten immer geringer, je mehr Zeit vergeht:
- Viele Nutzer von meineimpfungen.ch dürften inzwischen mehrfach geimpft worden sein und mussten diese Impfungen anderweitig dokumentieren.
- Die Unklarheit über frühere Impfungen ist häufig unproblematisch: Es handelt sich um Impfungen in der Kindheit, regelmässig zu wiederholende Impfungen wie gegen Influenza und SARS-CoV-2, oder um Impfungen, die im Zweifelsfall nochmals erfolgen können wie gegen Tetanus und Zeckenenzephalitis.
- Gleichzeitig stellt sich die Frage, ob die Stammgemeinschaft eHealth Aargau die Datensicherheit auf Dauer gewährleisten kann. Wenn die SteHAG nicht in der Lage ist, Auskunft über die Daten zu erteilen, also gar nicht weiss, welche Daten über wen wie bearbeitet werden, ist offen, wie sie diese Daten schützen können soll.
Der EDÖB argumentierte denn auch nicht mit einem überwiegenden privaten Interesse, sondern mit einem überwiegenden öffentlichen Interesse, das unter anderem vom Bundesamt für Gesundheit (BAG) geäussert worden sei.
Fazit: Akquise für das elektronische Patientendossier statt Datenrettung?
Ich verstehe unter diesem öffentlichen Interesse in erster Linie das geäusserte Interesse von schweizerischen Gesundheitsbehörden, das bislang kläglich gescheiterte elektronische Patientendossier (EPD) zu retten. Beim EPD zeigen sich die Schwierigkeiten schweizerischer Behörden betreffend Digitalisierung und Gesundheit besonders deutlich. «Das EPD ist defizitär und nicht überlebensfähig.»
Die Stammgemeinschaft eHealth Aargau könnte auf einen Schlag mehrere 100’000 mögliche neue EPD-Nutzer gewinnen. Da das EPD in der Bevölkerung äusserst unbeliebt ist, hätte dieser direkte Zugang zu potenziellen Nutzern einen erheblichen wirtschaftlichen Wert, solange die Nutzung freiwillig bleibt. Gleichzeitig hätte Gallati im Kanton Aargau einen möglichen Ausweg aus dem kostspieligen EPD-Dekabel.
Ich gehe davon aus, dass die Stammgemeinschaft eHealth Aargau die Daten von meineimpfungen.ch nicht retten können wird.
Ich vermute, dass man versucht, mindestens die Kontaktadressen der Nutzer aufzubereiten, um Ihnen ein elektronisches Patientendossier bei der SteHAG-eigenen Plattform «emedo» schmackhaft zu machen – jedenfalls so lange, wie keine Datenschutz-Aufsichtsbehörde interveniert oder das EPD noch nicht für obligatorisch erklärt wurde. Ein Obligatorium ist geplant, nachdem die Bevölkerung in der Schweiz grossmehrheitlich nicht bereit ist, freiwillig ein EPD zu eröffnen.
Man wird die betroffenen Personen mit Bedauern über die gescheiterte Rettung informieren und gleichzeitig das elektronische Patientendossier bewerben.
Die Aufbereitung der Kontaktadressen ist im Vergleich zu einer Rettung der Impfdaten wesentlich weniger aufwendig und riskant. Nach der Aufbereitung der Kontaktadressen können die Impfdaten gelöscht werden.
Mit Blick auf das neue Datenschutzgesetz, das in der Schweiz am 1. September 2023 in Kraft tritt, wird sich die Stammgemeinschaft eHealth Aargau beeilen müssen.
Wenn die Stammgemeinschaft eHealth Aargau unter dem neuen Datenschutzgesetz weiterhin nicht in der Lage ist, Auskunft zu erteilen oder überhaupt ihren Pflichten als Verantwortliche nachzukommen, könnten betroffene Personen versucht sein, Strafantrag gemäss Art. 60 ff. nDSG zu stellen oder mit einer Anzeige gemäss Art. 49 ff. nDSG an den EDÖB zu gelangen.
Mit dem geltenden Datenschutzgesetz mag Laissez-faire funktionieren und der EDÖB hat keine Frist für den Abschluss der Datenrettung gesetzt. Der EDÖB wird mit Blick auf seine Glaubwürdigkeit und Unabhängigkeit aber nicht beliebig lange zuschauen können, wie die Gesundheitsdaten von mehreren 100’000 Menschen bei der Stammgemeinschaft eHealth Aargau vergammeln.
Genauso kann der EDÖB nicht akzeptieren, dass sich Verantwortliche ihren datenschutzrechtlichen Pflichten mit der Begründung nicht nachkommen, sie könnten diese nicht erfüllen. Schon jetzt müssen sich andere Verantwortliche fragen, wieso sie im Gegensatz zur SteHAG aufwendig versuchen, Auskunfts- und Löschbegehren zu beantworten anstatt.
Für die Gesundheitsdirektion im Kanton Aargau wäre Gunhilt Kersten Merker, die Beauftragte für Öffentlichkeit und Datenschutz des Kantons Aargau, als Datenschutz-Aufsichtsbehörde zuständig. Allerdings steht sie vor dem Problem, als Präsidentin der Stiftung Krebsregister Aargau selbst eine Akteurin im Aargauer Gesundheitswesen zu sein.
Wenn die Daten der Nutzer von meineimpfungen.ch im weiteren Jahr 2023 nicht gelöscht oder gerettet werden, könnten andere Verantwortliche berechtigterweise auf die Idee kommen, betroffenen Personen die Auskunft oder Löschung ihrer Daten genauso lapidar zu verweigern wie die Stammgemeinschaft eHealth Aargau. Ich bezweifle, dass der EDÖB und andere beteiligte Datenschutz-Aufsichtsbehörden ein solches Präjudiz schaffen möchten.
Nachtrag: Mit Veröffentlichung vom 16. Januar 2023 hat das Bundesamt für Gesundheit (BAG) den Zusammenhang mit dem elektronischen Patientendossier (EPD) bestätigt:
«In einem ersten Schritt wird im Rahmen eines vom Kanton Aargau in Auftrag gegebenen und vom BAG unterstützten Vorprojekts der Stammgemeinschaft eHealth Aargau evaluiert, ob die Rückgabe der Impfdaten an die Nutzerinnen und Nutzer der ehemaligen Plattform meineimpfungen.ch möglich ist.
Im Rahmen dieses Vorprojekts wird auch ein Vorschlag ausgearbeitet, wie die Bürgerinnen und Bürger ihre Impfdaten in das elektronische Patientendossier übertragen und einen neuen elektronischen Impfausweis erstellen können. Damit haben sie die Garantie, dass die Daten nicht nur zurückgegeben, sondern auch in den Impfausweis des EPD aufgenommen und entsprechend ihrem ursprünglichen Zweck weiterverwendet werden können.»
Konkret äusserst sich allerdings auch das BAG nicht, auch nicht auf der verlinkten Seite mit «allen Informationen zu den im Rahmen des EPD laufenden Arbeiten».