URI: 

       # taz.de -- Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten
       
       > IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern.
       > Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein.
       
   IMG Bild: Eine Corona-Teststation in München
       
       Berlin taz | Durch zwei neue Sicherheitslücken im Gesundheitsbereich können
       die Daten von insgesamt mehreren Millionen Menschen in unbefugte Hände
       geraten sein. So machten [1][WDR und Süddeutsche Zeitung eine umfassende
       Sicherheitslücke bei einem Betreiber mehrerer Dutzend
       Coronaschnelltestzentren bekannt], die IT-Expert:innen der Gruppe
       Zerforschung entdeckt haben.
       
       Demnach waren rund 175.000 PDF-Dateien mit Buchungsbestätigungen oder
       Testergebnissen im Internet abrufbar. Die Dateien enthielten unter anderem
       Namen, Geburtsdaten, Adressen, Telefon- und, soweit angegeben, auch
       Personalausweisnummern. Betroffen sein sollen mehrere 10.000 Menschen. Die
       Landesdatenschutzbeauftragte von Nordrhein-Westfalen gab an, den Fall zu
       prüfen.
       
       Datenschutz- und Sicherheitsprobleme beim Schnelltestzentren sind ein
       bekanntes Problem: Die IT wird anscheinend ähnlich schnell aufgebaut, wie
       die Teststellen selbst. Vorgaben wie Privacy by Design, das die
       Datenschutz-Grundverordnung vorsieht und wonach nur so viele Daten wie
       unbedingt nötig erhoben werden dürfen, werden dabei nur selten beachtet.
       
       Häufig zeigen die Sicherheitslücken, dass außerdem grobe Programmierfehler
       gemacht werden, die dazu führen, dass persönliche Gesundheitsdaten von
       Getesteten ungeschützt im Netz abrufbar sind.
       
       ## Millionen von Doctolib-Terminen frei im Netz
       
       Im zweiten Fall geht es um Daten von Patient:innen, die Termine über das
       Portal Doctolib buchen. Laut einem [2][Bericht von Zeit Online] wurden dem
       Chaos Computer Club Daten zugespielt, die zeigten, dass ein Datensatz von
       150 Millionen Terminvereinbarungen für Unbefugte frei im Internet
       zugänglich gewesen sein soll. Erst Mitte vergangenen Jahres sei die Lücke
       geschlossen worden.
       
       Die Datenbank soll teilweise bis ins Jahr 1990 zurückreichen. Das ist
       grundsätzlich plausibel, da Doctolib bei teilnehmenden Praxen teilweise
       auch Termine aus der Vergangenheit ausliest. Gegenüber Zeit Online bestritt
       Doctolib den Umfang der Sicherheitslücke, eine Anfrage der taz ließ das
       Unternehmen bis Redaktionsschluss offen.
       
       Doctolib ist bereits länger im Visier von Datenschützer:innen. Der Verein
       Digitalcourage verlieh der Plattform kürzlich einen Negativpreis. Und die
       Berliner Datenschutzbeauftragte gab auf Anfage der taz an, dass bereits
       Beschwerdeverfahren laufen würden.
       
       Dabei gehe es sowohl um Doctolib direkt als auch um Praxen, die den Dienst
       einsetzen. Auch die „Einbindung von Doctolib im Rahmen des Impfmanagements“
       sei Gegenstand von Verfahren – das Unternehmen wickelt für das Land Berlin
       die Vergabe von Impfterminen und die Dokumentation der Impfungen ab. Damit
       liegen unter anderem die Anamnesebögen – auf denen beispielsweise
       Vorerkrankungen und Allergien angegeben werden müssen, in der Hand von
       Doctolib.
       
       23 Jun 2021
       
       ## LINKS
       
   DIR [1] https://www.tagesschau.de/investigativ/wdr/sicherheitsluecken-testzentren-101.html
   DIR [2] https://www.zeit.de/digital/datenschutz/2021-06/doctolib-online-buchung-arzttermin-impftermin-datenschutz-sicherheitsluecke-patientendaten/komplettansicht
       
       ## AUTOREN
       
   DIR Svenja Bergt
       
       ## TAGS
       
   DIR Schwerpunkt Coronavirus
   DIR Gesundheitsdaten
   DIR Online-Plattform
   DIR Schwerpunkt Coronavirus
   DIR CO2-Emissionen
   DIR Schwerpunkt Überwachung
   DIR Datenschutz
   DIR Schwerpunkt Coronavirus
   DIR Gesundheit
       
       ## ARTIKEL ZUM THEMA
       
   DIR Corona-Apps der Bundesregierung: Auf Google fixiert
       
       Ohne den US-Giganten sind die Corona-Apps der Regierung nicht nutzbar. Das
       macht es Nutzer*innen, die sich nicht überwachen lassen wollen, unnötig
       schwer.
       
   DIR Ministerium für Digitales: Der Quatsch mit dem Querschnitt
       
       Ein Ministerium für digitale Transformation muss her. Die Vorstellung, dass
       beim Internet alle mitdenken, ist illusorisch.
       
   DIR Experte über Firma für Gesichtserkennung: „Einschüchternde Wirkung“
       
       Das US-Unternehmen Clearview speichert in seiner biometrischen
       Fotodatenbank auch Europäer:innen. Das will die Datenschutzorganisation
       noyb beenden.
       
   DIR Big Brother Award für Online-Plattform: Negativpreis für Doctolib
       
       Der Datenschutzverein Digitalcourage zeichnet die Online-Plattform in der
       Kategorie Gesundheit aus. Es gebe zahlreiche Probleme mit der Transparenz.
       
   DIR Corona und Datenschutz: Die falsche Erzählung
       
       Für die Coronabekämpfung müssen wir auf Datenschutz verzichten, heißt es
       oft. Doch das ist ein Kurzschluss: Man kann beides verbinden.
       
   DIR Datenschützer über E-Patientenakte: „Alles andere als vertrauenswürdig“
       
       Digitalisierung ist notwendig, sagt Thilo Weichert. Aber wer seine
       elektronische Patientenakte jetzt schon nutzt, ist noch Teil eines
       Experiments.