Gepostet am 11. Juli 2022, 9:24 Uhr
Im Kanton Zürich hat es beim Datenschutz gravierende Versäumnisse gegeben. Ein Datenschützer ist von dem Fehler überrascht. Seitdem wurden Konten deaktiviert.
1/6
Die Firma JDMT sammelt seit Beginn der Pandemie im Auftrag des Kantons Zürich grosse Datenmengen in der Kontaktverfolgung.
REUTERS
Die Recherche des «Tages-Anzeigers» hat nun ergeben, dass mehrere hundert Tracer-Benutzerkonten aktiv blieben, obwohl die Verfolgung von Kontakten bis Ende März unterbrochen worden war.
Urs Jaudas / Tamedia AG
Ehemalige Mitarbeiter hatten noch Zugriff auf sensible Daten. (Symbolfoto)
20 Minuten
Die Firma JDMT hat durch Tracking von Kronenkontakten im Kanton Zürich rund 950’000 Datensätze von Zürcherinnen und Zürchern erstellt. Wer mindestens einmal positiv getestet wurde oder in Quarantäne musste, erscheint mit Name, Adresse, E-Mail, Telefonnummer und Infektionsdatum. In bestimmten Fällen gibt es auch Angaben zu Infektionsort, Vorerkrankungen, Symptomen und Kontaktpersonen.
Ende März stoppte JDMT die Nachverfolgung von Kontakten und entließ die meisten Mitarbeiter. Recherchen des «Tages-Anzeiger» haben nun aber ergeben, dass Ende Juni noch Benutzerkonten von mehr als 600 Tracern aktiv waren und diese theoretisch weiterhin auf sensible Daten zugreifen könnten.
Datenschutzbeauftragter: „Schwerer organisatorischer Mangel“
Sven Fassbender, Spezialist für Informationssicherheit und Mitgründer des Beratungsunternehmens ZFT, bezeichnete den Fall im „Tages-Anzeiger“ als „schwerwiegenden Organisationsmangel“. Denn wenn ein Mitarbeiter ausscheidet, sollten alle Accounts deaktiviert werden.
Fassbender kritisiert vor allem, dass es auch nicht benutzerdefinierte Logins gab, mit denen auf die Datenbank zugegriffen werden konnte. Sie hatten auch Administratorrechte. „Nicht benutzerdefinierte Logins sind für diese Datenbank grundsätzlich falsch“, sagt Fassbender. Ein Unternehmen muss nachvollziehen können, wer wann welche Änderungen am System vorgenommen hat.
Konten wurden bereits deaktiviert
Auf Anfrage des «Tages-Anzeiger» bestätigte das Gesundheitsdepartement des Kantons Zürich die Panne. Laut Beat Lauper, zuständig für die Kontaktverfolgung beim Gesundheitsamt, seien die Konten bereits deaktiviert worden. „Wir bedauern diesen Fehler“, sagt Lauper. Das Unternehmen JDMT stand in Absprache mit der Gesundheitsdirektion für eine Stellungnahme nicht zur Verfügung.
Laut Lauper wurde bisher kein Missbrauch der Daten festgestellt. Die Behauptung, Mitarbeiter müssten eine Datenschutzerklärung unterschreiben, ist allerdings nur bedingt beruhigend: Ein ehemaliger JDMT-Mitarbeiter sagte dem «Tages-Anzeiger», er habe nie eine solche Vereinbarung unterschrieben. Es gab auch keine anderen Sicherheitskontrollen.
Keine Sicherheitskontrollen
Auch Datenschutzexperte Fassbender findet es problematisch, weil große Gesundheitsdienstleister von neuen Mitarbeitern oft ein Strafregister und ein Betreibungsregister verlangen, bevor sie auf sensible Daten zugreifen können.
Sven Fassbender behauptet, dass Mitarbeiter oder ehemalige Mitarbeiter großen Nutzen aus den Daten ziehen oder großen Schaden anrichten könnten. Im entsprechenden Markt kann der Wert von Gesundheitsdaten mehrere Franken pro Datensatz betragen.
Laut Tracking-Chef Beat Lauper ist noch unklar, ob JDMT weiterhin an der Kontaktverfolgung festhalten wird. Der Auftrag wird in den kommenden Tagen neu ausgeschrieben. Für JDMT wird der Fehler jedoch keine Folgen haben, denn für die Kontaktverfolgungssoftware und damit den Datenschutz ist das Gesundheitsamt zuständig. Die Software wird nur noch bis Ende August genutzt.