Update vom 23. März 2021: Datenschützer nimmt digitalen Impfausweis vom Netz

Um die Datensicherheit des elektronischen Impfausweises steht es schlecht. Zu diesem Schluss kommt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Adrian Lobsiger, und liess die Plattform Meineimpfungen.ch am Montag, 22. März bis auf Weiteres vom Netz nehmen.

Zwei Tage zuvor hatte das Online-Magazin «Republik» beim EDÖB Anzeige erstattet wegen gravierender Sicherheitslücken beim elektronischen Impfbüchlein. Recherchen des Magazins hatten gezeigt, dass Hacker sich relativ leicht Zugang verschaffen können zu sämtlichen Daten aller 450'000 Nutzer, auch zu denen der gut 240'000 Covid-Geimpften. Ein weiterer gravierender Mangel war, dass sich jedermann bei der Plattform als Arzt registrieren lassen konnte; die nötigen Angaben beruhten auf Eigendeklaration, es habe nur eine mangelhafte Überprüfung der Angaben stattgefunden. 

Und: Wer einmal als Arzt registriert war, hatte auf die Impf- und Gesundheitsdaten sämtlicher 450'000 erfasster Personen Zugriff. Dies, obwohl die Stiftung den Nutzern ausdrücklich kommunizierte, nur sie selbst könnten den Medizinfachpersonen ihres Vertrauens die Zugriffsrechte erteilen. Die registrierten Ärzte konnten aber nicht nur in die Daten der Geimpften einsehen, sondern diese auch modifizieren, ohne dass die Nutzer über diesen Schritt informiert wurden.

Konsumentenschützerin fordert, dass Stiftung der Stecker gezogen wird

Datenschützer Lobsiger hat gegen die Stiftung Meineimpfungen mit Sitz in Gümligen (BE) ein Verfahren wegen Verdacht auf einen Verstoss gegen das Datenschutzgesetz eröffnet. Und er hat die Verantwortlichen der Stiftung aufgefordert, «sehr rasch zu den erhobenen Vorwürfen Stellung zu nehmen». Ob Unbefugte bereits Zugriff auf die Gesundheitsdaten der Nutzer hatten und allenfalls Daten manipuliert wurden, ist unklar. Der EDÖB fordert vom Stiftungsrat, Angaben über allfällige Datenverluste zu machen.

Konsumentenschützerin Sara Stalder fordert nun, dass die Tätigkeit von Meineimpfungen.ch sofort «und auf Dauer» gestoppt wird. Der Konsumentenschutz hat schon im Januar den Bund dafür kritisiert, dass er die Stiftung Meineimpfungen mit dem elektronischen Covid-Impfpass beauftragt hatte. Und Stalder wies mehrfach auf die Intransparenz bei der Stiftung hin. Das Datenleck zeige, dass die Kritik mehr als berechtigt gewesen sei. «Das Bundesamt für Gesundheit BAG muss endlich seine Verantwortung wahrnehmen und dafür sorgen, dass der Bevölkerung ein sicherer und verlässlicher Impfausweis ausgestellt werden kann, der zudem auch kompatibel für internationale Reisen ist.»

So können Nutzer die Datenlöschung beantragen

Unterdessen meldeten sich viele verunsicherte Personen bei der Stiftung Konsumentenschutz. Sie können derzeit nicht mehr auf ihre Daten zugreifen und diese löschen. Und für viele stelle sich auch die Frage, ob Unbefugte in ihre Daten eingesehen, diese kopiert oder manipuliert haben. Der Konsumentenschutz stellt deshalb online einen Musterbrief zur Verfügung, mit dem die Nutzer die Stiftung Meineimpfungen auffordern können, die Daten löschen zu lassen und dem User alle Daten vollständig zukommen zu lassen.

Der Aufruf von BAG-Direktorin Anne Lévy muss sich angefühlt haben wie der erlösende Kuss aus dem Dornröschenschlaf: Am 28. Dezember 2020 wies sie an der Pressekonferenz darauf hin, dass Covid-Geimpfte ihre Daten ab Januar auf myCOVIDvac eintragen lassen können, einem Modul des digitalen Impfbüchleins «Meineimpfungen».

Obwohl das Projekt seit gut zehn Jahren läuft, schaffte es den grossen Durchbruch nicht. Bis kurz vor Weihnachten haben 300000 Personen ihre Impfungen digital auf der Plattform Meineimpfungen.ch erfasst – das sind nur 3,4 Prozent der Schweizer Bevölkerung. Der digitale Eintrag der Covid-Impfung ist freiwillig, doch viele Geimpfte wird wohl das Argument überzeugen, dass sie so rasch informiert werden könnten, falls später eine Nachimpfung notwendig werden würde.

Impfdaten lagern bei privater IT-Firma

So weit, so gut. Doch dieses digitale Impfbüchlein, das mit der Empfehlung der BAG-Direktorin quasi einen offiziellen Charakter bekommen hat, wird nicht vom Bund angeboten, sondern von der privaten Stiftung Meineimpfungen. Im Stiftungsrat sitzen Vertreterinnen und Vertreter aus der Ärzteschaft, der Ärztekasse, dem Apothekerverband Pharmasuisse sowie der bislang unbekannten IT-Firma Arpage. Die Daten von potenziell Hunderttausenden Covid-Geimpften werden nicht auf einem Bundesserver gespeichert, sondern von der privatrechtlichen Arpage AG verwaltet.

Was dort mit den Daten passiert, ist unklar. Hannes Boesch, Stiftungsratsmitglied von Meineimpfungen und CEO der Firma Arpage, sagt, man stelle mit rechtlichen Mitteln sicher, dass die Arpage oder Mitglieder des Verwaltungsrates die Daten nicht für andere Zwecke nutzen würden.

Zusammenarbeit mit der Post geprüft

Recherchen des Beobachters zeigen: Es gibt bereits erste Kontaktaufnahmen mit Anbietern des elektronischen Patientendossiers (EPD). Verschiedene Organisationen bewerben sich um eine Zertifizierung, ein EPD betreiben zu können. Und es gibt Bestrebungen, dass der User künftig den elektronischen Impfausweis mit dem Patientendossier verbinden kann.

An dieser Idee arbeitet auch die Post, die ein EPD anbietet. Auf ihrer Website stand bis zum 19. Januar 2021 unter dem Punkt E-Impfdossier: «Der elektronische Impfausweis stammt entweder aus einem Arztpraxissystem oder aus dem Impfportal Meineimpfungen.ch.» Als der Beobachter der Stiftung und der Post Fragen dazu stellt, wird die Seite eilig vom Netz genommen.

Eine Mitarbeiterin der Stiftung sagt, die Angaben der Post seien falsch und könnten zur Auffassung führen, dass es einen automatischen Datenaustausch gebe. Dem sei nicht so. «Es gibt kein Projekt zwischen der Post und Meineimpfungen.» Der Nutzer könne die Daten von Meineimpfungen herunterladen und in ein EPD hochladen. «Er ist allein dafür verantwortlich und muss selbst aktiv werden», so die Mitarbeiterin. Die Stiftung würde niemals Nutzerdaten an irgendeine Stelle weiterleiten, ohne dass der Nutzer davon weiss und eingewilligt hat. Auch nicht an ein elektronisches Patientendossier. 

Auch die Post spricht von einer missverständlichen Kommunikation. «Diese Dienstleistung bieten wir aktuell noch nicht auf dem Markt an, sie befindet sich erst in der Prüfungs- und Entwicklungsphase», so eine Post-Sprecherin. Doch anders als Meineimpfungen gibt die Post an, man habe vor zwei bis drei Jahren in einer technischen Machbarkeitsanalyse geprüft, ob man das elektronische Patientendossier mit dem digitalen Impfbüchlein verbinden kann. Es seien aber zu keinem Zeitpunkt Daten vom E-Impfbüchlein an die Post oder in die umgekehrte Richtung geflossen, auch nicht testweise, so die Post.

Verwaltungsrat der Arpage hat Verbindungen zur Post

Personelle Verbindungen aber gibt es. Letzten Sommer hat Arpage Pascal Koradi in den Verwaltungsrat aufgenommen. Koradi war früher Finanzchef der Post und wurde der Öffentlichkeit durch die Postauto-Affäre bekannt. Die Affäre löste ein Strafverfahren aus. Der Fall liegt derzeit beim Berner Obergericht. Es gilt die Unschuldsvermutung.

Arpage-Chef Boesch hat Koradi nur wenige Tage nach der Anklageerhebung in den Verwaltungsrat berufen. Für ihn kein Problem: «Herr Koradi ist eine ausgewiesene Führungspersönlichkeit, die wir menschlich und fachlich schätzen. Es gibt keinen Grund, an seiner Integrität zu zweifeln.»

Neben seiner neuen Tätigkeit als Verwaltungsrat der Arpage führt Pascal Koradi eine eigene Firma, die Unternehmen in datengetriebenen Geschäften berät. Auf die Frage, ob er in das Projekt des elektronischen Impfausweises der Post involviert war, antwortet Koradi zeitgleich mit der Stellungnahme der Post: «Nein, ich war nicht involviert.»

Ob die Stiftung solche Tests wie mit der Post auch mit weiteren Anbietern von elektronischen Patientendossiers macht, kann nicht festgestellt werden. Die Arpage AG ist aber Mitglied des Vereins AD Swiss, der sich um eine Zulassung für ein elektronisches Patientendossier bewirbt. Die Arpage sei zuständig für die technische Entwicklung, weiss die Zulassungsstelle eHealth Suisse.

BAG verweist für Datensicherheit an Stiftung

Wie weit die Befugnisse von Arpage-CEO Hannes Boesch innerhalb der Stiftung gehen, ist nicht klar. Ein Organigramm mit Angaben zum Aufgabengebiet der Stiftungsratsmitglieder sucht man auf der Seite Meineimpfungen.ch vergeblich. Offenbar spielt die Firma Arpage für das digitale Impfbüchlein eine zentrale Rolle: CEO Hannes Boesch ist seit dem Projektstart 2011 mit an Bord, und als das Projekt im Jahr 2015 in eine Stiftung überführt wurde, schoss er 100'000 Franken ins Stiftungskapital ein. Ein weiteres Geschäftsleitungsmitglied der Arpage sitzt im Steuerungsausschuss der Stiftung, andere Mitarbeiter sind offenbar ebenfalls in Doppelfunktion für die Stiftung und die Arpage tätig. Öffentlich ersichtlich ist das aber nirgends. 

Der Beobachter schickte an die einzige angegebene, allgemeine E-Mail-Adresse die Frage, ob es mit Blick auf die Datensicherheit und eine allfällige Weiterverwendung der Daten nicht heikel sei, dass der Chef dieser IT-Firma auch im Stiftungsrat sitzt. Arpage-CEO Hannes Boesch antwortete im Namen der Stiftung: «Herr Boesch hat das Projekt mitbegründet und bringt – wie alle Mitglieder im Stiftungsrat – wichtiges Fachwissen in die Stiftung ein. Wir vertrauen Herrn Boesch wie auch der Arpage.»

Claire-Anne Siegrist, Impfprofessorin und Stiftungsratspräsidentin von Meineimpfungen, reagierte nicht auf Anfragen des Beobachters und liess Arpage-CEO Hannes Boesch die Fragen beantworten. Und das BAG interessiert sich für diese Konstellation offenbar nicht. Auf die Frage, wie es sicherstelle, dass Boesch und die weiteren Stiftungsratsmitglieder die Daten der geimpften Personen nicht weiterverwenden, verweist das BAG an die Stiftung.

BAG zahlt seit Jahren grössere Beträge an die Stiftung

Und bei noch einem Punkt zeigt sich die Stiftung wenig auskunftsfreudig: wie es um ihre Finanzen steht. Offiziell bekannt war bislang lediglich, dass das digitale Impfbüchlein vom BAG einen jährlichen Betrag von 250'000 Franken erhält. Laut Hannes Boesch ist dieser Betrag erstmals 2020 geflossen. «Die zuvor vom BAG bezahlten Beträge wurden projektbezogen ausbezahlt und waren wesentlich kleiner», so Boesch. 

Eine Nachfrage beim BAG zeigt nun aber: Von «wesentlich kleiner» kann nicht die Rede sein. Von 2017 bis 2019 erhielt Meineimpfungen vom Bund total über 685'000 Franken (siehe Infografik weiter unten). Ein grosser Teil wurde als Subventionen für Impfkampagnen bei Fachpersonen ausgeschüttet.

2019 finanzierte das BAG aber auch die Weiterentwicklung des Webauftritts mit 135'000 Franken. Ein grosser Teil davon dürfte in die Kasse der Arpage AG weitergeflossen sein. Wie viel die Stiftung jährlich an die Arpage zahlt für die Datenverwaltung und den Unterhalt, will Boesch nicht sagen. Der Auftrag generiere etwa 10 bis 15 Prozent des Gesamtumsatzes der Arpage. Laut Schätzungen der Wirtschaftsauskunft Teledata macht die Firma mit ihren 17 Mitarbeitern einen Jahresumsatz von bis zu 10 Millionen Franken. Für das Zusatzmodul «myCOVIDvac» zahlt das BAG nun einmalig 450'000 Franken. 

Pharma unterstützt Meineimpfungen grosszügig

Im Dunkeln lässt die Stiftung ihre Nutzer auch darüber, dass sie in den vergangenen Jahren grosszügige Summen von der Pharma erhielt. Insgesamt 827’000 Franken zahlten die Firmen GlaxoSmithKline, Pfizer, MSD und Sanofi-Aventis zwischen 2016 und 2019. Die Zahlen stammen von der Pharmatransparenzseite Pharmagelder.ch, auf welcher der Beobachter und weitere Medien die Zahlungen an Ärzte und Institutionen zusammentragen. Die Zahlen für 2020 haben die Pharmafirmen noch nicht publiziert.

Wie die Stiftung das Geld der Pharmafirmen eingesetzt hat und welche Gegenleistung diese erhielten, ist nicht bekannt. Auf ihrer Website schreibt Meineimpfungen, es sei ausgeschlossen, dass die Firmen Einfluss auf die Stiftungsaktivitäten nehmen oder Einblick in sensible Daten haben. Die Firmen seien nicht Partner im Sinn einer Steuerungsfunktion, sondern lediglich Gönner.

BAG hält an Zusammenarbeit fest

Trotz der Fragezeichen zum Datenschutz und zu den intransparenten Strukturen hält das BAG an der Lösung mit Meineimpfungen fest. «Wir arbeiten schon seit Jahren mit Meineimpfungen.ch zusammen», so eine Sprecherin des BAG. Aktuell existiere im Schweizer Gesundheitswesen für den Nachweis von verabreichten Impfungen auf nationaler Basis keine andere Lösung. «Die Zusammenarbeit mit der Stiftung auch für die Covid-19-Impfung ist damit eine konsequente Weiterführung der BAG-Strategie.»

Die besten Artikel – Woche für Woche
«Die besten Artikel – Woche für Woche»
Der Beobachter-Newsletter