Rund 24.000 positive PCR-Test-Ergebnisse inklusive Personendaten sollen per E-Mail verschickt worden sein. Mutmaßlicher Absender: Ralf Herwig, Protagonist in der Causa HG Lab Truck. Er selbst spricht von einem „Hackerangriff“.
Name, Adresse, Geburtsdatum, Wohnort, positives Testergebnis. Hochsensible Daten wie diese von rund 24.000 Tirolern sollen in einer einfachen Excel-Tabelle verschickt worden sein. Das berichten ORF Tirol und der „Standard“.
Betroffen sind demnach so gut wie alle Personen, die in Tirol von Jänner bis Juni 2021 positiv auf Covid-19 getestet wurden. Die Datensammlung in Umlauf gebracht haben soll der ehemalige Geschäftsführer von HG Lab Truck, Ralf Herwig, der im Frühjahr rund um die Auftragsvergabe zur Durchführung von PCR-Tests in Tirol in Kritik geraten ist. Er soll die Excel-Tabelle an eine firmenexterne Person verschickt haben.
Herwig selbst bestätigte gegenüber den beiden Medien, das E-Mail am 10. August verschickt zu haben. Der Grund: „Ein Back-up“. Das E-Mail sei allerdings sehr wohl verschlüsselt gewesen, ergänzte er. Und auch, dass weitere Überprüfungen ergeben haben, dass es einen „Hackerangriff“ auf sein E-Mail-Postfach gegeben hat. So kam es überhaupt erst zum Datenleck. Er habe „IT-forensische Untersuchungen“ eingeleitet, dessen Ergebnisse er an die zuständigen Behörden weiterleiten werde, sobald sie abgeschlossen seien.
Seitens des Landes Tirol hieß es, die Gesundheitsdaten würden nicht vom eigenen Servern oder Dateisystemen stammen. Vertragspartner seien vertraglich dazu verpflichtet, personenbezogene und sensible Daten zu schützen, wird Gesundheitsdirektor Thomas Pollak zitiert, der den Vorfall „aufs Schärfste“ verurteile. Dem Land sei nichts von einer Weitergabe an Dritte bekannt, es behielte sich rechtliche Schritte vor.
Der Vorfall wirft viele Fragen auf. Warum hatte Ralf Herwig etwa noch Zugriff auf die Daten, wo er doch noch im Mai als Geschäftsführer der HG Lab Truck zurückgetreten ist? HG Lab Truck selbst führte dann bis Juni Testungen durch, die Tests wurden vom Land Tirol neu ausgeschrieben.
„Handfester Skandal"
Auf der Liste der Personendaten finden sich auch jene prominenter Personen: Jene von Andrea Haselwanter-Schneider, Obfrau der Liste Fritz etwa. Sie sprach gegenüber dem ORF von einem „handfesten Skandal“, von einem „Vertrauensverlust" und betonte, dass mit Gesundheitsdaten sorgfältig umgegangen werden müsste. Nationalratsabgeordneter Franz Hörl ist ebenfalls betroffen, reagierte aber gelassen. Er habe keine Geheimnisse, ließ er wissen, meinte aber auch, Sinn und Zweck von Datenschutz sei es eben genau, solche Daten zu schützen.
Die zuständige Datenschutzbehörde wird das Datenleck nun überprüfen. Es wird eine Prüfung wegen potenziellen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) eingeleitet. Betroffene Personen - also jene Tiroler, die von Jänner bis Juni 2021 positiv getestet wurden - könnten kostenlos Beschwerde einlegen.
Opposition erzürnt
Die Opposition zeigte sich am Mittwoch empört: „Ein Skandal jagt in Tirol den nächsten“, kommentierte der Tiroler FPÖ-Landesparteiobmann Markus Abwerzger das Datenleck. „Die politischen Verantwortlichen“ müssten für diesen „Dilettantismus“ zur Rechenschaft gezogen werden, massive Mitschuld trage ihm zufolge die schwarz-grüne Landesregierung. „Letztverantwortlicher ist auch hier Landeshauptmann Platter, der die ausschreibungslose Auftragsvergabe an die ominöse Firma abgenickt hat“, so Abwerzger.
Von einem „neuerlichen Skandal" sprach auch der Tiroler Landessprecher der Neos, Dominik Oberhofer. „Ob Ausschreibung, Vergabe oder Auswertung: Schon von Beginn hat hier nichts gepasst. HG Lab hätte den Auftrag schon von vornherein nicht bekommen dürfen.“ Gemeinsam mit Parteikollege und Digitalisierungssprecher Douglas Hoyos forderte er "lückenlose und rasche Aufklärung": "Irgendwo ist hier gehörig geschlampt worden und es erstaunt mich jedes Mal aufs Neue, wie schlecht es immer noch um die Datensicherheit hierzulande bestellt ist“, so Hoyos. Von Wirtschafts- und Digitalisierungsministerin Margarete Schramböck (ÖVP) forderte er, sie müsse sich „schleunigst“ um „mehr Sicherheit unserer Daten" und um eine „kompromisslose Einhaltung der Datenschutz-Grundverordnung" sorgen.
(bsch)
