Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Tirol

Datenleck bei Corona-Tests: Staatsanwaltschaft wird aktiv

Positives Testergebnis, Name, Adresse, Geburtsdatum, Wohnort: Sensible Daten wie diese von allen Personen, die von Jänner bis Juni 2021 in Tirol auf Covid-19 getestet wurden, sind auf der Excel-Liste zu finden.
Positives Testergebnis, Name, Adresse, Geburtsdatum, Wohnort: Sensible Daten wie diese von allen Personen, die von Jänner bis Juni 2021 in Tirol auf Covid-19 getestet wurden, sind auf der Excel-Liste zu finden.(c) Getty Images (Jens Schlueter)
  • Drucken

In Tirol sollen rund 24.000 positive PCR-Test-Ergebnisse samt persönlicher Daten per E-Mail verschickt worden sein. Die Anklagebehörde prüft nun, ob ein Ermittlungsverfahren wegen Verstoß gegen das Datenschutzgesetz eingeleitet wird.

Nachdem am Mittwoch bekannt geworden ist, dass offenbar mehr als 24.000 positive Tiroler PCR-Testergebnisse von Jänner bis Juni geleakt worden waren, ist nun die Staatsanwaltschaft Innsbruck aktiv geworden. Man prüfe derzeit, ob ein Ermittlungsverfahren gegen Unbekannt wegen eines Verstoßes gegen das Datenschutzgesetz eingeleitet wird, sagte Sprecher Hansjörg Mayr am Donnerstag. Die Behörde wurde damit von sich aus aufgrund der Medienberichte aktiv.

Der ehemalige Geschäftsführer der in die Kritik geratenen Firma HG Lab Truck, Tochterfirma der HG Pharma, Ralf Herwig, hatte die Daten im August offenbar per E-Mail in Form von Excel-Sheets - wie er betont verschlüsselt - verschickt. Herwig bestätigte dies und erklärte das mutmaßliche Leck damit, dass er Opfer eines Hackerangriffs geworden sei. Er habe die Mail am 10. August zum Zweck eines "Back-up" verschickt, so der umstrittene Urologe, dessen Firma ursprünglich für das Land Tirol die PCR-Testungen durchgeführt hatte. Wegen des Datenlecks habe er "IT-forensische Untersuchungen" eingeleitet. Danach werde er die zuständige Behörde informieren und Strafanzeige stellen, kündigte der Ex-HG Pharma-Chef an. Offen war, weshalb Herwig im August noch Zugriff auf die Daten hatte bzw. diese versendete - er war im Mai nach massiver Kritik als Geschäftsführer abgetreten.

Die Daten mit den Ergebnissen beinhalten laut den Berichten Patientennamen, Wohnort, Geburtsdaten und Details sowie die jeweiligen Virusmutationen. Auch Namen bekannter Politiker wie etwa jene von Liste Fritz-Chefin Andrea Haselwanter-Schneider und ÖVP-Nationalratsabgeordnetem Franz Hörl sollen sich darunter befinden.

Fall für Datenschutzbehörde

Das Ganze ist inzwischen auch ein Fall für die Datenschutzbehörde. Diese leitet eine Prüfung wegen des Verdachts auf Verstoß gegen die Datenschutz-Grundverordnung ein, es sei ebenfalls ein Verwaltungsstrafverfahren möglich, hieß es. Auch Betroffene könnten Beschwerde bei der Behörde einreichen - Haselwanter-Schneider kündigte etwa an, dies zu tun. Datenschützer kritisierten, dass man derart sensible Informationen nicht einfach per E-Mail versenden dürfe. Wenn solche Daten in Umlauf geraten, könne das schwerwiegende Folgen für die Betroffenen haben.

Eine Infektion könnte auch eine "Long Covid"-Erkrankung nach sich ziehen. Listen mit positiven Testergebnissen könnten also potenzielle künftige Arbeitgeber abschrecken, aber auch zur Ablehnung bei privaten Krankenkassen führen, meinte Datenschutzexperte Thomas Lohninger von epicenter.works. Der Empfänger der E-Mail ist offenbar laut den Berichten ein externer IT-Techniker. Sein ehemaliger Arbeitgeber, eine IT-Firma, würde ihm vorwerfen, ihre selbstprogrammierte Software zur Verarbeitung von PCR-Test-Ergebnissen unrechtmäßig übernommen zu haben und diese nun ohne deren Zustimmung zu nutzen.

Land: Daten nicht von eigenen Servern

Seitens des Landes betonte man, dass man nach derzeitigem Wissensstand ausschließen könne, dass Gesundheitsdaten von eigenen Servern und Systemen an die Öffentlichkeit gelangt sind. "Und auch alle Vertragspartner wurden und werden grundsätzlich in Datenschutzklauseln standardmäßig verpflichtet, personenbezogene und sensible Daten zu schützen." Für die Umsetzung und Einhaltung der Datenschutzbestimmung sei der jeweilige "datenverarbeitende Vertragspartner" verantwortlich. "Sollte es tatsächlich zutreffend sein, dass Gesundheitsdaten entgegen den Vereinbarungen an Dritte weitergegeben wurden, ist dies schärfstens zu verurteilen und behält sich das Land Tirol rechtliche Schritte vor", erklärten die Verantwortlichen. An einer Front wurde man jedenfalls schon jetzt aktiv. Wie das Land gegenüber der "Tiroler Tageszeitung" erklärte, erging noch am Mittwoch eine Sachverhaltsdarstellung an die Datenschutzbehörde. Außerdem wurde Ralf Herwig bzw. die HG Lab Truck GmbH zu einer umgehenden Sachverhaltsdarstellung aufgefordert.

Unternehmen in der Kritik

Die Causa HG Pharma bzw. HG Lab Truck beschäftigt seit Frühjahr immer wieder Medien und Politik. Die schwarz-grüne Landesregierung war Anfang Mai wegen der Causa unter Beschuss geraten. Vor allem die Direktvergabe des rund acht Millionen Euro schweren Auftrags ohne Ausschreibung im vergangenen September an die Firma Herwigs sorgte für scharfe Kritik. Ein unrechtmäßiges Handeln dabei stellte das Land stets in Abrede. Es war zu offenbar teils falschen Mutations-Bewertungen bei den Tiroler PCR-Proben durch die HG Lab Truck gekommen. Rund 380 Fälle mussten nach einem vorläufigen Zwischenergebnis der bisherigen Sequenzierungen der AGES umgestuft werden.

Zudem war die Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) aktiv geworden und hatte im Juli einen Vorhabensbericht an die Oberstaatsanwaltschaft Wien übermittelt. Es stand der Vorwurf im Raum, dass die HG Lab Truck die vom Land Tirol in Auftrag gegebenen PCR-Tests "nicht sach- und fachgerecht durchgeführt hätte bzw. zur Durchführung solcher Tests nicht qualifiziert und berechtigt gewesen sei". Über Anklage oder Nicht-Anklage entscheidet das Justizministerium.

Konsequenzen gefordert

Der Klubobmann der Tiroler Grünen, Gebi Mair, forderte indes im Falle eines unbefugten Datenzugriffs Herwigs juristische Folgen: "Das Land Tirol hat die Zusammenarbeit mit Ralf Herwig im Mai 2021 (endlich) beendet. Wenn er danach noch unbefugten Zugang zu aktuellen Daten hatte, wird das zu Konsequenzen führen müssen, und zwar straf- und zivilrechtlich", schrieb er auf Twitter.

Tirols SPÖ-Gesundheitssprecherin LAbg. Elisabeth Fleischanderl nahm wiederum das Land Tirol in die Pflicht. Das Datenleck sei "die nächste Panne im Corona-Krisenmanagement des Landes, die lückenlos aufgeklärt werden muss", sagte sie. "Dies ist wohl das Ergebnis, wenn freihändig, ohne Ausschreibung, ohne genaue Kriterien und Kontrolle Millionenaufträge vergeben werden", meinte Fleischanderl.

(APA)