Beim Epidemiologischen Meldesystem soll es eine „massive Sicherheitslücke“ gegeben haben. Ein Zugriff auf Daten "aller Bürger durch Dritte" war laut Medienberichten möglich. Das Gesundheitsministerium stellt die Sachlage anders dar.
Eine "massive Sicherheitslücke" im Epidemiologischen Meldesystem (EMS), in das unter anderem Positivergebnisse nach Corona-Testungen eingetragen werden, hätten Recherchen von "Standard" und epicenter.works offengelegt. Das berichteten die Tageszeitung und die Datenschutz-NGO. Es handelt sich um einen unbefugten Zugriff auf ein Einmeldesystem des Bundes für Labore, auf welches sich Dritte widerrechtlich Zugang verschafft haben - nicht um das EMS -, hieß es aus dem Gesundheitsministerium.
Über die Lücke sei es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten im EMS einzutragen und im begrenzten Umfang abzufragen, ob jemand in Österreich diese Krankheit bereits hat, so epicenter.works in einer Aussendung. Ein Zugriff auf Daten "aller Bürgerinnen und Bürger durch Dritte" war laut "Standard" möglich, auch die Eintragung fingierter Laborergebnisse. "Die Impfpflicht hätte sich potenziell umgehen lassen."
Ein Ex-Geschäftsführer der HG Lab Truck, ehemals für das Land Tirol mit PCR-Testungen beauftragt, habe einen EMS-Zugang besessen, der nach seinem Ausscheiden aus dem Unternehmen hätte gesperrt werden müssen, berichtete "Der Standard". Das sei aber nicht geschehen, außerdem sei dieser Zugang "an eine unbekannte Zahl Dritter" über Subunternehmen weitergegeben worden.
"Dieser fortwährende Zugang auf das EMS" ließ sich laut "Standard" belegen. Dadurch sei es ermöglicht worden, gesperrte Adressen aus dem Melderegister abzurufen und zu den Personen beliebige Krankheiten einzutragen. "Erst nachdem das Sicherheitsleck an das Gesundheitsministerium gemeldet worden war, wurde der Zugang gesperrt."
Gesundheitsministerium: Es handelt sich nicht um EMS
Bei der beschriebenen Web-Oberfläche handle es sich nicht um das EMS, sondern eben um ein Tool, mit dem Labore Testergebnisse an die Behörden übermitteln können, betonte das Gesundheitsministerium. Diese übermittelten Ergebnisse müssten in einem weiteren Schritt durch die Bezirksverwaltungsbehörden bestätigt, bearbeitet und freigegeben werden. Erst dann handle es sich um einen offiziellen Infektionsfall im EMS. Diesen braucht es, um weiter im System geführt zu werden und einen Genesenennachweis zu erhalten.
"Der Anbieter wurde bereits gesperrt und weitere rechtliche Schritte werden derzeit geprüft", hieß es aus dem Ministerium. Über den angeführten Zugang seien, seitdem das Unternehmen die Tätigkeiten eingestellt hat, keine Testergebnisse mehr übermittelt worden. "Es kam daher zu keinem Zeitpunkt zu widerrechtlich ausgestellten Nachweisen."
Gesundheitsminister Wolfgang Mückstein von den Grünen versicherte am Freitag am Rande einer Pressekonferenz, dass ihm Datenschutz wichtig sei. Die Causa, wonach in einem Tiroler Labor eine Lizenz weiter benutzt worden sei und es die Möglichkeit gegeben hätte, Daten zu ändern, werde gerade untersucht, sagte er. Es handle sich um medizinische Daten, und da müssten die höchsten Datenschutzregeln gelten, betonte der Minister.
(APA)