schlussbericht-sachverhaltsabklaerung-vom-31-august-2021-betreffend-meineimpfung-2021-08-31

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

Schlussbericht und Empfehlungen

vom 31. August 2021

des

Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

im Verfahren gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)

betreffend die von der

Stiftung meineimpfungen mit Sitz in Gümligen betriebene

Plattform «meineimpfungen.ch» (einschliesslich des Moduls «myCOVIDvac»)

VO

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

Inhalt

1.1. 1.2. . 1.3. 1.4.

2.1. 2.2. 2.3. 2.4. 2.5.

3.1. 3.2. 3.3.

Einführung 3 Grundlagen und Umfang der Sachverhaltsabklärung.….......................................... 3 Partei und Beteiligte …................................................. se 3 Chronologie ............................ i 4 Eingegangene DOKUMENTE........................... erre 10 Sachverhaltsfeststellung 11 Funktionsweise und Zweck der Impfplattform............................................. 11 Auskunfts- und Löschungsbegehren von Nutzerinnen und Nutzern ....................... 12 Datensicherheit.…..................................... ss 13 Protokollierung / Logging ses 15 Datenintegrität.….......................................... ss 16 Rechtliche Würdigung und Empfehlungen 18 Datensicherheit und insb. Datenintegrität................................... nennen 18 Auskunfts-, Löschungs- und Berichtigungsrechte....................... n 20 Mögliche definitive Einstellung der Plattform .…...................................................... 21 Verfahrensabschluss 22

Seite 2 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

1. Einführung

1.1. Grundlagen und Umfang der Sachverhaltsabklärung

1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) klärt von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler). Ge- mäss Art. 29 Abs. 2 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1) kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen

vorführen lassen.

2 Auf der Plattform meineimpfungen.ch konnten (bis zur Einstellung der Plattform) Privatpersonen ihre erfolgten Impfungen in einem persönlichen Konto elektronisch dokumentieren («elektroni- scher Impfausweis»). Das Modul «myCOVIDvac» diente zur elektronischen Dokumentation der Covid-19-Impfungen auf der Plattform.

3 Die vorliegende Sachverhaltsabklärung hat zum Ziel, die im Zusammenhang mit einer journalisti- schen Recherche bekannt gewordenen Mängel der Plattform in Bezug auf die Datenschutzkonfor- mität und die Datensicherheit zu verifizieren!. Zudem wird die Integrität der auf der Plattform hin- terlegten Daten beurteilt.

1.2. Partei und Beteiligte

4 Partei im vorliegenden Verfahren ist die Stiftung meineimpfungen (UID CHE-169.700.102), welche die Plattform meineimpfungen.ch betreibt. Bei der Stiftung mit Sitz in 3072 Gümligen handelt es sich um eine Stiftung gemäss ZGB. Stiftungszweck ist gemäss Handelsregister «das elektroni- sche Impfdossier auf einer elektronischen Plattform zu betreiben (www.meineimpfungen.ch / www.mesvaccins.ch / www.mievaccinazioni.ch / www.myvaccines.ch) sowie durch alle verfügba- ren Schnittstellen, die dahinterstehende Technologie sowie das entsprechende Know-How weiter- zuentwickeln und das elektronische Impfdossier und die Plattform in der Schweizerischen Bevöl- kerung bekannt zu machen und zu verbreiten. Die Stiftung kann auch im Bereiche des Impfwe- sens wissenschaftlich und aufklärend tätig sein. (...) Die Stiftung ist nicht gewinnorientiert.».

1 Vgl. sogleich Rz 13

Seite 3 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

5 Im vorliegenden Verfahren wird die Stiftung von der Steiger Legal AG, Florastrasse 1, 8008 Zü- rich, handelnd durch RA Martin Steiger vertreten?.

6 Die Arpage AG3, Tobelweg 4, 8700 Küsnacht besorgt im Auftrag der Stiftung die IT und den tech- nischen Betrieb der Plattform.

7 Das Bundesamt für Gesundheit (BAG) unterstützte die Stiftung finanziell und empfahl die Platt- form für den elektronischen Impfausweis*. Zudem beauftragte das BAG die Stiftung mit der Ein- richtung des Moduls «myCOVIDvac» für die Dokumentation der Impfungen gegen Covid-19.

8 Die Compass Security Schweiz AGS, Werkstrasse 20, 8645 Jona hat die Plattform Ende März 2021 im Auftrag der Stiftung meineimpfungen einer Prüfung unterzogen.

9 Das Verfahren wird von folgenden Mitarbeitenden des Eidgenössischen Datenschutz- und Öffent- lichkeitsbeauftragten (EDÖB) instruiert:

Technische Sachbearbeitung:

- Fritz von Allmen, Informations- und Sicherheitsspezialist Kompetenzzentrum IT und digitale Gesellschaft

- Michael Burger, Informations- und Sicherheitsspezialist Kompetenzzentrum IT und digitale Gesellschaft

Juristische Sachbearbeitung:

- Nathalie Weber, Leiterin Team 1 Datenschutz

- Anne-Sophie Morand, Juristin Team 1 Datenschutz

1.3. Chronologie

10 Ab dem Zeitpunkt des Verfügbarwerdens einer Impfung gegen Covid-19 im Herbst 2020 wurden im Rahmen der Vorbereitungsarbeiten des Bundes und der Kantone für die Impfkampagnen die Frage der Dokumentation der Impfungen eingehend diskutiert. Das BAG hat die Stiftung meine- impfungen in diesem Zusammenhang mit der Erstellung eines Moduls «myCOVIDvac» für die Do- kumentation der Covid-19-Impfung beauftragt.

2 Vollmacht vom 23.03.2021.

3 https:/www.arpage.ch/.

4 Vgl. dazu beispielsweise die Medienmitteilung des BAG vom 23.04.2018, https:/Avww.bag.admin.ch/bag/de/home/das-bag/ak- tuell/medienmitteilungen.msg-id-70502.html, aufgerufen am 19.07.2021.

5 https: //www.compass-security.com.

Seite 4 von 23

Confédération suisse EDÖB

(+ Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Confederazione Svizzera Confederaziun svizra

11

12

13

14

15

Im Rahmen einer als «vertraulich» klassifizierten (jedoch im Internet® auffindbaren) Information vom 09.12.2020 zur Impfstrategie und zum aktuellen Stand der Vorbereitungen an Ärztegesell- schaften, med. Fachgesellschaften, Berufsverbände Pflege, Zahnärzte, PharmaSuisse und Ver- bände der Krankenversicherer teilte das BAG mit, dass es für die zentralen Prozesse der Doku- mentation des Impfaktes, für das Impfmonitoring sowie für das Erstellen eines Impfnachweises zuhanden der geimpften Personen mit «myCOVIDvac» zusammenarbeiten werde. Damit bildeten die Plattform bzw. das Modul bereits einige Zeit vor der Berichterstattung der Republik ein potenti- elles Angriffsziel.

Am Abend des 21. März 2021 machte das Online-Magazin «Republik.ch» den EDÖB mit einem schriftlich begründeten Hinweis auf Sicherheits- und Datenschutzmängel bei der von der Stiftung meineimpfungen betriebenen Plattform meineimpfungen.ch (einschliesslich Modul «myCO- VIDvac») aufmerksam. Das Magazin hatte die Plattform und das Modul zusammen mit einem IT Security-Team in den vorangehenden Wochen mit Blick auf den Datenschutz und die IT-Sicher- heit untersucht und diverse kritische Schwachstellen moniert.

Die «Republik» liess dem EDÖB eine nicht abschliessende Liste von Mängeln zukommen und legte hierfür in der E-Mail vom 21. März 2021 einen Ergebnisreport bei (vgl. FN 7). Diese Liste hielt fest, dass jede angemeldete Medizinalfachperson umfassenden und uneingeschränkten Zu- griff auf sämtliche auf der Plattform erfassten Daten von Privatpersonen und deren Covid-19-rele- vanten Risikofaktoren, Gesundheitsdaten und Impfdetails habe und diese einfach manipulieren könnte. Weiter wurde aufgeführt, dass bei der Registrierung als Medizinfachperson keine eigentli- che Identitätsprüfung stattfinde. Die Verifikation sei mangelhaft und basiere einzig auf den Infor- mationen der antragstellenden Person. Sodann teilte das Magazin mit, dass Hackerinnen oder Hacker sowie auch autorisierte Ärztinnen und Ärzte leicht alle Covid19-Impfpässe sämtlicher bis- her geimpften Personen auf der Plattform abrufen können. Mit etwas technischem Wissen könnte eine Hackerin oder ein Hacker ausserdem die Impfdaten und Gesundheitsdaten manipulieren.

Neben dem EDÖB informierte das Magazin zeitgleich auch die Stiftung meineimpfungen, das BAG sowie das National Cyber Security Centre (NCSC).

Auf der Grundlage von Art. 29 DSG mit Schreiben vom 22. März 2021, welches der Stiftung mein- eimpfungen per Post und gleichentags vorab per E-Mail zugestellt wurde, leitete der EDÖB die vorliegende Sachverhaltsabklärung ein, um zu prüfen, ob die Datenbearbeitungen durch die Stif- tung den Anforderungen an die Datensicherheit gerecht werden.

6 https: //www.berner-aerzte.ch/fileadmin/user_upload/Stakeholderinformation_Fachorganisationen_COVID-19-Impfung.pdf, zuletzt abgerufen am 12.07.2021.

Seite 5 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confederation suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

16 In seinem Schreiben forderte der EDÖB die Stiftung und die für den Datenschutz verantwortliche Person auf, innert drei Tagen (d.h. bis Freitag, 26. März 2021 eingehend) summarisch und schrift- lich zu den Hinweisen der «Republik» betreffend Verletzung des DSG Stellung zu nehmen (insbe- sondere zu den Punkten gemäss Ziffer 2 des Ergebnisreports?) und den EDÖB über beschlos- sene und umgesetzte Datenschutzmassnahmen auf dem Laufenden zu halten. Gleichzeitig hielt der EDÖB fest, dass technisch unsichere, unverhältnismässige und allenfalls gegen die Nutzungs- bedingungen verstossende Bearbeitungen von Personendaten unverzüglich einzustellen seien. Ebenso empfahl der EDÖB der Stiftung, die betroffenen Personen zeitgerecht über die getroffe- nen Sofortmassnahmen zu informieren.

17 Der EDÖB hielt in seinem Schreiben an die Stiftung weiter fest, dass von der als mangelhaft an- gezeigten Bearbeitung besonders schützenswerter Personendaten i.S.v. Art. 3 Bst. c. Ziff. 2 DSG auf der Plattform meineimpfungen.ch eine grosse Anzahl von Personen betroffen sei. Der ange- zeigte Bearbeitungssachverhalt sei somit gegebenenfalls als Systemfehler i.S.v. Art. 29 Abs. 1 Bst. a DSG zu qualifizieren, dessen Abklärung dem EDÖB obliege und aufgrund der geltend ge- machten Schwere dringlich sei.

18 Die Stiftung meineimpfungen nahm die Plattform meineimpfungen.ch gleichentags vom Netz und informierte auf ihrer Website, dass Wartungsarbeiten im Gange seien.

19 Gemäss Berichterstattung der «Republik»® zählte die Plattform meineimpfungen.ch zu diesem Zeitpunkt rund 450'000 Nutzerinnen und Nutzer, während das Modul «myCOVIDvac» rund 240'000 Impfdatensätze umfasste. Von diesen rund 240'000 Impfdatensätzen seien rund 70'000 für angemeldete Fachpersonen über die Plattform zugänglich und damit potenziell von unbefugten Zugriffen betroffen gewesen.

20 Am 23. März 2021 um 05:00 Uhr erschien im Online-Magazin «Republik»® und auf der Website der deutschen Zeitung Handelsblatt! ein Bericht über die aufgedeckten Mängel. Ebenso wurde der Ergebnisreport (vgl. FN 7) des Online-Magazins «Republik» auf dem Blog https://mezda- nak.de/ veròffentlicht!!.

7 Sven Fassbender, Martin Tschirsich, Dr. phil. nat. André Zilch: Ergebnisreport zur Untersuchung meineimpfungen vom 21.03.2021

8 Vgl. sogleich, FN 9.

8 https:/www.republik.ch/2021/03/23/wollen-sie-wissen-womit-viola-amherd-geimpft-ist, zuletzt abgerufen am 12.07.2021.

1 https:/Avww.handelsblatt.com/inside/digital_health/digitaler-impfpass-warnung-fuer-deutschiand-schweizer-corona-impfnach- weis-hat-erhebliche-sicherheitsluecken/27027954.html, zuletzt abgerufen am 12.07.2021.

1! https://mezdanak.de/2021/03/22/sicherheitspruefung-meineimpfung-ch-und-services-mycovidvac-ch/, zuletzt abgerufen am 12.07.2021.

Seite 6 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

21

22

23

24

25

Mit Schreiben vom 26. März 2021 teilte die Steiger Legal AG dem EDÖB mit, dass sie von der Stiftung meineimpfungen beauftragt wurde, diese im Rahmen der Sachverhaltsabklärung zu ver- treten. In einer vorläufigen Stellungnahme informierte der Rechtsvertreter den EDÖB, dass seine Mandantin den Betrieb der gesamten Plattform vorläufig unterbrochen habe, um eine vollständige Analyse vornehmen zu können (Ziff. 3 des Schreibens). Weiter wurde der EDÖB auch über die auf der Website aufgeschaltete und ebenfalls direkt per E-Mail erfolgte Information an die Nutze- rinnen und Nutzer über die Ausserbetriebnahme der Plattform in Kenntnis gesetzt (Ziff. 4 des Schreibens). Es wurde sodann festgehalten, dass eine vollständige Analyse der Mandantin aktuell noch im Gang sei und sich nicht allein auf die gemeldeten Schwachstellen gemäss Bericht, son- dern auf die gesamte Plattform beziehe. Das Ergebnis würde voraussichtlich ein detaillierter «Inci- dent Report» sein. Die Stiftung habe zudem die Zusage der spezialisierten Dienstleisterin Com- pass Security Schweiz AG in der Schweiz erhalten, die Analyse wie auch die Plattform unabhän- gig zu prüfen. Zudem plane die Stiftung, eine «Light»-Version der Plattform aufzuschalten, die es Nutzerinnen und Nutzern ausschliesslich erlaube, eine Kopie ihrer Daten als PDF-Datei herunter- zuladen und / oder ihre Daten zu löschen.

Am 1. April 2021 bat der EDÖB die Stiftung, ihm mitzuteilen, bis wann mit den Ergebnissen der genannten Analysen und der Aufschaltung der «Light»-Version der Plattform gerechnet werden dürfe.

Am 16. April 2021 meldete die Stiftung dem EDÖB, dass es nicht möglich sei, zeitnah eine «Light»-Version der Plattform aufzuschalten, um die Ausführung der Auskunfts- und / oder Lösch- begehren direkt durch die Nutzerinnen und Nutzer selbst zu ermöglichen. Die Plattform solle statt- dessen wieder direkt vollständig in Betrieb gehen, was dann allen bisherigen Nutzerinnen und Nutzern auch ermöglichen werde, ihre Daten direkt abzurufen und / oder löschen zu lassen. Die Arbeiten, auch in Zusammenarbeit mit Compass Security Schweiz AG, kämen voran. Die Stiftung hielt sodann fest, dass eine erneute Inbetriebnahme Mitte Mai 2021 erfolgen könne und der EDÖB entsprechend informiert würde.

Daraufhin verlangte der EDÖB am 21. April 2021, dass die Stiftung ihm vor einer allfälligen Wie- deraufnahme und mit entsprechender Vorlaufzeit alle relevanten Dokumente zustelle, damit er sich über die seitens der Stiftung ergriffenen Massnahmen ein umfassendes Bild machen könne. Nur so werde es dem EDÖB möglich sein, angemessen zu beurteilen, ob ein datenschutzkonfor- mer Betrieb der Plattform künftig möglich sei.

Mit Schreiben vom 26. April 2021 informierte die Stiftung den EDÖB über die geplante Wiederin- betriebnahme der Plattform meineimpfungen.ch in der ersten Maihälfte 2021 und zeigte sich zu- versichtlich, die vom EDÖB einverlangte Dokumentation bis am 7. Mai 2021 zustellen zu können.

Seite 7 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

26 Am 29. April 2021 verlangte der EDÖB einen konkreten Zeitplan. Er gab zudem zu bedenken,

27

28

29

30

dass eine Wiederaufnahme des Betriebs auf den vorgesehenen Zeitpunkt hin unter Berücksichti- gung der vom EDÖB benötigten Zeit zur Prüfung der Dokumentation kaum umsetzbar sei.

Am 14. Mai 2021 informierte die Stiftung den EDÖB über die definitive Einstellung der Plattform meineimpfungen.ch einschliesslich dem Modul «myCOVIDvac». Der Stiftungsrat habe beschlos- sen, die Plattform in der bisherigen Form und mit der bisherigen Funktionalität nicht mehr in Be- trieb zu nehmen. Dieser Beschluss gehe auf eine erneute Gesamtbeurteilung nach Vorliegen ei- ner vollständigen Analyse zurück. Es habe sich gezeigt, dass ein sicherer Betrieb der bisherigen Plattform nicht mehr gewährleistet werden könne, weshalb die ursprünglich geplante Wiederinbe- triebnahme der Plattform kein Thema mehr sei. Weiter führte die Stiftung aus, dass ein externes und unabhängiges Krisenteam an einer Lösung arbeite, um den zahlreichen Nutzerinnen und Nut- zern den Zugang zu ihren Impfdaten auf einer neuen — nur für diesen Zweck sicher entwickelten — Website wieder zu ermöglichen. Der Stiftungsrat werde sodann unter meineimpfungen.ch wö- chentlich über den aktuellen Stand der Dinge informieren.

Mit Schreiben vom 25. Mai 2021 gelangte der EDÖB an die Vertretung der Stiftung, um ihn bzw. die Stiftung zu einem telefonischen Kurzgespräch einzuladen. Im Zentrum sollten dabei eine kurze Standortbestimmung und das weitere, geplante Vorgehen der Stiftung stehen. Dem EDÖB war bspw. zum aktuellen Zeitpunkt nicht klar, ob die Stiftung plante, künftig eine komplett neue Platt- form aufzubauen, oder ob sie ihre Dienste wie im Schreiben vom 14. Mai 2021 angekündigt defini- tiv, d.h. ohne Nachfolgeplattform, einstellen würde.

Am 27. Mai 2021 fand das Gespräch zwischen zwei Vertretern des EDÖB, dem Rechtsanwalt der Steiger Legal AG und zwei Vertretern der Stiftung statt. Die Stiftung wies darauf hin, dass ihr Mini- malziel (die Daten wieder zur Verfügung zu stellen) momentan nicht gesichert sei. Die Möglichkeit einer Übernahme durch eine neue Plattform bzw. einen neuen Betreiber wurde ebenfalls themati-

siert. Die Stiftung vertrat sodann glaubhaft, dass der Fokus auf der Datenherausgabe und den Da- tenlöschungen liege.

Gestützt auf die Prüfung der Schutzbedarfsanalyse, der Risikobeurteilung und des Security-Be- richt der Compass Security Schweiz AG (vgl. Rz 36) stellte der EDÖB unter anderem fest, dass sich aus den vorliegenden Dokumenten keine Aussagen betreffend die Integrität des Datenbe- standes der Plattform ableiten lassen. Deshalb wandte sich der EDÖB am 4. Juni 2021 mit einem Fragenkatalog erneut an die Vertretung der Stiftung. Die Beantwortung sollte zur Beurteilung die- nen, inwiefern der Datenbestand in Zukunft nochmals einer Bearbeitung zugeführt werden könne (z.B. für Download des eigenen elektronischen Impfausweises). Der EDÖB verlangte fundierte und dokumentierte Aussagen darüber, auf welche Weise untersucht wurde, ob die Daten unbefugt

Seite 8 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

31

32

33

35

verändert wurden, resp. die Integrität und somit ein zentraler Aspekt der Datensicherheit nach Art. 7 DSG in Verbindung mit Art. 8 lit. e VDSG noch gegeben sei.

Am 23. Juni 2021 beantwortete die Stiftung die Fragen des EDÖB. Dabei bezog sich eine grosse Anzahl der Antworten auf das in Frage 9 erwähnte Dokument «Incident Report GTA». Das Doku- ment wurde dem EDÖB jedoch nicht übermittelt.

Der EDÖB hielt in seiner E-Mail vom 24. Juni 2021 an den Vertreter der Stiftung fest, dass für die Beurteilung der Datenintegrität bzw. der Frage, ob eine künftige, weitere Bearbeitung der Perso- nendaten von meineimpfungen.ch resp. dem Modul «myCOVIDvac» mit Risiken verbunden ist, Informationen aus den Logs resp. die Loganalyse von grosser Bedeutung seien. Aus diesem Grund — und mit Blick auf die Wahrung des rechtlichen Gehörs der Stiftung — verlangte der EDÖB mit Frist bis zum 28. Juni 2021 nochmals den besagten «Incident Report GTA».

Am 28. Juni 2021 teilte die Stiftung dem EDÖB mit, dass das Dokument «Incident Report GTA» weiterhin nicht vorhanden sei. Es wurde seitens der Stiftung trotzdem betont, dass keinerlei Anzei- chen vorliegen würden, dass die Datenintegrität nicht gewährleistet sein könne. Die Stiftung konn- ten diese Aussage jedoch nicht belegen.

Am 13. Juli 2021 teilte die Stiftung meineimpfungen auf ihrer Website mit, dass allen Nutzerinnen und Nutzern ab sofort ein Online-Formular!? zur Verfügung stehe, um die Anfrage nach den Impf- daten zu vereinfachen.

Die Abklärung der datenschutzrechtlichen Situation, insbesondere der Datenintegrität, durch den EDÖB erfolgt vorliegend gestützt auf die bis zum 7. Juli 2021 zugestellten bzw. vorhandenen Do- kumente (siehe Kapitel 0) und die sich aus der Korrespondenz ergebenden Informationen sowie auf öffentlich zugänglichen Informationen, Meldungen von Betroffenen an den EDÖB und öffentli- chen Mitteilungen der Stiftung.

12 Erreichbar unter https://inquiry.meineimpfungen.ch/, zuletzt aufgerufen am 12.07.2021.

Seite 9 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

1.4. Eingegangene Dokumente

36 Folgende Dokumente wurden dem EDÖB mittels passwortgeschütztem Zugang auf der Plattform der Steiger Legal AG zur Verfügung gestellt (Beilagen vom 14. Mai =:

ID atum Autor Dokumententite

[1] 7. Mai 2021 Compass Security report_86845_Recheck_Meineimpfungen.ch Schweiz AG _und_myCOVIDvac_v2.0.pdf

(Recheck meineimpfungen und myCOVIDvac; Klassifizierung gemäss Autorenschaft: strictly

confidential) [2] 5. Mai 2021 Stiftung meineimpfungen.ch _ISDS_02_Risikoana- meineimpfungen.ch Iyse.xisx [3] 5. Mai 2021 Stiftung meineimpfungen.ch _ISDS_00_Schutzbedarfsa- meineimpfungen.ch nalyse.xlsx

37 Tabelle 2 listet die Beilagen vom 23. Juni 2021 auf (Zustellung via Plattform der Steiger Legal AG,

mit Passwort geschützt): [4] 26. Januar 2021 Gravity Report | Vulnerability Report fs RATES ch; Web SAFE.pdf [5] 26. Januar 2021 Arpage AG MyVaccines-Security-Concept.pdf [6] 24. März 2021 Gravity Report Vulnerability Report test.meineimpfungen.ch.pdf [7] 26. März 2021 Gravity Report Vulnerability Report test.meineimpfungen.ch.pdf [8] 23. Juni 2021 Steiger Legal AG 2021-06-23 - T-EDÖB - Schreiben.pdf

38 Die vorliegende Sachverhaltsfeststellung des EDÖB stützt sich vorwiegend auf die Dokumente [1] und [8] ab. Die im Übrigen aufgelisteten Dokumente wurden gesichtet, jedoch als nicht wesentlich erachtet.

Seite 10 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

2.

2.1.

Sachverhaltsfeststellung

Funktionsweise und Zweck der Impfplattform

39 Auf der Plattform meineimpfungen.ch und dem dazugehörenden Modul «myCOVIDvac» können

Nutzerinnen und Nutzer eintragen, welche Impfungen sie wann erhalten haben. Sodann können

die Nutzerinnen und Nutzer online überprüfen bzw. abrufen, ob Impfungen bestehen, fehlen oder

aufgefrischt werden müssen. Es werden somit Gesundheitsdaten und damit besonders schüt-

zenswerte Personendaten im Sinne des Datenschutzgesetzes bearbeitet.

40 Die Funktionsweise der Plattform meineimpfungen.ch wird in einem vom BAG bereitgestellten

Faltblatt!® «Der schweizerische elektronische Impfausweis (Version Arztpraxis)» wie folgt be-

schrieben:

41 «Der elektronische Impfausweis ist ein persönliches Konto mit Ihren Impfangaben auf der Schwei-

zer Internetplattform www.meineimpfungen.ch.

Übertrag — Die Einträge Ihres bestehenden Impfbüchleins werden in Ihr persönliche Konto übertragen.

Validierung der Daten — Eine Fachperson kontrolliert und validiert die Impfungen.

Zusatzinformationen — Auch Informationen zu Allergien, durchgemachten Krankheiten oder Risikofaktoren (inklusive geplante Reisen) lassen sich dort festhalten.

Expertise — Meineimpfungen.ch analysiert den Impfstatus entsprechend den Empfehlungen des Schweizer Impfplans und berücksichtigt dabei ihre persönlichen Zusatzinformationen.

Autonomie — Sie allein entscheiden, welche Fachpersonen Zugriff auf Ihren Impfausweis erhalten, und welche Impfungen Sie erhalten möchten und welche nicht.

Familie / Partner — Familien können die Daten von mehreren Personen in einem Konto ver- walten.

Offiziell anerkanntes Dokument — analog dem konventionellen Impfausweis.

Sicherheit — Ihre Daten werden vollständig vertraulich behandelt und in der Schweiz gespei- chert.»

42 Neun Kantone haben einen Vertrag mit der Stiftung, um die Daten der Impfanmeldungssoftware

der Kantone und des gesamtschweizerischen elektronischen Impfbüchleins zusammenzuführen.

13 https:/www.bundespublikationen.admin.ch/cshop_mimes_bbl/8C/8CDCD4590EE41EE891DFC6B6A9953B22.pdf, aufgerufen am 12.07.2021.

Seite 11 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

43

44

45

46

2.2. Auskunfts- und Löschungsbegehren von Nutzerinnen und Nutzern

Ab dem Zeitpunkt der Ausserbetriebnahme der Plattform Ende März 2021 hatten die Nutzerinnen und Nutzer der Plattform keinen Zugriff mehr auf Ihre Daten.

Um den Auskunfts- und Löschungsbegehren der Nutzerinnen und Nutzern gerecht zu werden, präsentierte die Stiftung dem EDÖB zunächst die Möglichkeit, dass Betroffene ein Auskunfts- und Löschbegehren auf schriftlichem Weg unter Vorlage einer beglaubigten Ausweiskopie stellen | könnten. Der EDÖB befürwortete die Möglichkeit, Auskunfts- und Löschungsbegehren auf diesem Weg zu begegnen, gab in seinem Schreiben vom 21. April 2021 jedoch zu bedenken, dass ge- suchstellenden Personen durch das Erfordernis einer Echtheitsbestätigung eines Ausweises ein finanzieller Aufwand erwächst — dies, obschon die Datenschutzgesetzgebung z.B. hinsichtlich des Auskunftsrechts festhält, dass die Auskunft grundsätzlich kostenlos zu erteilen ist und Ausnahmen nur in eng begrenzten Ausnahmefällen zulässig sind (Art. 1 VDSG). Der EDÖB hielt hierbei fest, dass ein solcher Ausnahmegrund im vorliegenden Fall nicht gegeben sei, zumal der Mehraufwand für die Verifikation der Auskunftsersuchenden nicht durch die Nutzerinnen und Nutzer der Platt- form und Kunden der Stiftung verursacht worden war.

Dementsprechend wies der EDÖB die Stiftung darauf hin, dass diese den gesuchstellenden Per-

sonen den besagten Kostenaufwand zurückzuerstatten habe. Ob dies seitens der Stiftung mittler- weile auch tatsächlich so gehandhabt wird bzw. wurde, kann der EDÖB nicht abschliessend beur- teilen.

Dem EDÖB ist aufgrund von schriftlichen und telefonischen Anfragen betroffener Bürgerinnen und Bürgern bekannt, dass viele gesuchstellende Personen sodann keine Impfdaten erhalten haben bzw. ihr Auskunfts- und auch Löschungsbegehren nicht erfolgreich geltend machen konnten. Ge- mäss Meldungen von Bürgerinnen und Bürgern antworte die Stiftung auch nicht auf alle einge- schriebene Briefe. Die Stiftung machte geltend, dass sie keine Kenntnis davon habe, dass be- troffene Personen datenschutzrechtliche Begehren nicht erfolgreich geltend machen konnten oder dass einzelne Schreiben nicht beantwortet worden seien. Die Stiftung gibt in diesem Zusammen- hang zu bedenken, dass sie vorgängig informiert habe, dass die Bearbeitung von Begehren län- ger als 30 Tage dauern würden. Jedenfalls sei eine Bearbeitungsdauer von mehr als 30 Tagen aber nicht mit einem nicht erfolgreichen Begehren oder einer fehlenden Beantwortung gleichzu- setzen, zumal eine längere Dauer als 30 Tagen in der VDSG ausdrücklich vorgesehen sei. Der EDÖB kann nicht beurteilen, ob das Nicht-Reagieren auf der grossen Anzahl von eingehenden Anfragen gründet oder ob das Erfüllen der Auskunfts- und Löschrechte generell eingestellt oder reduziert wurde.

Seite 12 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

47

48

49

50

51

Seit dem 13. Juli 2021 besteht nunmehr über ein Online-Formular die Möglichkeit eines Zugriffs auf die eigenen Daten oder einer Löschung derselben (vgl. oben Rz 34). Um einen Zugriff oder eine Löschung zu beantragen, müssen Nutzerinnen und Nutzer ihre Personalien (Name, Vor- name, Adresse, E-Mail-Adresse, Mobilnummer, Geburtsdatum) angeben und zudem eine Aus- weiskopie hochladen. Für Minderjährige unter 16 Jahren wird zusätzlich eine Sorgerechtsbestäti- gung verlangt. Gemäss Angaben zum Online-Formular erhalten die Gesuchsteller einige Tage nach der Bestätigung ihrer E-Mail-Adresse eine verschlüsselte E-Mail über die HIN Plattform. Da- rin enthalten seien ein PDF mit dem offiziellen Impfausweis, sowie eine XML-Datei mit allen per- sönlichen medizinischen Daten, die in einem zukünftigen System verwendet werden können.

Damit erfüllt die Stiftung meineimpfungen eine Forderung des EDÖB, den Betroffenen eine einfa- che und kostenlose Möglichkeit zur Verfügung zu stellen, um Auskunft über ihre Daten oder die Löschung derselben geltend zu machen.

2.3. Datensicherheit

Im Folgenden beleuchtet der EDÖB verschiedene technische Themen im Zusammenhang mit der Datensicherheit. Hierzu werden der Security-Bericht (vgl. Dokument [1] oben Abschnitt 0) sowie die Beantwortung der Fragen des EDÖB an die Stiftung vom 23. Juni 2021 (vgl. Dokument [8] oben Abschnitt 0) herangezogen.

2.3.1. Entwicklung der Plattform meineimpfungen.ch

Die Stiftung meineimpfungen hat das Unternehmen Arpage AG mit der Entwicklung und dem Be- trieb der Plattform meineimpfungen.ch beauftragt. Das zusätzlich entwickelte Modul «myCO- VIDvac», das in die Plattform meineimpfungen.ch eingebunden und damit verknüpft wurde, ist ebenfalls von der Arpage AG entwickelt und programmiert worden.

Die Stiftung beschreibt gegenüber dem EDÖB die organisatorische Aufteilung der Verantwortlich- keiten zwischen Stiftung und Betreiberin wie folgt: Die Stiftung habe den Betrieb der Plattform meineimpfungen.ch wie überhaupt auch die operative Tätigkeit der Stiftung vollständig an die Ar- page AG ausgelagert. Betrieb und Entwicklung der Plattform seien jeweils im Stiftungsrat bespro- chen worden, in erster Linie aufgrund von Informationen durch den Vertreter der beauftragten Ar- page AG im Stiftungsrat. Der Stiftungsrat sei durch die Arpage AG, insbesondere durch deren Vertreter im Stiftungsrat, über den Betrieb der Plattform informiert worden. So sei der Stiftungsrat beispielsweise im März 2020 von der Arpage AG informiert worden, dass seit Jahresbeginn di-

Seite 13 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

52

53

55

verse Verbesserungen an der Plattform durchgeführt worden seien und die Eingabe zur Zertifizie- rung gemäss Medizinprodukteverordnung (MDR) — welche unter anderem verschiedene Sicher- heitsmassnahmen beinhaltet — laufe.

Der Stiftungsrat habe aufgrund der Informationen der Arpage AG zu keinem Zeitpunkt Anhalts- punkte für Mängel bei der Entwicklung oder beim Betrieb der Plattform gehabt. Zuletzt seien wäh- rend dem laufenden Betrieb der Plattform am 18. Januar 2021 durch einen Vertreter des Stif- tungsrates direkt bei der Arpage AG vor Ort Informationen eingeholt worden. Die Fragen hätten unter anderem den Sicherheitsstandard im Rechenzentrum, die Zugänge zur Plattform, den Patch-Level der Komponenten, die Verschlüsselung der Daten sowie durch Externe durchgeführte Sicherheitschecks betroffen. Alle Fragen seien durch den Geschäftsführer der Arpage AG positiv beantwortet worden. So sei beispielsweise das Rechenzentrum nach ISO/IEC 270001-Standard betrieben worden. Die Komponenten seien anlässlich des Wechsels der betroffenen Personen erst kürzlich aktualisiert und die Daten seien verschlüsselt worden. Weiter führe die E a 0 eniche Kontrollen sowie regelmässige Penetrationstests durch. Auf Grund dieser Antworten, aber auch aufgrund der engen Zusammenarbeit mit Spezialisten beim Bundes- amt für Gesundheit (BAG) sowie der anstrebten MDR-Zertifizierung sei der Stiftungsrat von einem «Best Practice»-Betrieb sowie einer angemessen gewährleisteten Daten und IT-Sicherheit ausge-

gangen.

2.3.2. Schwachstellentests

Im Zeitraum vom 29. März 2021 bis 9. April 2021 hat das Unternehmen Compass Security Schweiz AG in Form eines dokumentierten und dem EDÖB vorliegenden Audits die Sicherheit der meineimpfungen.ch Plattform und des integrierten myCOVIDvac Moduls analysiert und die Platt- form auf Schwachstellen geprüft. Dabei wurden insgesamt 59 Schwachstellen identifiziert.

Im Zeitraum vom 20. April 2021 bis zum 3. Mai 2021 wurden 23 der 59 identifizierten Schwach- stellen ebenfalls durch die Firma Compass Security Schweiz AG einer Nachprüfung unterzogen und die Ergebnisse dazu, zusammen mit den Ergebnissen der Initialprüfung, im Bericht [1] vom

7. Mai 2021 zusammengefasst. Es wurde festgehalten, dass «[a]lle der zuvor identifizierten kriti-

schen Schwachstellen [...] behoben» worden seien.

2.3.3. Monitoring und Patchen

In der Regel sollte durchgehend überwacht werden, ob alle Sicherheitseinstellungen korrekt sind.

Ausserdem sollte die zuständige Person (vorliegend die Arpage AG) überwachen, ob alle Patches und Updates ordnungsgemäss eingespielt wurden. Das aktive Monitoring wird in der Praxis in die

allgemeine Systemüberwachung integriert.

Seite 14 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

56

57

58

59

60

Gestützt auf den Bericht (Dokument [1]) existiert kein aktives Monitoring und damit auch keine Alarmierung'*. Die gesammelten Loginformationen werden nicht automatisiert ausgewertet, um bei Auffälligkeiten eine automatische Alarmierung auszulösen. Vor diesem Hintergrund können und konnten allfällige Angriffe oder Angriffsversuche nicht oder nur mit Verspätung erkannt wer- den. Im Weiteren verwendet die Applikation veraltete Komponenten von Drittherstellern, welche anfällig für bereits bekannte Schwachstellen sind und/oder nicht mehr unterstützt werden. '®

Der EDÖB befragte die Stiftung, ob es bereits in der Vergangenheit Ereignisse gegeben habe, welche durch das Monitoring entdeckt und gegebenenfalls mitigiert (z.B. abgewehrt) werden konn- ten, und baten, falls dies bejaht würde, um Erläuterungen, wie die Wirksamkeit des Monitorings beurteilt wurde und ob bei diesen Ereignissen Hinweise Bestanden, dass die Datenintegrität ver- letzt wurde (z.B. Zugriff und Änderungen durch Unbefugte).

Gemäss der Stiftung habe der Geschäftsführer der Arpage AG für den Zustand während dem lau- fenden Betrieb der Plattform folgende Angaben geliefert:

«Hier muss zwischen [dem] altem Teil von meineimpfungen.ch und dem Zusatzteil myCOVIDvac unterschieden werden. Im alten Teil sind keine Mechanismen zur Erkennung von Integritätsverlet- zungen eingebaut gewesen; im MyCOVIDvac-Teil sind Daten im Audit-Trail-Verfahren abgelegt worden.» Gemäss Auskunft des Chief Operation Officer «seien drei Fälle bekannt geworden, wo Handhabungsfehler von Fachpersonen durch Privatpersonen gemeldet wurden, denen nachge- gangen wurde. Eine umfassende Suche aller Tickets hat bis dato nicht stattgefunden. »

Die obenstehende Antwort bestätigt aus Sicht des EDÖB, dass wie bereits auch im Bericht (Doku- ment [1]) ausgeführt, keine Zugriffskontrollen implementiert sind. Das bedeutet, dass Unbefugte ohne Weiteres Zugriff auf vorhandene Daten gehabt haben können. Diese Feststellung ist aller- dings aufgrund der — wie sogleich in Abschnitt 0 beschriebenen — kurzen Aufbewahrungsdauer der Log-Dateien nicht überprüfbar. Das heisst, es kann weder nachgewiesen werden, dass Zu- griffe stattgefunden haben, noch kann nachgewiesen werden, dass keine Zugriffe stattgefunden haben.

2.4. Protokollierung / Logging

Der Bericht (Dokument [1]) weist verschiedene Mängel bezüglich Logging aus:

"4 Bericht [1]; Seite 20; Nr. 36; Referenz 4.2 #12. 15 Bericht [1], Seite 16; Nr. 22; Referenz 4.3.3 #2.

Seite 15 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

61

62

63

- Schwachstelle Nr. 21: Die gesammelten Logdateien werden grundsätzlich nur für 30 Tage aufbewahrt.

- Schwachstelle Nr. 35: Die Logdateien werden nicht an einer zentralen Stelle gesammelt und sind nicht vor Manipulationen geschützt.

- Schwachstelle Nr. 36: Die gesammelten Loginformationen werden nicht automatisch ausge-

wertet um bei einer Anomalie eine automatische Alarmierung auszulösen.

Im Bericht (Dokument [1]) wird weiter festgehalten, dass — aus forensischer Sicht — keine auswert- baren Log-Daten vorhanden sind, da die Quantität und Qualität der wenigen vorhandenen Log- Daten unzureichend sind. Infolgedessen kann keine forensische Analyse durchgeführt werden, um festzustellen, ob in der Vergangenheit Daten unautorisiert gelesen, modifiziert oder gelöscht worden sind. Die Stiftung beantwortete die Anfrage nach der Zustellung sämtlicher sachdienlicher Belege und Beschreibungen wie folgt:

Der erwähnte Geschäftsführer habe zu diesen vier Fragen wie folgt Stellung genommen: «Die in der Frage erwähnte Veröffentlichung der Schwachstelle im Artikel des Onlinemagazins Republik vom 22.3.21 wurde analysiert. Daraufhin wurde sofort die Plattform vom Internet getrennt. Danach wurden Loganalysen durchgeführt, welche im Dokument «[...] Incident Report GTA [...» beschrie- ben sind.

(Das erwähnte Dokument beziehungsweise der erwähnte «Incident Report GTA» liegt unserer Mandantin noch nicht in einer fertiggestellten Fassung vor.)

Unabhängig davon ergriff der Stiftungsrat unserer Mandantin unmittelbar nach den koordinierten Medienanfragen verschiedene Massnahmen. So wurden insbesondere ein Krisenmanagement- Team, von der Arpage AG unabhängige Fachpersonen sowie die Compass Security Schweiz AG beauftragt, um die Angelegenheit zu bewältigen.»

Der EDÖB hat am 24. Juni 2021 den Eingang der beantworteten Fragen bestätigt und auf die Wichtigkeit des erwähnten Dokumentes «Incident Report GTA» hingewiesen bzw. darum gebeten, dieses dem EDÖB für seine Beurteilung zugänglich zu machen. Die Stiftung antwortete dem EDÖB am 28. Juni 2021, dass das Dokument weiterhin nicht vorhanden ist. Folglich konnte der EDÖB die entsprechenden Inhalte nicht in die vorliegende Beurteilung einfliessen lassen.

2.5. Datenintegrität

Die Auswertung des Ergebnisreports (vgl. FN 7) zeigte, dass die Veränderung von Daten durch Unbefugte auf verschiedene Weise und mit einfachen Mitteln denkbar gewesen wäre. Daher

Seite 16 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

wurde der Fokus der Untersuchung des EDÖB auf die Richtigkeit der Daten und somit die Daten-

integrität gelegt.

64 Die Abklärung zur Datenintegrität soll feststellen, ob solche Manipulationen identifiziert wurden;

letztlich wollte der EDÖB abklären, wie gross das verbleibende Risiko ist, falls die Daten erneut

einer Bearbeitung zugeführt werden würden (z.B. durch eine Nachfolgeplattform, Übernahme

durch Dritte) und die Richtigkeit der Daten nicht mehr gegeben ist.

65 Die Feststellungen des EDÖB basieren auf drei Grundlagen:

Aussagen aus der ersten Stellungnahme vom 26. März, insb. die Aussage auf S. 2:

«Unsere Mandantin geht gemäss dem aktuellen Kenntnisstand davon aus, dass die gemel- deten Schwachstellen ausschliesslich im Zusammenhang mit dem Bericht beziehungsweise mit der Berichterstattung der «Republik» ausgenutzt wurden und kein Missbrauch durch sonstige Dritte stattfand. Dieser Kenntnisstand geht insbesondere auf die Auswertung der protokollierten Nutzung der Plattform durch Fachpersonen zurück.»

Der EDÖB verlangte weitere Informationen und Aussagen, um die Datenintegrität zu beurtei- len. Er hat der Stiftung am 4. Juni 2021 einen Fragekatalog zukommen lassen. Die am 23. Juni 2021 erhaltenen Antworten waren nur zum Teil aussagekräftig. Die Stiftung legt darin dar, dass vor der koordinierten Medienanfrage vom 21. März 2021 keine Verdachtsfälle ge- meldet wurden. Zudem wurde eine am 29. März 2021 erfolgte Meldung an die Stiftung, dass Daten der Plattform meineimpfungen.ch im Darknet zum Download verfügbar stünden,nach Abklärungen der Kantonspolizei Zürich und der beauftragten scip AG als Falschmeldung ge- wertet.

Weitere Informationen zur Form und Methode der Untersuchung des Ereignisses und inwie- fern identifizierte Zugriffe von Unbefugten zu Manipulationen geführt haben können, wurden durch die Stiftung nicht angegeben.

Der Schwachstellenbericht von Compass Security Schweiz AG (Dokument [1]) enthält fol- gende Aussage in Bezug auf die Datenintegrität resp. möglicher Risiken mit Einfluss auf jene:

«Konkret konnten die Schwachstellen unter anderem von einem Angreifer verwendet wer- den, um beliebige Patienten-Konten oder Fachpersonen-Konten zu kompromittieren und an- schliessend sämtliche auf der Plattform gespeicherten Daten zu lesen, verändern und lö- schen. Ausserdem wurden grobe Verletzungen von aktuellen Security Best Practices festge- stellt.

Auch im neu entwickelten myCOVIDvac Modul wurden mehrere kritische Schwachstellen entdeckt, die nicht aus Altlasten der meineimpfungen.ch Plattform stammen. Zum Beispiel

Seite 17 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera Confederaziun svizra

66

67

68

69

konnte eine Fachperson unautorisiert die persönlichen und medizinischen Daten von allen Patienten einsehen. Somit muss ein Angreifer nur eine einzelne Fachperson kompromittie- ren, um sämtliche Daten auszulesen. Die neue Impfbestätigung ("Immunization Record") Funktionalität wurde ausserdem unsicher implementiert. Ein Angreifer konnte auf triviale Art und Weise beliebige gefälschte Impfbestätigungen ausstellen, welche anschliessend von der Plattform als authentisch anerkannt wurden.

Zusammenfassend lässt sich in Bezug auf die Datenintegrität festhalten, dass weder die Plattform meineimpfungen noch das Modul myCOVIDvac die Vertraulichkeit und Integrität der besonders schützenswerten Benutzerdaten garantieren können.»

3. Rechtliche Würdigung und Empfehlungen

3.1. Datensicherheit und insb. Datenintegrität

Gemäss Art. 7 DSG iVm Art. 8ff. VDSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Wer Daten bearbeitet, hat für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten zu sorgen.

Der EDÖB hat die Aussagen des Berichts (Dokument [1]) sowie die Antworten der Stiftung in Do- kument [8] geprüft und analysiert. Der Bericht qualifiziert die Plattform als veraltetes System, wel- ches über Jahre gewachsen und nicht gegen aktuelle Sicherheitsbedrohungen geschützt sei. Ba- sierend auf dieser nachvollziehbaren Einschätzung, geht der EDÖB zum aktuellen Zeitpunkt da- von aus, dass grundsätzlich weder die Plattform noch einzelne Komponenten davon in Zukunft sicher betrieben werden können. Mit Blick auf die Bearbeitung von besonders schützenswerten Personendaten in der Plattform meineimpfungen.ch und dem Modul «myCOVIDvac» und verbun- den mit den im Bericht (Dokument [1]) dargelegten Befunden, teilt der EDÖB die Schlussfolgerun- gen des Berichts, dass auch das Modul «myCOVIDvac» direkt von den Schwachstellen der Platt- form betroffen ist.

Da im Verlauf der Untersuchung bekannt wurde, dass die Plattform nicht mehr in der bestehenden Form in Betrieb genommen wird, erübrigen sich an dieser Stelle Empfehlungen zur Datensicher- heit im Allgemeinen.

Wer Personendaten bearbeitet, hat sich überdies über deren Richtigkeit zu vergewissern (Art. 5 DSG). Vorliegend bestehen bezüglich der Datenintegrität Vorbehalte. Die Stiftung kann nicht bele- gen, inwiefern sie beurteilen konnte, ob die Daten nicht durch Unbefugte manipuliert worden sind. Mit anderen Worten kann der EDÖB nicht nachvollziehen und überprüfen, ob die Datenintegrität

Seite 18 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

noch gegeben ist. Folglich geht der EDÖB davon aus, dass die Datenintegrität Risiken ausgesetzt war und möglicherweise nicht mehr gegeben ist.

70 Der EDÖB stützt seine Beurteilung der Datenintegrität, respektive das Risiko von möglichen Mani- pulationen durch Unbefugte auf folgende Feststellungen:

1. Die im Bericht (Dokument [1]) festgestellten Schwachstellen waren kritisch.

2. Das Interesse an der Plattform meineimpfungen.ch stieg spätestens mit dem öffentlichen Be- kanntwerden des Engagements des BAG bei der Plattform und mit dem Modul «myCO- VIDvac» zur Dokumentation von Covid-19-Impfungen (vgl. oben Rz 11). Auch die Untersu- chung durch die «Republik» zeigen, dass die Plattform und das zusätzliche Modul im Fokus standen und der breiten Öffentlichkeit bestens bekannt waren. Diese ausgeprägte Sichtbarkeit erhöhte das Risiko, dass der Fokus von Unbefugten auf die Plattform der Stiftung und damit auch die technische Umsetzung gelenkt worden sein könnte.

3. Sicherheitsverstösse und -lücken können jederzeit vorkommen, deswegen sind auch Untersu- chungen jederzeit erforderlich. Angriffe werden in der Praxis oft auch über einen langen Zeit- raum verübt. Aus diesem Grund ist die Analyse von Protokollen notwendig. Die festgestellten Mängel bei der Protokollierung (vgl. oben Abschnitt 0) erlauben jedoch keine Aussage zu möglichen unbefugten Zugriffen auf die Plattform meineimpfungen.ch. So können wegen der kurzen Aufbewahrungsfrist bei den Protokollen von nur 30 Tagen keine Aussagen über unbe- fugte Zugriffe während der Phase von Dezember 2020 bis Februar 2021 gemacht werden. Dies hat zur Folge, dass nicht ausgeschlossen werden kann, dass Personendaten (Impfdaten) auf der Plattform meineimpfungen.ch sowie im Modul «myCOVIDvac» vor Februar 2021 mani- puliert wurden.

4. Eine umfassende Beurteilung der Datenintegrität, ohne anderweitige Informationen, war somit bereits bei Bekanntwerden der Schwachstellen durch die Republik nicht mehr möglich.

Die Betreiber konnten bislang, abgesehen von der bereits aufgeführten Pauschalaussage (vgl. Rz 65), nicht darlegen, ob die Untersuchung der Datenintegrität effektiv war und konnten zu-

dem keine weiteren Sachverhalte vorbringen, welche diese belegen würden.

Empfehlung 1 zur Richtigkeit der Daten

Die Stiftung meineimpfungen muss vor jeder weiteren Datenbearbeitung die Richtigkeit der über

die Plattform meineimpfungen.ch (einschliesslich Modul «myCOVIDvac») gespeicherten Daten si-

cherstellen.

Seite 19 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

71

72

73

74

3.2. Auskunfts-, Löschungs- und Berichtigungsrechte

Gemäss Art. 8 DSG kann jede Person Auskunft darüber verlangen, welche Daten über sie gespei- chert sind, und diese — wenn gewünscht — löschen (Art. 12 Abs. 2 Bst. b DSG) oder korrigieren (Art. 5 Abs. 2 DSG) lassen.

Das Auskunftsrecht ermöglicht es, die Kontrolle über die eigenen Personendaten zu behalten, wo- bei jede Person selber aktiv werden muss, um dieses Recht wahrzunehmen. Wer beim Inhaber einer Datensammlung Auskunft über die über ihn bearbeiteten Daten verlangt oder diese berichti- gen bzw. löschen lassen will, muss seine Anfrage nicht begründen. Die Auskunft muss grundsätz- lich kostenlos innerhalb von 30 Tagen erteilt werden (Art. 1 VDSG). Nur in bestimmten Ausnah-

mefällen dürfen Kosten erhoben werden bzw. ein Auskunftsgesuch mit Kosten verbunden werden.

Die Erhebung einer Kostenbeteiligung wurde vom Gesetzgeber bewusst als Ausnahme konzipiert, um die Auskunftserteilung nicht aus finanziellen Gründen zu erschweren oder gar zu verunmögli- chen. Ein besonders grosser Arbeitsaufwand liegt dann vor, wenn der erforderliche Aufwand er- heblich grösser ist als derjenige, welcher normalerweise mit dem Hervorholen und Kopieren eines Dossiers oder einzelner Aktenstücke aus einem solchen verbunden ist. Das trifft etwa dann zu, wenn die Daten lediglich zu statistischen Zwecken bearbeitet und wenn sie teilweise anonymisiert aufbewahrt werden, oder wenn die Auskunft langwierige Nachforschungen erfordert, was insbe- sondere der Fall ist, wenn die Datensammlung manuell geführt wird und auf mehrere Dossiers

verweist.

Der EDÖB ist vorliegend der Auffassung, dass kein entsprechender Ausnahmegrund gegeben ist, zumal der Mehraufwand für die Verifikation der Auskunftsersuchenden nicht durch die Benutzerin- nen und Benutzer selbst verursacht worden ist. Dementsprechend hat die Stiftung den gesuch- stellenden Personen den besagten Kostenaufwand zurückzuerstatten, was sich wie folgt auch in den Empfehlungen wiederspiegelt.

Empfehlung 2 zu den Auskunfts-, Löschungs- und Berichtigungsrechten

Die Stiftung meineimpfungen reagiert gegenüber den Nutzerinnen und Nutzern, welche ein Aus- kunfts- oder Löschungsbegehren stellen, innert angemessener Frist und ersetzt ihnen die entstan- denen Kosten für die beglaubigten Ausweiskopien.

Weiter informiert die Stiftung meineimpfungen die Betroffenen über die mögliche Beeinträchtigung

der Datenrichtigkeit.

Seite 20 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÔB

Confederazione Svizzera Confederaziun svizra

75

76

77

3.3. Mögliche definitive Einstellung der Plattform

Die Stiftung meineimpfungen kommunizierte am 27. Mai 2021 auf ihrer Webseite, dass die Platt-

form in der bisherigen Form und mit der bisherigen Funktionalität nicht mehr in Betrieb genommen werde.

Die für die Datenbearbeitung verantwortliche Stiftung hat die datenschutzrechtlichen Anforderun- gen auch im Falle einer Einstellung der ursprünglichen Plattform zu berücksichtigen. Insbeson- dere hat sie sicherzustellen, dass die Daten weiterhin gegen unbefugte Zugriffe geschützt und nicht einem anderen als dem ursprünglichen Zweck zugeführt werden.

Soweit die erwähnte Kommunikation der Stiftung als definitive Einstellung der Plattform zu verste- hen ist, hat sie insbesondere die Frage zu klären, was mit den über die Plattform gespeicherten Personendaten, d.h. den von den Nutzerinnen und Nutzern hinterlegten Daten über deren Impfun- gen geschehen soll. Die Betroffenen sind im Sinne des Erkennbarkeitsprinzips (Art. 4 Abs. 4 DSG) transparent darüber zu informieren.

Empfehlung 3 zur definitiven Einstellung der Plattform

Im Falle einer ganzen oder teilweisen Einstellung der Plattform meineimpfungen.ch informiert die

Stiftung meineimpfungen die Betroffenen über den Ablauf und die technische Umsetzung der Ein- stellung.

Weiter weist die Stiftung meineimpfungen gegenüber den Betroffenen nach, welche Massnahmen ergriffen werden, um die datenschutzrechtlichen Anforderungen an die Einstellung zu erfüllen, insb. hinsichtlich der Frage, was mit den Personendaten der Plattform einschliesslich der besonders schützenswerten Personendaten (Impfdaten) geschieht.

Seite 21 von 23

Schweizerische Eidgenossenschaft Eldgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

78

79

80

81

82

83

84

4. Verfahrensabschluss

Wie aus der vorstehenden Chronologie (Ziff. 1.2) hervorgeht, konnten bei der Feststellung des Sachverhalts alle Eingaben, Korrespondenzen und Publikation bis zum Stichtag vom 7. Juli 2021 berücksichtigt werden.

Am 26. Juli 2021 legte der EDÖB den vorliegenden Abschlussbericht samt rechtlicher Würdigung und Empfehlungen (Ziff. 2 und 3) der Stiftung meineimpfungen zur Prüfung und Stellungnahme vor. Innerhalb von 30 Tagen nach Erhalt musste die Stiftung dem EDÖB mitteilen, ob sie die Stel- lungnahme und die Empfehlungen akzeptiert.

Nach Ansicht des EDÖB besteht ein allgemeines Interesse daran, die Öffentlichkeit im vorliegen- den Fall über seine Feststellungen und Empfehlungen gestützt auf Art. 30 Abs. 2 DSG zu infor- mieren. Die Stiftung wurde deshalb aufgefordert innerhalb der genannten Frist mitzuteilen, ob sie aus Gründen des Persönlichkeitsschutzes oder von Geschäftsgeheimnissen Änderungen oder Abdeckungen des Schlussberichts beantrage.

Mit Schreiben vom 18. August 2021 teilte die Stiftung dem EDÖB mit, dass sie die Empfehlungen akzeptiere. Mit Blick auf die Publikation beantragte sie in Ihrer Stellungnahme zudem einige for- male Anpassungen, die in der vorliegenden Fassung des Berichts vollumfänglich berücksichtigt werden konnten.

Anlass zu materiellen Bemerkungen seitens der Stiftung gab einzig Randziffer 46 des vorliegen- den Berichts, welche entsprechend ergänzt worden ist.

Wie die in diesen Empfehlungen formulierten Vorgaben konkret umgesetzt werden, liegt in der Verantwortung der Stiftung meineimpfungen. Im Rahmen der weiteren Zusammenarbeit und allfäl- ligen Nachkontrollen kann der EDÖB entsprechende Umsetzungsvorschläge der Stiftung auf de- ren Datenschutzkonformität hin prüfen.

Nach Abschluss der Feststellung des Sachverhalts teilte die Stiftung die Liquidation und Einstel- lung ihrer Tätigkeit an. Das BAG sucht mit der Stiftung zurzeit nach Lösungen, damit die gesetzli- chen Ansprüche auf Auskunft, Berichtigung und Löschung der Kundinnen und Kunden trotz Ein- stellung der Aktivitäten der Stiftung erfüllt werden können. Der EDÖB unterstützt das BAG dahin- gehend, dass diese Lösungen sowohl in rechtlicher als auch technischer Sicherheit datenschutz- konform umgesetzt werden können.

Seite 22 von 23

Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB

Confederazione Svizzera

Confederaziun svizra

85 Der vorliegende Bericht wird gestützt auf Art. 30 Abs. 2 DSG publiziert.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Adrian Lobsiger

Seite 23 von 23