Gefühlt gibt es Corona-Testzentren an jeder Ecke. Das ist sinnvoll, um die Pandemie zu bewältigen. Aber wie gut gehen die Anbieter eigentlich mit unseren Daten um? Eher mittelmäßig. Dabei sind die Probleme den Behörden durchaus bekannt.
Die Wochenzeitung "Die Zeit" hat Corona-Testzentren in vier Städten überprüft. Sie kommt zu dem Ergebnis, dass die per E-Mail verschickten Testergebnisse häufig nicht ausreichend verschlüsselt werden.
Bei einem der Testanbieter kommt laut der Wochenzeitung das Ergebnis des Coronatests mit Name, Adresse und Geburtsdatum völlig unverschlüsselt per E-Mail.
Gesundheitsdaten der Bürgertests
Dabei sind die Ergebnisse der Bürgertests "sensible Gesundheitsdaten", sagt Bettina Gayk gegenüber der Zeit. Sie ist die Datenschutzbeauftragte in Nordrhein-Westfalen. Es handele sich um "Daten mit hohem Schutzbedarf". Das bedeutet, dass sie eigentlich Ende-zu-Ende-verschlüsselt sein müssten, so unsere Netzreporterin Martina Schulte. "Das ist aber vermutlich in vielen Testzentren nicht der Fall."
"Die Ergebnisse der Coronatests müssten eigentlich Ende-zu-Ende-verschlüsselt sein und es müsste eine qualifizierte Transportverschlüsselung geben."
Es gibt Testzentren mit hohen Sicherheitsstandards. Ein Anbieter in Stuttgart zum Beispiel nutzt eine datenschutzkonforme App mit Pin und Passwort. "Das ist relativ aufwendig, aber dafür sind alle Daten verschlüsselt", sagt Martina. "Solche vorbildlichen Testzentren sind laut 'Zeit' in Deutschland jedoch eher die Ausnahme."
Dass ausreichender Datenschutz fehlt, hängt nicht unbedingt von der Größe oder dem Organisationsgrad der Testzentren ab. Auch große Anbieter gehen nicht immer sensibel mit Daten um. "Das IT-Sicherheitskollektiv 'Zerforschung' hat Fehler und Datenschutzlücken bei fünf großen Anbietern von Testzentrumssoftware aufgedeckt", sagt Martina. Das Kollektiv berichtete zum Beispiel über Anbieter in NRW.
Es fehlt an Kontrollen
Auch Heise recherchierte bereits im Juni aufgrund zahlreicher Hinweise von Lesern und Leserinnen, dass sich in vielen Testzentren und Arztpraxen die Datenlecks bei Vergabesoftware für Test- und Impftermine häufen. "Viele Apotheken und Testcenter nutzen zum Beispiel den Dienst 'Apo-Schnelltest' für die Terminvergabe bis hin zur E-Mail mit dem Ergebnis", sagt Martina. Laut Zeit werden in der App die Daten nicht ausreichend verschlüsselt.
Den Behörden ist das Problem bekannt, so Martina. Stefan Brink, Datenschützer in Baden-Württembergs, sprach darüber mit der Online-Plattform IT-daily. Der Datenschutzbeauftragte könnte empfindliche Strafen verhängen. "Denn es ist Aufgabe der Datenaufsichtsbehörde, Unternehmen zu kontrollieren", sagt Martina. Doch bislang gibt es nur stichprobenartig Kontrollen.
Was ihr für den Schutz eurer Gesundheitsdaten tun könnt
Aber auch wir können etwas für mehr Schutz unserer Daten tun.
- Am sichersten sind die Testzentren, die eigene Apps mit starker Verschlüsselung und Pin anbieten.
- Eine Verschlüsselungen durch das eigene Geburtsdatum ist nicht sicher. Das Datum lässt sich mit gängiger Hackersoftware schnell knacken.
- Nutzt ihr Gmail oder andere Anbieter für den E-Mail-Versand, bei denen diese mitlesen, dann hinterlasst bei Testzentren, die nicht sicher eure Daten übertragen, eine andere E-Mailadresse.
- Es gilt: Es handelt sich um sensible Gesundheitsdaten, die ihr vor neugierigen Dritten schützen solltet.