Kommenden Donnerstag geht die bereits sechste Corona-Teststraße in Wien in Betrieb. Vor dem Schloss Schönbrunn können sich Bewohnerinnen und Bewohner der Bundeshauptstadt dann auch in imperialer Atmosphäre einen Nasenabstrich abnehmen lassen. Die Stadt rühmt sich mit ihrer Testinfrastruktur. Nach Voranmeldung ist auch beim Ernst-Happel-Stadion, in der Stadthalle, auf der Donauinsel, bei der Schule Erlaaer Straße und im Austria Center ein Antigentest möglich. Nach wenigen Minuten bekommt man dort schnell und unkompliziert ein Testergebnis. Bis vor kurzem allerdings nicht nur sein eigenes.
Wer sich etwa im Austria Center in der Donaustadt auf Corona testen ließ, hätte sich dort zuletzt auch einfach Zugang zu tausenden anderen Daten getesteter Personen verschaffen können. Wie der “Standard” berichtet, waren unter anderem Zugangsdaten, mit denen Mitarbeiter der Teststraße auf die Befunde zugreifen, gut leserlich direkt neben den Computern auf Zetteln zu finden.
Mit diesen Daten kann man in die Web-App der Stadt Wien einsteigen und unter anderem die Adresse, Telefonnummer und die Sozialversicherungsnummer der Testpersonen einsehen. Alleine die Datensätze aus dem Austria Center beinhalten die Informationen von über 200.000 Antigen-Testungen und über 1.000 PCR-Tests. Zum Einsatz kommt das System auch an den anderen Teststandorten der Stadt.
Neue Passwörter und Security-Token
Problematisch sei auch, dass es laut “Standard” keine personalisierten Zugangsdaten für die Mitarbeiter gab und die Passwörter dafür bis zuletzt nie geändert worden sind. Zudem sei das System im Internet verfügbar, was einen Zugriff auf die Daten auch von Außen erlaubt. Weiters sei es etwa per Funktion möglich gewesen, die Daten aller bisher getesteten Informationen als Excel-Tabelle herunterzuladen. Die Computer vor Ort hätten auch erlaubt, die Daten per USB-Stick abzugreifen. Die Stadt begründete das damit, dass es nur so möglich sei, die Drucker in der Teststraße zu betreiben.
Gegenüber der Kleinen Zeitung heißt es aus dem Büro von Gesundheitsstadtrat Peter Hacker (SPÖ), dass nach Bekanntwerden der Datenschutzmängel sofort in allen Teststraßen gehandelt worden sei. So seien alle Passwörter geändert worden und außerdem eine Zwei-Faktoren-Authentifizierung mittels eines physischen Tokens in Form eines USB-Sticks eingeführt worden. Jeder Mitarbeiter bekommt ab sofort einen solchen bei Dienstbeginn und nur mit diesem und den Zugangsdaten kann man sich fortan in der Web-App anmelden.
Personalisierte Zugänge laut Stadt nicht möglich
Darüber hinaus wurde für die Mitarbeiter vor Ort der Zugriff auf die Daten auf den jeweiligen Testtag beschränkt. Zudem könne jeder Mitarbeiter nun nur noch jene Daten einsehen, die er selbst einträgt, auch einsehen, so der Sprecher des Gesundheitsstadtrats.
Auf die Frage, warum das nicht früher passiert sei, heißt es, dass man sich nicht darauf vorbereiten könne, wenn Mitarbeiter die Zugangsdaten einfach am Computer anbringen. Personalisierte Zugänge seien außerdem aufgrund der hohen Personalfluktuation und der Flexibilität bei den Teststraßen nicht oder nur sehr kompliziert möglich.
So komme es immer wieder vor, dass an Teststraßen bei hoher Auslastung temporär zusätzliche Kapazitäten geschaffen werden. Diese Flexibilität könne man nur gewährleisten, wenn es pro Arbeitscomputer eigene Zugangsdaten gibt und nicht pro Mitarbeiter. Durch die Token-Lösung habe sich das Problem nun allerdings erledigt.
Herbe Kritik: "Datenschutz völlig ignoriert"
Vor den nun getroffenen Maßnahmen soll es zu keinen Datendiebstählen gekommen sein, so der Sprecher von Stadtrat Hacker. Zugriffe auf die Daten werden kontinuierlich protokolliert und stichprobenartig sowie im Anlassfall kontrolliert, heißt es.
Kritik am Vorgehen der Stadt hagelt es vom früheren Koalitionspartner der zuständigen SPÖ, den Grünen. “Es ist völlig skandalös, dass auf so eine leichtsinnige Art mit sensiblen Daten von Wiener*innen umgegangen wird und der Datenschutz völlig ignoriert wird”, sagt die grüne Gemeinderätin Barbara Huemer.
Sie appelliert an Gesundheitsstadtrat Hacker, für “diesen Datenskandal die Verantwortung zu übernehmen”. Außerdem fordern die Grünen eine Datenschutzfolgeabschätzung. “Wir wollen wissen, ob bereits Schaden entstanden ist. Der Gesundheitsstadtrat muss alles tun, um zu garantieren, dass unsere sensiblen Gesundheitsdaten beim Testen durch den besten Datenschutz geschützt sind. Es wäre fatal, wenn jetzt die freiwillige Testbereitschaft aufgrund von Datenschutzbedenken abnehmen würde.”