Datenschutzpanne in Wiener Corona-Teststraße

In der Corona-Teststraße im Austria Center (ACV) hatte man laut der Tageszeitung "Der Standard" (Dienstag-Ausgabe) bis vor kurzem leichte Sicht auf die Zugangsdaten jener Accounts, mit denen Mitarbeiter sensible Daten zu Menschen, die sich testen ließen, abrufen können. Überdies ließ u.a. die Qualität der Passwörter zu wünschen übrig. Die Stadt bestätigte der APA die Vorwürfe und hat Maßnahmen gesetzt.

"Der Standard" erhielt einen Tipp über den mangelhaften Umgang mit dem Datenschutz in der Corona-Teststraße im ACV. Die Informationen wurden im Rahmen eines Lokalaugenscheins überprüft und bestätigt, hieß es in dem Artikel. So seien die Zugangsdaten neben Computern offen abgelegt und gut lesbar gewesen. Die Passwörter hätten außerdem eine hohe Übereinstimmung mit den Nutzernamen gehabt.

Die Zugangsdaten lieferten laut Artikel einen Eintritt in die Web-App der Stadt, in der die sensiblen Daten, darunter etwa Adresse und Sozialversicherungsnummer, verarbeitet werden. Problematisch sei auch, dass die Passwörter noch nie geändert worden seien und jeder, der schon einmal dort gearbeitet habe, daher Zugriff auf die Daten gehabt habe, zitierte "Der Standard" den Hinweisgeber. Das System sei im Internet verfügbar, was einen Login auch von Außen erlaubt habe - und damit ein Zugriff auf die Daten.

Sämtliche Informationen konnten ausgelesen werden

In der Praxis hieß das laut "Standard": "Mehr als 210.000 Antigentests und mehr als 1.000 PCR-Tests, also sämtliche in der Teststraße erfassten Daten seit November des vergangenen Jahres, konnten mit den Zugangsinformationen ausgelesen werden. Wer sich testen lässt, muss seinen Namen, sein Geburtsdatum, seine Sozialversicherungsnummer, seine Adresse sowie eine Telefonnummer oder eine E-Mail-Adresse angeben. Diese Informationen sind auf der Seite ersichtlich sowie auch das Testergebnis im Fall der mehr als 210.000 Antigentests."

Weiters wurde bemängelt, dass der Zugriff ohne Sicherheitsüberprüfung funktioniert habe und die Mitarbeiter in der Teststraße keine personalisierten Accounts gehabt hätten. Weiters habe es laut "Standard" in der Oberfläche von 21. Jänner bis 22. Jänner am frühen Nachmittag eine Schaltfläche gegeben, die es erlaubt habe, die Daten aller bisher getesteter Personen als Excel-Tabelle herunterzuladen. Laut Stadt Wien habe es sich dabei um einen Bug gehandelt. Aber auch ohne diesen seien zahlreiche sensible Daten allein schon auf der Oberfläche in der Web-App einsehbar, führte "Der Standard" weiter aus. Teils seien die Informationen auch kopierbar gewesen.

Kritik an Standort des Geräts

Ein Kritikpunkt betraf auch die Geräte am Standort: Es sei ohne weiteres möglich, einen USB-Stick an die Geräte anzuschließen und Daten abzugreifen. Begründet wurde das laut "Standard" damit, dass nur so die Drucker betrieben werden könnten.

Die Stadt Wien habe nach Kenntnisnahme der "Standard"-Informationen umgehend geprüft, ob es etwa zu Datendiebstählen gekommen sei, sagte ein Sprecher von Gesundheitsstadtrat Peter Hacker (SPÖ) der APA. Gefunden sei nicht geworden: "Uns ist nichts aufgefallen."

Nach Kenntnisnahme der Datenpanne wurden seitens der Stadt in einem ersten Schritt die Kennwörter in den Teststraßen geändert. Weiters wurde die Zweifaktor-Authentifizierung eingeführt. Dabei muss der Nutzer den Log-In zusätzlich bestätigen, etwa durch einen Code, der per SMS versandt wird.

Was den Standort AVC betrifft, so wurden noch weitere Schritte eingeleitet: "Seitens Austria Center Vienna wurde veranlasst, dass die Passwörter geändert werden und ausschließlich ein limitierter Personenkreis Zugang zu den Login-Daten erhält. Die Richtlinie, dass keine Kennwörter neben den Arbeitsplätzen aufliegen dürfen, ist weiterhin aufrecht und wurde nochmals den zuständigen Mitarbeiterinnen und Mitarbeitern kommuniziert", gab der Sprecher bekannt.

Weiters gibt es eine Änderung bzw. Einschränkung bei der Dateneinsicht: "Die testende Stelle hat nur Zugriff auf die selbst erfassten Daten. Und die Dauer der Datensicht wird auf den aktuellen Tag beschränkt." Laut Stadt werden die Zugriffe kontinuierlich protokolliert und stichprobenartig sowie im Anlassfall kontrolliert.

Postwendend Kritik an der Stadt gab von den Grünen. "Der fehlende Datenschutz für sensible Gesundheitsdaten bei Wiens Corona-Teststraßen ist grob fahrlässig", ärgerte sich Gemeinderatsmandatarin Barbara Huemer in einer Aussendung. Gesundheitsstadtrat Hacker müssen "für diesen Datenskandal" die Verantwortung übernehmen und die Stadt müsse "unverzüglich" das Vertrauen in die Sicherheit der sensiblen Gesundheitsdaten der Menschen wiederherstellen, forderte sie dazu.