Eine neu entdeckte Lücke in der Datensicherheit von Corona-Testzentren zeigt Mängel in der Testverordnung.
Realistisch betrachtet ist die Überraschung an dieser Stelle nicht allzu groß.
Der Fall Coronapoint scheint der bisher gravierendste in einer Reihe von Datenpannen zu sein.
Knapp 174.000 Buchungsbestätigungen sind teils mit Testergebnissen abrufbar und es gibt zehntausende Betroffene.
Aktivist:innen haben die zuständigen Behörden informiert. Geschlossen wurde die Datenlücke aber erst nach mehreren Hinweisen von “Zerforschung”.
Als der SPD-Gesundheitsexperte Karl Lauterbach vergangene Woche ein Testzentrum des Betreibers Coronapoint besuchte, sagte er noch:
“Ich habe mich sehr geärgert, dass ein paar wenige Zentren den Ruf dieser wichtigen Branche beschädigt haben.”
SPD-Gesundheitsexperte Karl Lauterbach
Dass gerade der Betreiber Coronapoint bald zur Rufschädigung beitragen wird, weiß er zu diesem Zeitpunkt nicht — obwohl das Unternehmen schon über die Mängel in der Software informiert war.
Besonders gravierend ist der Fall Coronapoint, weil neben sensiblen Gesundheitsdaten auch Ausweisnummern betroffen sind.
“Kriminelle können damit erheblichen finanziellen Schaden verursachen”
Schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Der Landesbeauftragte für Datenschutz in Baden-Württemberg, Stefan Brink, sieht Identitätsdiebstahl als größtes Risiko.

Testzentren seien daher ein lohnendes Ziel für Hacker.
Ob es in diesem Fall unerlaubte Zugriffe gab, ist nicht klar.
Generell wird der Schutz der sensiblen Daten in den Testverordnungen von Bund und Ländern schlicht nicht berücksichtigt. Auch werden die zuständigen Behörden vor der Eröffnung von Testzentren nicht benachrichtigt.
Sonst, so Stefan Brink, könnten sie zumindest Hinweise zur Datensicherung geben. Schon die Erhebung von Ausweisdaten, wenn sie nicht notwendig ist, bezeichnet Stefan Brink als “klaren datenschutzrechtlichen Verstoß” und “unverhältnismäßiges Risiko”.
Auch das Bundesgesundheitsministerium beschreibt einen “Verstoß gegen das Gebot der Datenminimierung”. Das Missbrauchsrisiko steigt aber, weil die IT-Systeme oft laienhaft geschützt sind. Systematische Kontrollen gibt es keine, weil Ressourcen fehlen. Die Behörden sind auf das Engagement von Aktivist:innen angewiesen.
Was mit Millionen sensibler Daten passiert, wenn sich die betreffenden Unternehmen auflösen, ist unklar. Gefährliche Szenarien reichen von der unsachgemäßen Entsorgung von Speichergeräten bis zur gezielten Veräußerung der Daten:
“Wer von der Insolvenz bedroht ist, für den kann das lukrativ sein”
sagt Stefan Brink.
Datenschützer zeigen sich vor dem Hintergrund dieser Gefahren alarmiert, politisch fehlt jedoch eine klare Zuständigkeit.
Das Gesundheitsministerium verweist bei Fragen auf das BSI, die NRW-Datenschutzbehörde sieht die Verantwortung bei den Unternehmen.
Karl Lauterbach geht insgesamt, sagt er auf Anfrage, weiter davon aus, dass überwiegend ehrlich gearbeitet werde.
Dennoch zeigt er sich entsetzt:
“Wenn ich von den Verdächtigungen gewusst hätte, hätte ich auf keinen Fall dieses Unternehmen besucht.”
sagt Karl Lauterbach,
Sicherlich haben nicht nur Testzentren während der Bekämpfung der Corona-Pandemie das Augenmerk nicht auf Datenschutz gerichtet. Aber völlig unstrittig ist die Tatsache, dass es höchste Zeit ist, die Vergangenheit und den aktuellen Umgang mit personenbezogenen Daten genauer zu betrachten.
Also lassen Sie sich gut beraten.