Bgld: Covid-19 Antigenschnelltest Selbst-“Feldversuch“

Der Autor des Artikels wird in einem „Feldversuch“ über seine erste freiwillige Covid-19 Testung berichten. Von der Anmeldung bis zum Test und mehr…. Der heutige Artikel widmet sich dem Anmeldevorgang auf der Internetseite der Burgenländischen Landessicherheitszentrale (LSZ).

Die Anmeldung über die Plattform https://testen.lsz-b.at/self/tickets/new funktionierte einwandfrei. Ein Sicherheitszertifikat ist vorhanden. Keine Auffälligkeiten im Programmcode. Let’s Encrypt OAK 2021 sorgt mit einem bis 12. April 2021 gültigen Zertifikat für Sicherheit. Die Verbindung ist mit 256 Bit verschlüsselt (TLS 1.3) Die LSZ hat das gut eingerichtet. Man fühlt sich „sicher“ im digitalen Anmeldevorgang.

Die Datenschutzerklärung ist 3x verlinkt und auf 4 Seiten in einem PDF Dokument vorliegend. Es ist schlüssig und nachvollziehbar erklärt welche Daten erzeugt, verwaltet, verarbeitet und weitergeleitet werden. Es sind dies:

  • Abstrich
  • Die selbst angegebenen personenbezogenen Daten, Vorname, Zuname, Wohnadresse, Geburtsdatum, Geschlecht, Versicherungsnummer, Mobiltelefon Nummer, Mail-Adresse
  • Sozialversicherungsnummer
  • Ein bereichsspezifisches Personenkennzeichen (Strichcode + Zahlenfolge)
  • Daten zur epidemiologischen Auswertung
  • Eine Probematerialkennung (Proben ID zur eindeutigen Personenzuordnung)
  • Testergebnis

Es wird erläutert wer die personenbezogenen Gesundheitsdaten bekommt. Es sind dies:

  • Zuständige und legitimierte Stellen des Landes Burgenland
  • Österreichisches Rotes Kreuz
  • Arbeiter -Samariterbund Österreichs
  • Involvierte Ärzte
  • Österreichisches Bundesheer
  • Scalingo SAS (Scalingo SAS 15 avenue du Rhin 67100 Strasbourg France)
  • Register für Screeningprogramme im Gesundheitsministerium

Wer genau die zuständigen und legitimierten Stellen des Landes Burgenlandes sind und welche Ärzte „involviert“ sind und somit Zugang zu den Daten haben ist leider nicht näher ausgeführt.

Der Hinweis der Datenverwendung im Bereich des Screeningregisters lässt Fragen über die Löschung offen!

„Die bereichsspezifischen Personenkennzeichen werden gelöscht, sobald sie für die Zwecke derDurchführung von Screeningprogrammen nach § 5a EpiG und zu Zwecken der Datenübertragung von bestätigten Infektionen mit SARS-CoV-2 in das Register anzeigepflichtiger Krankheiten, nicht mehr erforderlich sind.“

Das Gesundheitsministerium (der Minister) kann Screeningprogramme zu folgenden Zielgruppen durchführen:

  • Vorkommen der Krankheit in der Bevölkerung
  • Nach einzelnen Bevölkerungsgruppen
  • Scannen nach besonders betroffenen Gebieten oder Einrichtungen
  • Bestimmte Bevölkerungsgruppen samt Krankheitsverlauf
  • Berufsgruppen die auf Grund ihrer Tätigkeit erhöhtem Risiko ausgesetzt sind

 

Es ist nicht näher erläutert wer der nach DSGVO „Verantwortliche“, der Datenschutzbeauftragte und mögliche Dienstleister zum Register für Screeningprogramme im Gesundheitsministerium sind. Wie lange die Daten in diesem Register anonymisiert, pseudoanonymisiert oder personenbezogen gespeichert bleiben ist nicht erkennbar. Ebenso nicht ob die Daten an „Dritte“ weitergegeben werden und wer auf die Daten zugriffsberechtigt ist und ob „die Forschung“ und andere berechtigte Einrichtungen Zugriff auf diese Daten haben.

Während des Erfassungsvorganges über das Web-Formular findet ein Mail-Verkehr an die angegebene Mail-Adresse und ein SMS-Verkehr (unterdrückte Nummer) an die angegebene Handynummer statt.

Tatütata die Feuerwehr ist da!
Im LSZ ist wohl ein witziger Mail-Server Admin (helo=tatuetata.lsz-b.at) am Werk. Auch Spaß muss sein bei den Technikern.

Der Mail-Header von no-reply@lsz.b.at ist unauffällig auslesbar (domain of no-reply@lsz-b.at designates 185.182.176.14 as permitted sender) receiver=p00-spfmilter-7f44868dcf-ggl62; client-ip=185.182.176.14; helo=tatuetata.lsz-b.at; envelope-from=no-reply@lsz-b.at <6032c22d9efef_3712e086285cf@lsz-covid-scheduler-web-2.m)

Beim Besuch der Internetseite https://testen.lsz-b.at werden folgende Daten ausgelesen:

  • Browsertyp,
  • Betriebssystem,
  • Land,
  • Datum,
  • Uhrzeit und Dauer des Zugriffs,
  • IP-Adresse und besuchte Seiten auf unserer Webseite inkl. Ein- und Ausstiegsseiten

Der Anmeldevorgang ist mit einem SMS-Sicherheitsfaktor (Zahlencode) und einem Zugriffssicherheitsfaktor (Geburtsdatum) abgesichert. Es kann weder der Handybesitzer noch der Mail-Besitzer gesichert geprüft werden. Dafür haftet der Datenerfasser. Die Identitätsfeststellung bei der Testung erfolgt mittels E-Card (Foto auf der E-Card) Die Handynummer und die Mail-Adresse werden mit Unterschrift des Patienten personenbezogen zugeordnet, gespeichert und weiter verarbeitet, müssen jedoch nicht in Bezug zur getesteten Person stehen.

Der Laufzettel

Der Anmeldevorgang erzeugt ein PDF-Dokument, vom System „Laufzettel“ genannt. Dieser Laufzettel ist mit einem Barcode und mit den vom Patienten ausgefüllten Personendaten befüllt. Eine digitale Signatur fehlt. Die Zuordnung zur Person erfolgt in der Teststraße durch die Ausweisleistung und Unterschrift des Patienten. Bemerkenswert ist, dass die Behörde (Land, LSZ) davon ausgeht, dass jeder Bürger zu Hause einen Drucker hat um den Laufzettel auszudrucken. Der Laufzettel ist ausgedruckt zur Testung mitzunehmen.

Soweit nun der Bericht des Autors zur Covid-19 Testanmeldung

Die Anmeldung funktioniert einwandfrei, alles ist gut erklärt und jedem Bürger und Jugendlichen ist es zumutbar auch über das Handy den Vorgang zu erledigen. Außer einigen Mängeln in der Datenschutzerklärung gibt es für den Anmeldevorgang zur Covid-19 Testung des Burgenlandes vom Autor die Notenbewertung „Gut“!

Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++
Grafiken: Screenshots testen.lsz-b.at

Share Button

Related posts