eImpfDoc App – QR Code: Alles sicher bei Betreibern und Zugriffsberechtigten?

Stellungnahme des Datenschutzrates  vom 2. April 2021

Im Dokument Geschäftszahl: 2021-0.237.527, welches einstimmig in der 255. Sitzung am 30. März 2021 beschlossen wurde heißt es:Der Datenschutzrat ersucht die zuständigen Mitglieder der Bundesregierung, den Datenschutzrat laufend über die Entwicklung der Verhandlungen in der EU zum Vorhaben Digitales Grünes Zertifikat zu informieren, damit der Datenschutzrat seine Aufgabe der Beratung der Bundesregierung ausüben kann. Empfohlen wird, diesbezüglich ein eigenes Gesetz vorzulegen. Das Datenschutzniveau einer solchen österreichischen Implementierung, auch einer Übergangslösung, darf EU-Vorgaben – insbesondere im Hinblick auf das Kriterium der Unbeobachtbarkeit des Verhaltens der Nutzer (dezentrale Verifikation) – nicht unterschreiten.

Update: 16.5.21 – Am Parlamentsserver ist in der Gesetzesbegutachtung die leider nur mehr 3 Tage Zeit für eine Stellungnahme lässt eine Gefahrenfolgenabschätzung zum neuen EPI-Service verfügbar. Das EPI-Service ist ein elektronisches Service, welches Zertifikate erstellt, die zum Nachweis eines Tests auf COVID-19, einer Genesung von COVID-19 oder einer Impfung gegen COVID-19 dienen.

Datenschutzfolgenabschätzung zum EPI-Service:
https://www.parlament.gv.at/PAKT/VHG/XXVII/ME/ME_00122/imfname_955921.pdf

Wir dürfen gespannt sein auf die Stellungnahme der Datenschutzbehörde zur Änderung des Epidemiegesetzes. Leider ist nur eine sehr kurze Frist gesetzt. Stellungnahmen sind noch bis 19.5.21 möglich.

 

Bgld SPÖ NAbg. Christian Drobits (rechts im Bild) ist seit Juni 2020 stellvertretender Vorsitzender des Datenschutzrates Foto: SPÖ Burgenland

Sicherheitslücken im grünen Pass gefährden Gesundheitsdaten aller Sozialversicherten

Die Recherchen und Veröffentlichungen von Epicenter Works deckten grobe Missstände im Projekt „Grüner Pass“ des ÖVP Kanzlers auf und führten innerhalb weniger Tage zum politischen Stopp seines Fehlstarts. „Die Verantwortung für diese Architektur dürfte auf der politischen Ebene zu finden sein: Weil Österreich unbedingt das erste EU-Land mit einem grünen Pass sein will, ist ein enormer Zeitdruck entstanden. Dafür ist Bundeskanzler Sebastian Kurz verantwortlich“, heißt es im Artikel von Epicenter Works. Die Empfehlung des Autors. Besuchen Sie die Datenschutzprofis von Epicenter Works auf Ihrer Website, lesen Sie den gesamten Aufdeckerartikel und beenden Sie ihren Web-Besuch mit einem kleinen „Förderbeitrag“ an das Team. Sie haben es sich verdient!

https://epicenter.works/content/sicherheitsluecken-im-gruenen-pass-gefaehrden-gesundheitsdaten-aller-sozialversicherten

Die Verantwortlichen und ihre Dienstleister zum digitalen „Impfen“

Neben dem Gesundheitsministerium in Grüner Verantwortung und der ELGA GmbH, sowie den jeweiligen „Betreibern“ von Impfstraßen gibt es drei neue Dienstleister die am „digitalen Impfen“ in geschäftlicher Mission beteiligt sind.

A1 | Drei | Magenta

Neuer Dreh- und Angelpunkt ist die die App „e-Impfdoc“ der ELGA GmbH

Diese Sonder-App ist derzeit nicht öffentlich verfügbar sondern wird über die Behörden und Bundesländer mit den mobilen Geräten (Tabletts) ausgeliefert. Die Tabletts mit der App „e-Impfdoc“ können jedoch am freien Markt erworben werden heißt es auf der Internetseite von A1. Aktuell werden diese von folgenden Mobilfunk-Service-Providern angeboten zu ihren Projekten eImpfpass angeboten.

A1 | Drei | Magenta

Das eImpfdoc App Benutzerhandbuch können Sie hier einsehen (download): https://www.itsv.at/cdscontent/load?contentid=10008.742443&version=1612166766

Externe Dienstleister beim digitalen Impfen eingestiegen?

https://www.a1.net/e-impfpass

https://www.drei.at/de/business/grossunternehmen/loesungen/e-impfpass/

https://www.magenta.at/business/e-impfpass

Die „Biometrics“-App

Die „Biometrics“-App dient ausschließlich dem Zweck einen Fingerabdruck zu erstellen oder zu löschen. Das Erstellen eines Fingerabdrucks (und dem damit einhergehenden Setzen eines PINs) muss zwingend vor allen anderen Aktionen durchgeführt werden.

Die „Digitales Amt“-App

Die Anmeldung in der App „Digitales Amt“ muss einmalig durchgeführt werden um sich in der App „e-Impfdoc“ authentifizieren zu können.

Die „e-Impfdoc“ App Aktuelle Version APP „Digitales Amt“: 1.1.4 / 2021021001 – Aktuelle Version APP „e-Impfdoc“: 1.0.3 Build 215 

Die „e-Impfdoc“-App ist eine Anwendung die dem digitalen Erfassen von Impfungen dient. Während der Pilotphase können nur Impfungen bei Verabreichung erfasst werden.

Aktuell bleibt die Dokumentationspflicht von Impfungen im Papier-Impfpass aufrecht.

Achtung: Es können maximal 3 Fingerabdrücke in der eImpfDoc App gleichzeitig hinterlegt werden!


Falls Sie Fingerabdrücke von anderen Personen hinterlegen möchten, stellen Sie sicher, dass nur von Ihnen berechtigte, vertrauenswürdige Personen den Fingerabdruck hinterlegen. Bitte beachten Sie, dass jeder hinterlegte Fingerabdruck die Identifikation in der „Digitalen Amt“-App sowie in der „e-Impfdoc“-App vornehmen kann, liest man in der Bedienungsanleitung von A1. Welche „Finger“ welcher Personen sind hier im Spiel in den jeweiligen Impfstraßen, Ordinationen oder Institutionen?

Datenschutzbestimmungen, Folgenabschätzung und TOMs nicht öffentlich

Im Handbuch zur e-Impfdoc-App (27 Seiten) kommt das Wort Datenschutz nur einmal vor. Ein Aufruf der Datenschutzbestimmungen soll über die App selbst möglich sein und ist somit nicht öffentlich. Ebenso konnten keine „Gefahrenfolgenabschätzung“ und keine „TOMs“ (technisch organisatorische Maßnahmen) welche die DSGVO bei besonders zu schützenden personenbezogenen Gesundheitsdaten vorschreibt gefunden werden. Das Handbuch ist online verfügbar und kann über nachstehenden Link eingesehen werden.

https://www.itsv.at/cdscontent/load?contentid=10008.742443&version=1612166766

28 Tage lang Datenzugriff für Berechtige samt Schreibrechte bis Stornierung

Mit e-Impfdoc App können alle Impflinge der letzten 28 Tage abgerufen werden. Diese sind chronologisch geordnet, beginnend mit dem aktuellsten Impfkontakt. Dadurch können Berechtigte auch zu einem späteren Zeitpunkt den e-Impf-pass der Patienten noch einmal einsehen, die Impfdaten Ihrer Impflinge überprüfen und gegebenenfalls Änderungen oder Stornierungen Ihrer selbst erstellten Impfeinträge vornehmen.

Keine Spur von den Datenschutzrichtlinien

Somit haben wir 3 Personen pro Tablett die nach der Impfung immer noch 28 Tage lang Zugriff auf die personenbezogenen Daten der Impfpatienten haben und diese Daten sogar ändern oder stornieren können. Dies ist umso bemerkenswerter als im gesamten 27-seitigen Handbuch kein Wort über den Datenschutz, Datenschutzbelehrungen, Datenschutzvorfälle und Rechte der Patienten zu ihren Daten zu finden sind. Es stellen sich daher für den Datenschützer und Patienten folgende Fragen:

  • Wie viele solcher Impf-Tabletts sind in Österreich derzeit ausgegeben?
  • Gibt es eine Bestandsübersicht zu den ausgegebenen Tabletts?
  • Sind alle Personen die einen aktiven Fingerprint erfasst haben bekannt?
  • Wie sind die Tabletts nach der DSGVO klassifiziert?
  • Wurden solche Impf-Tablets bereits „verloren“ oder gestohlen?
  • Werden die Personenzugriff (Datenerfasser) mitgeloggt?
  • Gibt es Zugriffsprotokolle?
  • Wie erfolgt die Datenübermittlung an das eImpfregister?
  • Welche Übertragungsprotokolle und Verschlüsselungsverfahren werden verwendet?
  • Haben die externen Dienstleister A1, Drei und Magenta Zugriffe auf Daten?

Automatisierte Datenzugriffe

Für den automatisierten Download der Terminologien, Impfstoffe und die jeweiligen Zuordnungsmatrixen im eImpfpass wird eine Webservice Schnittstelle angeboten. Es gibt dazu einen produktiven öffentlich zugänglichen Terminologie-Server unter https://termpub.gesundheit.gv.at/

Impfkalender nicht einsatzbereit keine Anzeige von Impfempfehlungen

Solange die fachliche Validierung der persönlichen lmpfempfehlungen (lmpfkalender) noch nicht abgeschlossen ist, sind diese in der Anwendersoftware bis auf Weiteres nicht zu berücksichtigen. Für eine inhaltliche Korrektheit wird keine Haftung übernommen. lm ELGA-Portal beziehungsweise bei der Verwendung des Stylesheets zur Anzeige der lmpfdaten, wird die Anzeige der Empfehlungen derzeit unterdrückt.

Wer sind nun die vielen Zugriffsberechtigen Berufsgruppen und Institutionen

Über den öffentlichen Terminologie Server von gesundheit.gv.at können Sie Einsicht in die Auflistungen der Zugriffsberechtigen (Rollen) nehmen die Zugriff haben in das System ELGA und somit auch in das Zwangs- eImpfregister, den eImpfpass und das neue QR-Code System.

Personenrollen – Rollen für Organisationen – Ergänzende Rollen

Hier können sie auf einem öffentlich zugänglichen Terminologieserver die aktuell zugriffsberechtigten Personen- und Organisationenrollen einsehen.

https://termpub.gesundheit.gv.at:443/TermBrowser/gui/main/main.zul?loadType=CodeSystem&loadName=202009&c1=Teil 1: Rollen fuer Personen

Es sollte jedem Österreicher bewusst werden das zukünftig sehr viele Personen, Behörden und Institutionen Zugriff auf höchst persönliche Gesundheitsdaten haben. Viele haben Zugriff im Klartext, manche auf anonymisierte Daten. Auf jeden Fall sind es viele Millionen an Datensätzen. Ein Datenschatz den die Republik bewachen, behüten und schützen muss. Schützen vor Hackerangriffen, Datenmissbrauch aber auch vor Datenhandel und geschäftlichen Entwicklungen.

Screenshot Gesundheitsministerium

Fehlende Digitalisierungsstrategie des Gesundheitswesens im Bund

Gibt es in den Bundesländern eine Digitalisierungsstrategie des Gesundheitswesens allgemein und speziell in Verbindung mit ELGA, dem eImpfregister, eImpfpass und dem neuen staatlichen Covid-Testregister? Denn eine bundesweite Digitalisierungsstrategie gibt es laut einer parlamentarischen Anfragebeantwortung des ehemaligen Gesundheitsminister Anschober derzeit nicht. Bund, Länder und Sozialversicherung haben anscheinend eine Arbeitsgruppe beauftragt um über die jährlichen Arbeitsplanungen hinausgehend mittel- bis längerfristige Planungsgrundlagen für die Digitalisierung des Gesundheitswesens zu erarbeiten. Dabei geht es um:

  • Ausbau der Infrastruktur, insbesondere der Vernetzung der Leistungsanbieter des Gesundheitswesens und der Pflege
  • Optimierung des Betriebs und der Weiterentwicklung bereits im Einsatz befindlicher Anwendungen
  • Erhöhung der Resilienz und des Wirkungsgrades digitaler Systeme im Gesundheitswesen, auch für Krisenfälle
  • Erweiterung des Informationsangebots von ELGA zur Attraktiveren der Nutzung
  • Ausbau von Telegesundheitsdiensten (Telemedizin), Gesundheits-Telemonitoring und sonstigen bundesweiten 
Services für das Gesundheitswesen
  • Sicherstellung der Finanzierung sowie der dafür notwendigen Arbeitsorganisation

Geht es nach dem Gesundheitsministerium sollen die Services wie Contact Tracing, Pre-Travel Clearance und Screening weiter ausgebaut werden, weil sie sich im Zuge der Pandemiebekämpfung bewährt haben. Und schließlich soll für die Sicherheit im digitalen Gesundheitswesen im Bund gemeinsam mit den Ländern ein healtCERT eingerichtet werden.

Grafik: pixabay.com

Es geht um die Gesundheitsdaten von 8,8 Millionen Österreichern

Somit ist einiges zu tun für den neuen Gesundheitsminister. Die Verantwortung liegt eindeutig bei Minister Mückstein und bei der ELGA GmbH. Die Politik hat jedoch über das Parlament auch private Dienstleister wie A1, Drei und Magenta in diesen heiklen Bereich der staatlichen digitalen Gesundheitsdaten vordringen lassen. Deshalb liegt es an der Datenschutzbehörde und am Parlament im Gesundheitsausschuss die Projekte eImpfregister, eImpfpass und ImpfQR-Code besonders genau zu beobachten und zu begleiten. Bei überstürzten Projekten wie dem „Grünen Pass“ die unter politischem Druck der Bundesregierung umgesetzt werden, muss die Handbremse gezogen werden.

Quellen:

https://wiki.hl7.at/index.php?title=ILF:E-Impfpass

http://portal.ehealth.gv.at/anwendungen/ems.html

http://e-health-wiki.ch/index.php/CDA-CH-VACD_(project)

https://wiki.hl7.at/index.php?title=ILF:E-Impfpass_Guide

https://gitlab.com/elga-gmbh/cda-beispielbefunde/-/tree/master/e-Impfpass

https://gitlab.com/elga-gmbh/cda-schema

https://www.elga.gv.at/fileadmin/user_upload/Dokumente_PDF_MP4/CDA/Implementierungsleitfaeden/Leitfaeden_2017_02/HL7_Implementation_Guide_for_CDA_R2_-_Allgem_Implementierungsleitfaden_fuer_ELGA_CDA_Dokumente_V2.06.2.pdf

https://elga.art-decor.org/elgaimpf-html-20210331T111345/tmp-1.2.40.0.34.6.0.11.1.31-2019-07-09T093506.html

https://www.youtube.com/watch?v=uIOVi_H0MlE

https://www.magenta.at/business/loesungen/branchenloesungen/gesundheitswesen#eimpfpass/eimpfpass

https://www.drei.at/de/business/grossunternehmen/loesungen/e-impfpass/

https://healix.at/

Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++


Herbert Unger – freier Journalist bei bkftv.at
herbert.unger@bkftv.at oder 06645344908
Meine Artikel: http://bkftv.at/author/hu/
Schreiben Sie mir zum Thema
Vertrauliche Kommunikation über:
Threema ID hcclnoname: WUU3ZJJV
Signal-Messenger oder persönliche Treffen: Face-to-Face

 

Share Button

Related posts