Digitale Orientierungslosigkeit in Bundesbern
Ausgerechnet im hochsensiblen Gesundheitsbereich ist es zu mehreren gravierenden Datenlecks gekommen. Unter der Führung von Alain Berset hat das Bundesamt für Gesundheit versagt.
Read the English version here.
Der Impfstatus von knapp 1,5 Millionen Bürgerinnen und Bürgern der Schweiz lag offen im Internet. Die erste halbe Million war im Frühling 2021 aufgrund von Sicherheitslücken der Plattform Meineimpfungen.ch geleakt worden. Der Rest folgte Ende 2022, nachdem es bei einem St. Galler Covid-Testcenter zu einer technischen Panne gekommen war. Der dritte grosse Fall eines Datenverlusts, der Anfang 2022 ans Licht gelangte, ist nicht weniger gravierend. Durch einen technischen Fehler konnten Personen ohne ihr Wissen und ihre Zustimmung ins Nationale Organspendenregister von Swisstransplant eingetragen werden. Das Register wurde dadurch wertlos.
Weil unabhängige IT-Security-Spezialisten die Lücken gefunden und gemeldet hatten, konnten diese geschlossen werden, bevor etwas Schlimmes passierte und die Daten kompromittiert worden sind. Zum Glück. Nicht auszudenken, wenn die heiklen Informationen in falsche Hände gelangt wären. Denn sie lagen nicht nur offen im Internet, sondern sie konnten auch manipuliert werden – gespritzte oder nicht gespritzte Impfungen liessen sich löschen beziehungsweise hinzufügen. Und bei Swisstransplant konnte man unverhofft zur Organspenderin oder zum Organspender gemacht werden. Weil nachträglich nicht mehr sichergestellt werden konnte, welche Einträge nun «echt» waren, wurde die Plattform im Oktober 2022 eingestellt, und sämtliche Einträge wurden gelöscht. Somit fehlten und fehlen bis heute zumindest theoretisch 130 000 potentielle Spenderorgane, die dringend gebraucht würden. Die Nachfolgeplattform ist übrigens frühestens 2025 fertig – und es ist noch lange nicht gesagt, dass diese erstens sicher betrieben wird und sich zweitens alle bisherigen Spendewilligen wieder fein säuberlich eintragen werden.
Vertrauen verspielt
Der Bund hat sich ausgerechnet im Gesundheitsbereich – kaum irgendwo sonst geht es um sensiblere Daten – nicht mit Ruhm bekleckert. Und das ist noch völlig untertrieben. Das Bundesamt für Gesundheit (BAG) hat es nicht geschafft, die persönlichsten Daten von Bürgerinnen und Bürgern zu schützen, weil es die Dienstleister zu wenig sorgfältig ausgewählt und deren Arbeit zu wenig kontrolliert hat. Dabei ist es die zentrale Aufgabe des Staates, die Daten, die ihm anvertraut werden, vor Verlust und unbefugtem Zugriff zu schützen. Das ist ihm in allen drei beschriebenen Fällen nicht gelungen.
Schlimmer noch: Das Handeln des Bundes wird vom Parlament geschützt. Die Geschäftsprüfungskommission (GPK) des Nationalrats erteilt dem BAG im Falle von Meineimpfungen.ch gute Noten und befindet, das Bundesamt habe bezüglich der Datensicherheit «angemessen gehandelt». Dem Aspekt des Datenschutzes sei genügend Beachtung zugekommen, urteilen die Politiker. Das ist, mit Verlaub, ein Hohn. Die Stiftung für Konsumentenschutz bezeichnet dieses Urteil in einer Mitteilung vom April 2023 als «erschreckend». Ein solches «Gutheissen von Verantwortungslosigkeit», wenn es um die Sicherheit von persönlichen Daten gehe, sei umso besorgniserregender, weil beim Bund mit dem E-Patientendossier, der elektronischen Identität (E-ID) und E-Voting gleich mehrere äusserst sensible Digitalisierungsprojekte anstünden, sagte die Geschäftsführerin des Konsumentenschutzes, Sara Stalder. Und sie hat damit völlig recht.
Man fragt sich tatsächlich, wie die GPK zu einem solchen Urteil gelangen kann, wenn nachweislich einfachste Datenschutzvorgaben nicht eingehalten worden sind und Hunderttausende von Daten im Netz gelandet sind. Ist es Ignoranz oder gar Absicht? Vermutlich weder noch. Viel wahrscheinlicher ist Desinteresse und fehlende Kompetenz im digitalen Bereich. Viele Parlamentarier können «IT» knapp buchstabieren, schon bald danach hört es aber mit der digitalen Kompetenz auf. Zwar gibt es durchaus Politikerinnen und Politiker wie Jacqueline Badran oder Mauro Tuena, die von Berufes wegen ein entsprechendes Know-how mitbringen; doch sie haben Digitalpolitik überhaupt nicht auf ihrer Agenda. Andere hingegen politisieren zwar in diesem Feld, sind aber von Haus aus in ganz anderen Bereichen tätig. Bundesparlamentarier mit Know-how, die sich um Digitalpolitik kümmern, lassen sich an einer Hand abzählen.
Alles Digitale wird ins Datenschutzgesetz gepackt
Problematisch ist die digitale Ahnungslosigkeit nicht nur beim Thema IT-Security, sondern auch in puncto Gesetzgebung. Dazu zwei Beispiele:
Die Europäische Union und viele ihrer Mitgliedstaaten forcieren ein Gesetz, das unter dem Namen «Chatkontrolle» bekannt ist.1 Vordergründig geht es dem Gesetzgeber um den Kampf gegen Bilder missbrauchter Kinder im Netz. Ein Problem, das angegangen und gelöst werden muss, gar keine Frage. Der vorgespurte Weg jedoch ist der falsche. Sieht man nämlich genau hin, geht es bei der Chatkontrolle um etwas ganz anderes: um das Verbot von verschlüsselter Kommunikation und somit letztlich um die Aufhebung der Privatsphäre der Bürger. Diese müssen auch online das Recht haben, sich in Messenger-Apps wie WhatsApp, Facebook-Messenger oder Threema privat zu unterhalten – so wie sie das in den eigenen vier Wänden oder im Café ums Eck auch tun können. In Bern allerdings ist das Gesetz politisch kein Thema. Weil es kaum Widerstand dagegen gibt, werden auch Schweizerinnen und Schweizer von der EU-Chatkontrolle betroffen sein. Denn ein US-Konzern wird kaum eine separate Schweizer Variante einer App lancieren, wenn sie im restlichen Europa ohne verschlüsselte Kommunikation daherkommt.
Die elektronische ID macht Hoffnung
Ein zweites Beispiel ist die künstliche Intelligenz (KI): Es sind sich alle einig, dass die Chancen und Risiken bei KI gleichermassen gewaltig sind und dass die Technologie das Potenzial hat, zahlreiche Branchen zu verändern. In der Debatte darüber geht es um zwei zusammenhängende Fragen. Bremst zu viel Regulierung die Innovation? Und wie viel Regulierung ist nötig, um Diskriminierung und Missbrauch zu verhindern? Doch egal, auf welche Seite man tendiert, das Problem ist ein anderes. Das Parlament packt nämlich fast alle Gesetzesparagraphen, die eine digitale Komponente haben, ins Datenschutzgesetz (DSG). Obwohl beispielsweise eine durch KI verursachte Diskriminierung überhaupt nichts mit Datenschutz zu tun hat, findet sich im neuen DSG eine Passage zu automatisierten Entscheidungen in der Verwaltung. Behörden sollen KI einsetzen dürfen, müssen aber beispielsweise Bewerber informieren, wenn diese von einem Computer abgelehnt worden sind. Solche Regeln sind sinnvoll, aber dass sie im DSG eingefügt werden, ist mehr als eine rechtssystematische Unschönheit. Das Beispiel steht anekdotisch dafür, dass die Politik im Digitalbereich vieles nicht versteht und nicht richtig angeht.
Diese digitale Orientierungslosigkeit in Bern ist ein Problem, und sie schadet allen Bürgern. Es braucht keinen «Digital-Turbo» beim Bund, der alles digitalisiert, was man digitalisieren kann. Vielmehr braucht es Fachkompetenz und Interesse an Digitalprojekten, so dass diese nicht zwischen Verwaltung und Parlament hin- und hergeschoben, sondern umgesetzt werden. Und zwar muss das Know-how an oberster Stelle, im Bundesrat, vorhanden sein. Es ist in jedem Unternehmen so: Geht nicht die Chefin oder der Chef mit gutem Beispiel voran, folgt irgendwann niemand mehr.
Gar kein Vorbild ist in dieser Beziehung Bundesrat Alain Berset, der auf Ende Jahr zurücktreten wird. Seit seinem Amtsantritt 2011 war er Vorsteher des Eidgenössischen Departements des Innern (EDI) und ist somit verantwortlich für die vielfältigen digitalen Probleme im Bereich E-Health. Mit einem Bundesrat, der digitale Fragen pushen würde, stünde das elektronische Patientendossier nicht so desaströs da, wie es heute der Fall ist. Auch die oben beschriebenen Datenschutzprobleme hätten mit einer besseren Aufsicht durch das im EDI angesiedelte BAG verhindert oder vermindert werden können.
Gibt es doch noch Hoffnung? Tatsächlich. Ein positives Beispiel in der Bundesverwaltung ist die E-ID. Nach dem wuchtigen «Nein» der Stimmbevölkerung im März 2021 wurde das Projekt unter Federführung von Grünen-Nationalrat Gerhard Andrey gepusht und neu aufgegleist – und dies aus technischer Perspektive in jeder Hinsicht vorbildlich. Es gibt eine 100 Prozent staatliche Lösung, bei der die Bürger die Kontrolle über die eigenen Daten behalten. Ausserdem werden Daten nur dann gespeichert, wenn es wirklich nötig ist. Der Programmcode des Projekts ist öffentlich und kann von allen, die das wollen, angeschaut und geprüft werden.
Dieses Projekt muss Schule machen. Und bei den Parlamentswahlen im Herbst und den Gesamterneuerungswahlen des Bundesrats im Dezember hat die Schweiz die Chance, die Digitalkompetenz im Bundeshaus zu stärken. Nutzen wir sie – es ist wichtig für die Zukunft unseres Landes.
Siehe auch Judith Bellaiche: «Auf leisen Sohlen zur Totalüberwachung». In: Schweizer Monat 1105, April 2023, S. 36. ↩