Digitale Orientierungslosigkeit in Bundesbern

Read the English version here.

Der Impfstatus von knapp 1,5 Millionen Bürgerinnen und Bürgern der Schweiz lag offen im Internet. Die erste halbe Million war im Frühling 2021 aufgrund von Sicherheitslücken der Plattform Meineimpfungen.ch geleakt worden. Der Rest folgte Ende 2022, nachdem es bei einem St. Galler Covid-Testcenter zu einer technischen Panne gekommen war. Der dritte grosse Fall eines Datenverlusts, der Anfang 2022 ans Licht gelangte, ist nicht weniger gravierend. Durch einen technischen Fehler konnten Personen ohne ihr Wissen und ihre Zustimmung ins Nationale Organspendenregister von Swisstransplant eingetragen werden. Das Register wurde dadurch wertlos.

Weil unabhängige IT-Security-Spezialisten die Lücken gefunden und gemeldet hatten, konnten diese geschlossen werden, bevor etwas Schlimmes passierte und die Daten kompromittiert worden sind. Zum Glück. Nicht auszudenken, wenn die heiklen Informationen in falsche Hände gelangt wären. Denn sie lagen nicht nur offen im Internet, sondern sie konnten auch manipuliert werden – gespritzte oder nicht gespritzte Impfungen liessen sich löschen beziehungsweise hinzufügen. Und bei Swisstransplant konnte man unverhofft zur Organspenderin oder zum Organspender gemacht werden. Weil nachträglich nicht mehr sichergestellt werden konnte, welche Einträge nun «echt» waren, wurde die Plattform im Oktober 2022 eingestellt, und sämtliche Einträge wurden gelöscht. Somit fehlten und fehlen bis heute zumindest theoretisch 130 000 potentielle Spenderorgane, die dringend gebraucht würden. Die Nachfolgeplattform ist übrigens frühestens 2025 fertig – und es ist noch lange nicht gesagt, dass diese erstens sicher betrieben wird und sich zweitens alle bisherigen Spendewilligen wieder fein säuberlich eintragen werden.

Vertrauen verspielt

Der Bund hat sich ausgerechnet im Gesundheitsbereich – kaum irgendwo sonst geht es um sensiblere Daten – nicht mit Ruhm bekleckert. Und das ist noch völlig untertrieben. Das Bundesamt für Gesundheit (BAG) hat es nicht geschafft, die persönlichsten Daten von Bürgerinnen und Bürgern zu schützen, weil es die Dienstleister zu wenig sorgfältig ausgewählt und deren Arbeit zu wenig kontrolliert hat. Dabei ist es die zentrale Aufgabe des Staates, die Daten, die ihm anvertraut werden, vor Verlust und unbefugtem Zugriff zu schützen. Das ist ihm in allen drei beschriebenen Fällen nicht gelungen.

Schlimmer noch: Das Handeln des Bundes wird vom Parlament geschützt. Die Geschäftsprüfungskommission (GPK) des Nationalrats erteilt dem BAG im Falle von Meineimpfungen.ch gute Noten und befindet, das Bundesamt habe bezüglich der Datensicherheit «angemessen gehandelt». Dem Aspekt des Datenschutzes sei genügend Beachtung zugekommen, urteilen die Politiker. Das ist, mit Verlaub, ein Hohn. Die Stiftung für Konsumentenschutz bezeichnet dieses Urteil in einer Mitteilung vom April 2023 als «erschreckend». Ein solches «Gutheissen von Verantwortungslosigkeit», wenn es um die Sicherheit von persönlichen Daten gehe, sei umso besorgniserregender, weil beim Bund mit dem E-Patientendossier, der elektronischen Identität (E-ID) und E-Voting gleich mehrere äusserst sensible Digitalisierungsprojekte anstünden, sagte die Geschäftsführerin des Konsumentenschutzes, Sara Stalder. Und sie hat damit völlig recht.

Man fragt sich tatsächlich, wie die GPK zu einem solchen Urteil gelangen kann, wenn nachweislich einfachste Datenschutzvorgaben nicht eingehalten worden sind und Hunderttausende von Daten im Netz gelandet sind. Ist es Ignoranz oder gar Absicht? Vermutlich weder noch. Viel wahrscheinlicher ist Desinteresse und fehlende Kompetenz im digitalen Bereich. Viele Parlamentarier können «IT» knapp buchstabieren, schon bald danach hört es aber mit der digitalen Kompetenz auf. Zwar gibt es durchaus Politikerinnen und Politiker wie Jacqueline Badran oder Mauro Tuena, die von Berufes wegen ein entsprechendes Know-how mitbringen; doch sie haben Digitalpolitik überhaupt nicht auf ihrer Agenda. Andere hingegen politisieren zwar in diesem Feld, sind aber von Haus aus in ganz anderen Bereichen tätig. Bundesparlamentarier mit Know-how, die sich um Digitalpolitik kümmern, lassen sich an einer Hand abzählen.

Alles Digitale wird ins Datenschutzgesetz gepackt

Problematisch ist die digitale Ahnungslosigkeit nicht nur beim Thema IT-Security, sondern auch in puncto Gesetzgebung. Dazu…