Name, Wohnort, Handynummer: Solche sensiblen Daten von Menschen, die sich in zwei fränkischen Testzentren für einen PCR-Test angemeldet hatten, waren zeitweise im Internet einsehbar. Man bedaure den Vorfall sehr, teilte der Arbeiter-Samariter-Bund (ASB) Bayern als Betreiber am Freitag mit. "Der ASB hat die Datenlücke umgehend geschlossen und das Schutzniveau erhöht." Zuvor hatte t-online über die Datenpanne berichtet. Betroffen ist das Testzentrum im Kreis Forchheim und das gemeinsame Zentrum der Stadt Erlangen und des Kreises Erlangen-Höchstadt.

Tatsächlicher Datenzugriff unklar

"Hier scheint ganz klar etwas schief gegangen zu sein", sagte Andreas Sachs, Vizepräsident des Bayerischen Landesamtes für Datenschutzaufsicht, der Deutschen Presse-Agentur. "Diese Daten gehören nicht für Unbefugte abrufbar gemacht. Das ist ganz klar." Sachs schränkte aber ein, nach vorläufiger Einschätzung des Amtes sehe man das Datenleck nicht als "schweren Sicherheitsvorfall".

Unklar ist, ob Unbefugte tatsächlich auf die Daten zugegriffen haben. Es werde umfassend geprüft, zum jetzigen Zeitpunkt sei davon nicht auszugehen, teilte der ASB mit. Über eine Suchmaschine war das Dokument t-online zufolge nicht zu finden.

"Falsche Berechtigungseinstellungen" in Google-Dokumenten

Der ASB arbeitet eigenen Angaben zufolge bei der Terminvergabe mit einem externen Callcenter mit Sitz in Berlin zusammen. Die Termine – mitsamt der Personendaten – wurden in Google-Dokumenten gespeichert, also in Dateien, auf die mehrere Nutzer online zugreifen können. Das Problem: Wer den Link zu diesem Dokument hatte, konnte dem t-online-Bericht zufolge ohne weiteres zugreifen und die sensiblen Daten einsehen: Name, Wohnort und Telefonnummer in Forchheim, Nationalität, Geburtsdatum, Anschrift und Mailadresse in Erlangen. Der ASB Bayern sprach mit Blick auf das Forchheimer Zentrum von "falschen Berechtigungseinstellungen" durch einen Callcenter-Mitarbeiter.

Robert Ziegenfelder, Geschäftsführer der ASB-Notfallhilfe Erlangen, stellte die Sache in diesem Punkt anders dar: Für den Zugriff auf die Terminliste des Erlanger Zentrums sei ein Passwort notwendig gewesen.

1600 Menschen betroffen – Testergebnisse waren nicht hinterlegt

Gesundheitsdaten wie etwa Testergebnisse waren in den Dokumenten nicht hinterlegt. "Diese Daten waren nie für Dritte einsehbar", stellte der ASB klar. Laut ASB sind 1600 Menschen betroffen, die PCR-Tests in einem der beiden Zentren vereinbart hatten. Das Datenleck wurde Ziegenfelder zufolge umgehend geschlossen, nachdem man am Donnerstag durch die t-online-Recherche davon erfuhr.

Unklar sei, seit wann die Terminvergabe so geregelt wurde – und damit, wie lange Unbefugte Zugriff auf die Daten hätten haben können. Mit dem externen Dienstleister arbeite man seit Anfang September zusammen, sagte Ziegenfelder. Nach Angaben des Landesamtes für Datenschutzaufsicht wird der Vorfall aufgearbeitet. Dies sei ein Standardvorgang, sagte Sachs.

Nicht der erste Fall

Die Datenpanne in Franken ist der Behörde zufolge nicht der erste Fall von unzureichendem Datenschutz in bayerischen Testzentren. Es habe in einer einstelligen Zahl von Fällen weitere Missstände gegeben, sagte Sachs. Diese seien teils durch Beschwerden, teils durch Recherchen des Amtes aufgefallen. In diesen Fällen sei es aber weniger um online verfügbare Dokumente, sondern um Sicherheitslücken bei der Software zur Terminvergabe gegangen.

Lesen Sie auch Sicherheitslücke in Corona-Testzentrum – keine Daten abgeflossen

Protokolldaten hätten aber gezeigt, dass sich niemand habe Zugriff verschaffen können. "Da hat man Glück gehabt", sagte Sachs. Gleichzeitig stellte er klar: "Es ist kein Massenphänomen." Man müsse nicht befürchten: "Ich habe mich einmal testen lassen und jetzt sind meine Daten weg."

(bme)