Salzburg – "Hiermit informieren wir Sie gem. Artikel 34 Datenschutzgrundverordnung über eine potenzielle Verletzung der Vertraulichkeit Ihrer personenbezogenen Daten im Zuge der Anmeldung zur Covid-19-Testplattform salzburg-testet.at": So beginnt die E-Mail, die das Rote Kreuz Salzburg am Donnerstag an mögliche Betroffene eines Datenlecks auf der Plattform verschickte. Es sei zu 5.000 rechtswidrigen Downloads der Daten von testwilligen Personen gekommen, heißt es in dem Informationsschreiben der Datenschutzbeauftragten, das dem STANDARD vorliegt.

Betroffen dürften jene Personen sein, die sich am ersten Tag der Online-Anmeldung auf der Plattform angemeldet haben. Zu dem Zeitpunkt seien insgesamt 2.401 Testpersonen auf der Plattform gewesen, sagt die Sprecherin des Roten Kreuzes, Roberta Thanner, auf Anfrage. Von wem diese Daten unrechtmäßig heruntergeladen wurden, sei nicht nachvollziehbar. Die Person habe die Daten jedenfalls mit einer speziellen Software von der Seite bezogen, betont Thanner. Für die normalen Nutzer seien die Daten nicht sichtbar gewesen.

Sicherheitskonzept erhöht

"Das Land Salzburg als Auftraggeber sowie das Österreichische Rote Kreuz, Landesverband Salzburg, bedauern diesen Vorfall zutiefst", heißt es in der E-Mail. Nach Bekanntwerden des Datenlecks am 15. Jänner gegen elf Uhr sei der Fehler sofort durch ein Update behoben worden. Inzwischen sei ein solcher unerlaubter Download nicht mehr möglich. Das Sicherheitskonzept sei erhöht worden, versichert Thanner. Der Vorfall sei von den Datenschutzbeauftragten umfangreich geprüft worden, weshalb die Betroffenen und die Öffentlichkeit erst jetzt informiert wurden.

Für die Testanmeldung müssen folgende Daten eingegeben werden: Name, Sozialversicherungsnummer, Geburtsdatum, Telefonnummer und E-Mail-Adresse. Diese stehen dann auf einem Laufzettel, der ausgedruckt zum Antigen-Schnelltest mitzunehmen ist. Jeder Testanmelder kann diesen Zettel herunterladen. Dabei sei aufsteigend eine Barcode-ID vergeben worden, schildert Thanner das Vorgehen. Das habe die rechtswidrig eingesetzte Software erkannt und konnte so die Barcodes verändern und an die Daten gelangen, erklärte die Sprecherin des Roten Kreuzes.

Laut Rotem Kreuz bestehe für Betroffene das Risiko, dass diese personenbezogenen Daten von unberechtigten Dritten veröffentlicht werden könnten, samt eines Verlusts der Kontrolle und Vertraulichkeit. Der Vorfall wurde unverzüglich der Datenschutzbehörde gemeldet. (Stefanie Ruep, 28.01.2021)