Groß ist gerade die Aufregung wegen zehntausender positiver Covid-Befunddatensätze, die angeblich per E-Mail versendet worden sein sollen. Wie kann so etwas eigentlich geschehen? Vielleicht, weil dadurch ein systemisches Problem jenseits des Einzelfalls (zu dem ich nichts sagen kann) deutlich wird.
Im März 2020, als der erste Lockdown noch jung und das Klopapier knapp war, kam es bekanntlich zu erheblichen Aktivitäten des Gesetzgebers, die darauf abzielten, die Ausnahmesituation zu bewältigen. Unter anderem wurde das 2. Covid-19-Gesetz verabschiedet, nach einem Initiativantrag von Abgeordneten der Regierungsfraktionen. Das aber in großer Eile, ohne Begutachtung, ohne öffentliche Debatte, so gut wie ohne Materialien, nach äußerst knapper Debatte im Budgetausschuss (!), sodass man über Motive und Probleme oft nur mutmaßen kann.
In diesem Artikelgesetz wurden zahlreiche bereits bestehende Gesetze geändert, unter anderem das Gesundheitstelematikgesetz, das in Österreich das Themenfeld "E-Health" reguliert und bei dem man, mal wieder, schon am Titel erkennen kann, welchen Geist es atmet.
Fax oder Mail
Durch das 2. Covid-19-Gesetz wurden § 27 Gesundheitstelematikgesetz zwei weitere Absätze hinzugefügt, die da lauten (Hervorhebungen von mir):
"(12a) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf gemäß Abs. 16 per Fax (Abs. 12) auch unter der Voraussetzung des Abs. 10 Z 4 erfolgen.
(12b) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf gemäß Abs. 16 unter den Voraussetzungen des Abs. 10 ungeachtet des § 6 auch per E-Mail erfolgen. Abs. 12 gilt sinngemäß."
In Absatz 10, auf den verwiesen wird, wird - grob gesprochen - normiert, was zu geschehen hat, wenn "Nachweis oder Prüfung von Identität, Rollen oder Integrität[...] insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar" sind. Mit einem Wort: Gab es keine ordentliche "Telematikinfrastruktur", dann war die Übermittlung von Covid-Daten (Absatz 16) per E-Mail oder Fax (!) zulässig. Im Jahr 2020, Jahrzehnte nach dem Beginn der Diskussionen um E-Government, E-Health und Digitalisierung.
Wie viele sich erinnern werden, war die Übermittlung von (positiven) Befund- oder Verdachtsdaten per E-Mail auch umfangreich gelebte tatsächliche Praxis. In einem noch heute abrufbaren Schreiben der Bildungsdirektion Wien an Schulleiterinnen und Schulleiter wird zum Beispiel die Frage, was bei einem Verdachtsbefund zu geschehen hat, wie folgt geantwortet: "Die Schulleitung informiert: die Gesundheitsbehörde durch eine E-Mail an den Verbindungsoffizier der Wiener Rettung (MA70): vo@ma70.wien.gv.at unter Angabe folgender Daten: Vorname, Familienname, Geburtsdatum, SVN [Sozialversicherungsnummer!], Wohnadresse, Kontaktdaten der Obsorgeberechtigten, Schulstandort, Ansprechperson am Standort mit Kontaktdaten."
Wenig später, im April 2020 schuf das 3. Covid-19-Gesetz eine Rechtsgrundlage für die Übermittlung von Covid-Verdachtsfällen an die Bürgermeister hinsichtlich Personen, die in ihrer Gemeinde wohnhaft waren, mit dem Argument, diese wüssten am besten Bescheid und könnten am besten helfen. Dem Bürgermeister wurde aufgetragen, "geeignete Datensicherheitsmaßnahmen" zu ergreifen.
In - ebenfalls noch heute abrufbaren - Anweisungen des Amts der Oberösterreichischen Landesregierung wird der tatsächliche Vorgang dieser Datenübermittlung dann wie folgt beschrieben: "In den Fällen, in denen die Bürgermeister [...] informiert werden, hat dies schriftlich (mit e-Mail von der offiziellen Mailadresse der Bezirksverwaltungsbehörde an eine ausschließlich zu diesem Zweck im Verantwortungsbereich der jeweiligen Bürgermeisterin bzw. des jeweiligen Bürgermeisters eingerichtete und ausschließlich von der/vom Bgm selbst abrufbare E-Mail-Adresse in verschlüsselter Form) zu erfolgen." Ich will gar nicht weiter fragen, wie diese Verschlüsselungsmaßnahmen in Kleingemeinden ausgesehen haben mögen.
Rechtskonforme Sicherheitslücken
Was wir festhalten können: In zahlreichen Fällen muss es zu - rechtskonformen - Übermittlungen von Covid-Befunddaten per E-Mail - und damit gleichsam per Postkarte - gekommen sein. Mit all den Fehlerquellen, Informationssicherheitsrisiken und Dokumentationsproblemen. Das wäre an sich schon ein Vorgang, angesichts dessen man über den Digitalisierungsstandort Österreich nachdenken müsste.
Es kommt jedoch hinzu: § 27 Abs. 12a und Abs. 12b Gesundheitstelematikgesetz sind weiterhin, seit 18 Monaten, unverändert in Kraft. Es handelt sich um Untote, um Wiedergänger der Informationssicherheit. Weiterhin können daher, unter bestimmten Voraussetzungen, in Österreich Covid-Befunddaten gesetzeskonform per E-Mail oder Fax versendet werden. Vielleicht besteht jetzt - endlich - Anlass, diese Sache etwas grundsätzlicher zu diskutieren. (Nikolaus Forgó, 6.9.2021)
Weitere Beiträge des Blogger