Datenschutzverletzungen der Stadt Magdeburg durch das Terminbuchungssystem für Corona-Schutzimpfungen
Sehr geehrte Damen und Herren,
mit meiner Beschwerde vom 23.03.2022 bzgl. der Abforderung sensibler personenbezogener Daten per Mail seitens der Stadt Magdeburg (https://fragdenstaat.de/anfrage/datenschutzbeschwerde-gegen-die-stadt-magdeburg-abforderung-sensibler-personenbezogener-daten-per-mail/) teilten Sie mir am 30.03.2022 bezugnehmend auf meine Aussage über Falschparkeranzeigen mit, dass für diese Versendung „..Transportverschlüsselung wird [...] im Regelfall nicht ausreichen
können.“ Außerdem verwiesen Sie auf die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. Mai 2021
Dadurch bestätigen Sie in meinen Augen das, was ich schon lange annahm, wozu ich aber schwieg, um nicht die Impfmaßnahmen der Stadt und des Landes zu unterminieren.
Nun möchte ich aber, da die Tätigkeit eingestellt wurde, Datenschutzbeschwerde in tausenden Fällen einreichen.
Derzeit warte ich noch auf die Datenschutzfolgenabschätzung, die ich bereits beim Gesundheitsamt abgefordert habe (https://fragdenstaat.de/anfrage/datenschutzfolgenabschatzung-terminbuchungssystem-coronaschutzimpfung/), aber möchte nun auf Grund Ihrer Mailaussage bereits jetzt Beschwerde einreichen. Die Stadt als verantwortliche Stelle etablierte Impfzentren und ein digitales Anmeldesystem in Form des Terminbuchungskalenders unter https://impfzentrum.termin-direkt.de/ in Zusammenarbeit mit einem Unternehmen in Ungarn.
Mir fiel allerdings schon vor Monaten auf, dass die Terminbuchungsbestätigungen, welche per Mail versandt wurden, nicht verschlüsselt waren.
Ihren Ausführungen ist zu entnehmen, dass die KFZ-Kennzeichen als pseudonyme Daten bereits ein so hohes schutzwürdiges Gut sind, dass wohl die Ende-zu-Ende-Verschlüsselung anzusetzen wäre. Wie kann es also sein, dass alle Terminbuchenden eine unverschlüsselte Mail mit ihrem Termin erhalten? Schlimmer noch, in dieser Rückmail sind Name, Anschrift, Geburtsdatum und Art der Impfung enthalten.
Es handelt sich dabei somit um besonders sensible Gesundheitsdaten, die wohl nur mittels Ende-zu-Ende-Verschlüsselung hätten versendet werden dürfen. Der Anbieter und somit auch die Stadt als Verantwortliche Stelle ist somit Ihrer Pflicht der Prüfung ihres Datenverarbeiters nicht nachgekommen und hat somit Datenschutzverstöße in tausenden Fällen begangen.
Gern zitiere ich auch noch einmal aus dem von Ihnen erwähnten Dokument: „4.2.2. Versand von E-Mail-Nachrichten bei hohem Risiko: Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.“
Des Weiteren ist es sehr eigenartig, dass eine Seite, die für solch sensible Datenerfassungen verantwortlich ist, in ihrer Datenschutzerklärung auf die Nutzung von Google Analytics hinweist, ohne dass man die Möglichkeit hätte, dieses Tracking zu deaktivieren. Somit gelangte Google indirekt zu Daten, wer sich gern impfen lassen wollte oder eine entsprechende Buchung durchführte.
Zur Datenspeicherung seitens des Anbieters ist zu lesen „Zeitraum der Datenspeicherung: Die Daten werden in der Datenbasis des Terminbuchungssystems höchstens 3 Jahre lang ab dem letzten gebuchten Termin des Kunden des Benutzers aufbewahrt.“
In Art. 25 Abs. 2 DSGVO heißt es „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.[..]“
Eine Speicherdauer von bis zu 3 Jahren erschließt sich mir nicht. Insgesamt bekommt man das Gefühl, dass die gesamte Datenschutzerklärung nicht dem Zweck eines Impfsystem mit Gesundheitsdaten entspricht und hier einfach eine möglichst billige Lösung seitens der Stadt eingekauft wurde, die nicht auf ihre Datenschutzkonformität geprüft wurde.
Ich gehe davon aus, dass resultierend aus Ihrer weiteren Analyse und des Vorliegens einer Datenschutzverletzung, sämtliche Betroffenen somit einen immateriellen Schaden gegen das Gesundheitsamt bzw. die Stadt Magdeburg geltend machen können.
Wenn die Stadt von ihren Bürgern datenschutzkonformes Verhalten fordert, möge sie sich doch bitte zuerst einmal an die eigene Nase fassen.
MfG
Beatrice << Antragsteller:in >>
Anfrage eingeschlafen
-
Datum7. April 2022
-
10. Mai 2022
-
2 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!