Am Dienstag machte das Onlinemagazin «Republik» gravierende Sicherheitsmängel bei der Plattform meineimpfungen.ch publik. Auf der von einer Stiftung betriebenen und vom Bundesamt für Gesundheit mit jährlich 250 000 Franken unterstützten Plattform können NutzerInnen ihre Impfungen eintragen, sie haben damit immer und überall Zugriff auf ihre persönlichen Daten.

Dies gilt, wie nun bekannt wurde, auch für auf der Seite angemeldete medizinische Fachpersonen. Sie hatten umfassenden Zugriff auf die gespeicherten Daten und konnten diese sogar manipulieren. Weil darüber hinaus die Identitätsprüfung bei der Anmeldung als Fachperson mangelhaft war, konnte theoretisch jedeR Einsicht in die Impfdaten der Bevölkerung erlangen. Darüber hinaus liess sich einsehen, wer bisher gegen Covid-19 geimpft wurde.

Mittlerweile hat der Eidgenössische Datenschutzbeauftragte ein Aufsichtsverfahren eingeleitet. Die Plattform wurde am Montag vom Netz genommen. Gemäss einer Mitteilung auf der Website wurden die groben Sicherheitsmängel bereits «mehrheitlich behoben». Die Sicherheit habe «oberste Priorität» und hätte bloss mit «betrügerischen Absichten» und «gewissen Tricks» untergraben werden können. Ein Witz angesichts des skandalösen Datenlecks.

Das Debakel zeigt anschaulich die Probleme der Schweizer Digitalisierung: So übernimmt der Bund hier viel zu wenig Verantwortung, regelmässig wird die Aufgabe stattdessen an Private ausgelagert. Dass dabei keine digitalen Kompetenzen beim Bund entstehen können, ist offenkundig. Das klare Nein gegen die privatisierte E-ID zeigt aber: Die Bevölkerung hat darauf keine Lust mehr. Die Digitalisierung staatlicher Aufgaben darf nicht dem Markt überlassen werden.

Eine weitere Lektion: Zentrale Sammlungen von persönlichen und sensiblen Daten bleiben hochproblematisch. Insbesondere wenn diese so hanebüchen geschützt werden wie bei meineimpfungen.ch. Die Lösung darf also keineswegs ein zentralisierter Datenspeicher sein, hier sind andere Antworten zu finden. Der Bund muss nun endlich die Zügel in die Hand nehmen und Vertrauen durch die Übernahme von Verantwortung und echten Datenschutz schaffen.