Datenleck bei Corona-Schnelltests – So hilft Ihnen WBS

Wir raten schon längere Zeit dazu, sich genau anzusehen, bei wem man sich testen lässt, schließlich geht es um hochsensible Gesundheitsdaten. Dass Zweifel durchaus berechtigt sind, zeigt nun eine Gruppe von technikaffinen Forschern („zerforschung“) in Zusammenarbeit mit dem Chaos Computer Club (CCC). So veröffentlichte „zerforschung“ auf ihrer Homepage diverse Sicherheitslücken des Online-Portals „test-to-go.berlin“, über das Bürger nach einer kostenlosen Registrierung Testzentren finden und Termine für Schnelltests buchen können.

So ließen sich für einige Zeit nicht nur Testzertifikate innerhalb weniger Sekunden für jedermann fälschen. Vielmehr waren offenbar diverse hinterlegte höchstpersönliche Daten wie Name, Adresse, E-Mail-Adresse und auch die Daten der Probenentnahme schnell für jedermann abrufbar. Betroffene können Schadensersatzansprüche gegen das Unternehmen haben. WIr stehen Ihnen hierbei jederzeit beratend gerne zur Seite. Melden Sie sich einfach unter info@wbs.legal bei uns oder wenden Sie sich unter 0221 / 951 563 0 (Beratung bundesweit) an uns.

Sicherheitslücke bei Corona-Schnelltest-Daten

Wie viele andere Bürger, die für alltägliche Dinge einen negativen Corona Schnelltest brauchen, buchten auch Forscher der Gruppe „zerforschung“ einen Termin für einen solchen Test. Dabei mussten sie eine ganze Reihe an hochsensiblen Daten angeben, die in der WebApp abgefragt wurden.

Nachdem die Prozedur des Nasenabstriches überstanden war, erhielten die Betroffenen einen Link zum Testergebnis. Die Forscher schauten wie sonst auch kurz auf den Datenverkehr. Dabei entdeckten sie riesige Sicherheitslücken in der von vielen Testzentren benutzen Software von Medicus AI, einem österreichischen Unternehmen. Diese Software nutzte auch die vom Team „zerforschung“ besuchte Einrichtung der Firma 21DX in Berlin.

Die Recherche ergab, dass insgesamt auf die Daten von bis zu 136.000 Tests zurückgegriffen werden konnte. Diese Zahl umfasst wohl nicht nur die Testzentren in Berlin. Dort sind die Zentren der Firma 21DX allerdings maßgeblich an der Schnelltestung beteiligt. 21DX betreibt jedoch auch Firmen an anderen Standorten und theoretisch können alle Einrichtungen dieser Firma betroffen sein.

Darüber hinaus können alle Testzentren, die die Software der Firma Medicus AI nutzen, einer Sicherheitslücke ausgesetzt sein. In Angaben der Firmen selbst wird die Datenpanne heruntergespielt.

Für den Zugriff auf die sensiblen Daten reichten schon eine funktionierende E-Mail-Adresse und ein gewöhnlicher Internetbrowser aus. Lediglich durch die Veränderung von Zahlen im Parameter in dem heruntergeladenen Testergebnis, das in Datenform eines JSON (JavaScript Object Notation) geliefert wird, konnte man auf fremde Testergebnisse zugreifen- und die dazugehörigen Daten wie Namen und Adresse sogar nach Belieben ändern.

Gesundheitsdaten genießen laut der Datenschutz-Grundverordnung (DSGVO) einen besonderen Schutz. Der Missbrauch dieser Daten kann zu Schadensersatzansprüchen bei den Betroffenen führen.

Weitere Standorte betroffen

Das Testzentrum in Berlin ist leider kein Einzelfall. Weitere Recherchen ergaben, dass auch Testzentren der Firma Eventus Media International, die in Deutschland insgesamt 9 Einrichtungen betreibt, große Sicherheitslücken aufweisen. Betroffen sind Kunden in Hamburg, Berlin, Leipzig und Schwerte.

Die sensiblen Daten von Getesteten im Zeitraum von Ende März bis Anfang April waren problemlos im Netz abrufbar. Auf der Anmeldewebseite testcenter-corona.de war eine Sicherheitslücke für die Datenpanne verantwortlich.

Der Datenaustausch mit anderen Systemen wurde durch eine Softwareschnittschnelle ermöglicht, die normalerweise durch Passwörter geschützt nur für die Betreiber von Webseiten aufrufbar sind.

Bei jeder Registrierung auf der Webseite erhält der Getestete einen Code, mit dem das Ergebnis abgerufen werden kann. Diese Codes waren für mindestens 17.000 Registrierungen ohne Zugangsbeschränkung im Netz aufrufbar und damit zusätzlich die Ergebnisse von mindestens 7000 Tests.

Die Testzentren mussten in kürzester Zeit hochgezogen werden, um die Teststrategie der Bundesregierung umzusetzen. Das Erfordernis der schnellstmöglichen Umsetzung darf jedoch nicht zulasten der Datensicherheit gehen.

So hilft Ihnen WBS!

Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft verlangen, ob sie vom Datenleck betroffen sind. Erteilt das Unternehmen keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen auch weitere Ansprüche im Zusammenhang mit dem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.

Unser erfahrenes Team aus Rechtsanwälten im Datenschutzrecht um Rechtsanwalt und Partner Christian Solmecke berät Sie gerne jederzeit zu Ihren Ansprüchen und Handlungsmöglichkeiten. Zögern Sie nicht, uns zu kontaktieren und nutzen Sie unser Angebot einer kostenfreien Ersteinschätzung durch einen unserer Experten. Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) (Beratung bundesweit) an.

lrö