So gut wie alle Tirolerinnen und Tiroler, die zwischen Jänner und Juni 2021 positiv auf das Coronavirus getestet wurden, finden sich in einer einfachen Excel-Tabelle wieder. Von Name, Adresse und Geburtsdatum bis zum positiven Testergebnis und dem Testdatum: Insgesamt umfasst die Datei mehr als 24.000 Testergebnisse und die dazugehörigen Patienteninformationen – also hochsensible Daten, die eigentlich besonders gut geschützt sein sollten, sagte Datenschutzexperte Thomas Lohninger von epicenter.works.
Datensatz Franz Hörl
Nummer: 21.611
Ergebnis: positiv
Adresse: ████████
Ct-Wert: 33,05
Wenn solche Daten in Umlauf geraten, könne das schwerwiegende Folgen für die Betroffenen haben. Eine Infektion könnte auch eine „Long Covid“-Erkrankung nach sich ziehen. Listen mit positiven Testergebnissen könnten also potenzielle künftige Arbeitgeber abschrecken, aber auch zur Ablehnung bei privaten Krankenkassen führen, meinte Lohninger.
Datenleck per Mail verursacht
Herwig, der ehemalige Geschäftsführer der in Kritik geratenen HG Lab Truck, soll die Excel-Tabelle selbst in Umlauf gebracht haben. Er dürfte die Daten per Mail an eine firmenexterne Person verschickt haben. Für Datenschutzexperte Lohninger eine „erschreckende Sorglosigkeit“. Herwig selbst stritt das Versenden der Mail auf Anfrage nicht ab. Er habe die Mail am 10. August zum Zweck eines „Back-up“ verschickt. Sie sei sehr wohl verschlüsselt gewesen, sagte er in einer zweiten, späteren Stellungnahme.
Weitere Überprüfungen hätten gezeigt, dass es einen „Hackerangriff“ auf sein Mailpostfach gegeben habe. Dazu würden jetzt „IT-forensische Untersuchungen“ durchgeführt. Nach eigenen Angaben will Herwig nach Abschluss auch die Behörden informieren. Laut Firmenbuch ist Herwig seit Juni 2021 nicht mehr Geschäftsführer der HG Lab Truck, eine Funktion, die er nach heftiger Medienkritik zurücklegte. Warum er immer noch Zugriff auf diese Gesundheitsdaten hat, beantwortete Herwig nicht.
Land verurteilt Weitergabe „aufs Schärfste“
Das Land Tirol erklärte, man habe erst durch die Medienanfrage von dem Datenleck erfahren. Die Daten würden nicht von den Servern oder Dateisystemen des Landes stammen, das sei in der Zwischenzeit überprüft worden, so Gesundheitsdirektor Thomas Pollak. Alle Vertragspartner des Landes, also auch die HG Lab Truck, seien vertraglich dazu verpflichtet worden, die personenbezogenen und sensiblen Daten zu schützen. Von einer Weitergabe an Dritte wisse man beim Land nichts, man behalte sich aber rechtliche Schritte vor und verurteile so ein Vorgehen „aufs Schärfste“, sagte Pollak.
Ganz aus der Verantwortung zu nehmen sei das Land aber nicht, meinte Datenschutzexperte Lohninger: „So einfach kann man sich nicht abputzen.“ Wo mit Steuergeld Angebote für solche Tests geschaffen werden, trage die öffentliche Hand auch die Verantwortung, dass sauber gearbeitet werde, nicht nur im Hinblick auf die medizinische Seite der Tests, sondern eben auch auf die datenschutzrechtliche Seite. Auch in Tirol gelte die Datenschutzgrundverordnung (DSGVO) der EU, so Lohninger.
Auch Politiker auf Liste zu finden
In der Tabelle mit positiv Getesteten finden sich einige bekannte Personen und Politikerinnen und Politiker.
Datensatz Andrea Haselwanter-Schneider
Nummer: 19.152
Ergebnis: positiv
Adresse: ████████
Ct-Wert: 20,78
Unter ihnen ist auch Andrea Haselwanter-Schneider, die Obfrau der Liste Fritz. Für sie ist das Datenleck ein „handfester Skandal“. Mit Gesundheitsdaten müsse sorgfältig umgegangen werden. Nachdem die Tests unter dem Motto „Tirol testet“ stattfinden, hätten sich die Tirolerinnen und Tiroler darauf verlassen. Dieses Vertrauen sei jetzt erschüttert, so Haselwanter-Schneider.
Auch der Nationalratsabgeordnete Franz Hörl (ÖVP) taucht in der Liste auf. Das sei für ihn kein Problem, er habe keine Geheimnisse, so Hörl. Der Sinn und Zweck von Datenschutz sei aber, genau solche Daten zu schützen. Er könne verstehen, dass das Datenleck für Aufruhr sorgt. Für Gerald Depaoli (Gerechtes Innsbruck), ebenfalls Betroffener des Datenlecks, ist es „rätselhaft, wie so etwas im Jahr 2021 noch möglich“ ist, nachdem so viel von Datenschutz und Amtsgeheimnissen gesprochen werde. Rechtliche Schritte seien hier dringend anzudenken, so Depaoli.
Prüfung durch Datenschutzbehörde
Das Rechercheteam meldete das Datenleck vorab auch an die Datenschutzbehörde. Sie wird eine Prüfung des Falles wegen eines möglichen Verstoßes gegen die Datenschutzgrundverordnung einleiten, sagte der stellvertretende Leiter Matthias Schmidl. Betroffene, also so gut wie alle Tirolerinnen und Tiroler, die zwischen Jänner und Juni 2021 positiv auf das Coronavirus getestet wurden, können kostenlos Beschwerde bei der Datenschutzbehörde einlegen.
Opposition zeigt sich empört
„Unglaublich“, so kommentierte der Tiroler FPÖ-Landesparteiobmann Markus Abwerzger das Datenleck und sprach von einem "Politskandal ersten Ranges“ für die schwarz-grüne Landesregierung, der er eine Mitschuld zuschreibt. Obwohl die Testvergabe an die Firma HG Lab Truck noch in der Amtszeit des ehemaligen ÖVP-Gesundheitslandesrates Bernhard Tilg gefallen sei, solle seine Nachfolgerin Annette Leja die Verantwortung dafür übernehmen, forderte Abwerzger.
NEOS-Tirol-Landessprecher Dominik Oberhofer forderte am Mittwoch lückenlose und rasche Aufklärung und sprach davon, dass irgendwo „gehörig geschlampt worden“ sei. Oberhofer sah sich erneut darin bestärkt, dass die Auftragsvergabe an HG Lab Truck ein Fehler gewesen sei, und kritisierte das Schweigen von ÖVP-Landeshauptmann Günther Platter in der Causa. Digitalisierungsministerin Margarethe Schramböck (ÖVP) müsse für eine kompromisslose Einhaltung der Datenschutz-Grundverordnung sorgen, so NEOS.