Gestern gab der Rheingau-Taunus-Kreis bekannt, dass ihm am Freitag 500 zusätzliche Impfdosen von Johnson & Johnson zur Verfügung stehen. Um diese außerplanmäßige Lieferung zu verimpfen, soll ein Sonderimpfaktion von 18 bis maximal 1 Uhr nachts stattfinden. Soweit klingt das nach einer gescheiten Aktion.

Hellhörig wurde ich allerdings, als ich las, dass die Registrierung online erfolge. Im Gegensatz zur regulären Impfstoffvergabe über die Impfzentren ist für die Organisation der Sonderimpfaktion allein der Kreis zuständig. Damit lastet ihm auch die Verantwortung auf, ein einfaches und sicheres Anmeldungsverfahren zu etablieren.

Ein Blick in die DSGVO

Diese Aufgabe hat der Kreis an den Logistik-Dienstleister EcoCare delegiert. Dieser wiederum hat ein Formular über den Online-Terminplaner eTermin eingerichtet.

Nach der DSGVO sind „Gesundheitsdaten“ solche, die „sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen“. Dazu dürfte auch die Information zählen, ob man sich impfen lässt. Eigentlich kommt Gesundheitsdaten besonderer Schutz zu (siehe Art. 9 DSGVO). Dies hätte auch EcoCare auffallen müssen.

Doch anstelle einer sauber formulierten und auf den spezifischen Zweck ausgerichteten Datenschutzerklärung, verweist die Seite auf die allgemeine Datenschutzerklärung von ecolog-international.com/de/. Und die hat es in sich!

Einmal alles, bitte

Website-Betreiber*innen müssen seit der Einführung der DSVGO eingebundene Drittanbieter-Dienste ausdrücklich in den Datenschutzerklärung erwähnen. Bei EcoCare scheint man sich gedacht haben: „Nennen wir einfach jeden möglichen Dienst und wir werden niemanden vergessen haben.“

Die Liste der eingebundenen Tracking- und Analytics-Dienste ist unerträglich lang: Google AdSense, Adobe Analytics, etracker, Facebook, Google Remarketing, Google+, Instagram, Jetpack für WordPress, LinkedIn, Shariff, SlideShare, Twitter, Webtrekk, Xing, YouTube.

Besonders amüsant ist die Nennung von Google+. Diese offenbart zweierlei: Erstens dass diese Datenschutzerklärung seit 2019 nicht mehr aktualisiert wurde, denn da wurde die Schnittstelle für Google+ eingestellt. Zweitens dass EcoCare nichts am Schutz sensibler personenbezogener Daten liegt.

Tatsächlich konnte ich im HTML-Code für die Terminbuchungsseite keine Hinweise auf implementierte Tracker finden (nur Hinweise auf ein Nicht-Existentes Cookie-Banner).

Dennoch macht es skeptisch, dass sich der EcoCare selbst einen Passierschein ausstellt, indem er sich einmal alles absegnen lässt.

Bei der Buchung des Termins mussten sich die Nutzer*innen explizit mit der Datenschutzerklärung einverstanden erklären. Könnten die sensiblen Daten nachträglich an Google oder Facebook weitergegeben werden? Wir wissen es nicht.

Der Compliance-Faktor

Das Beispiel zeigt einmal mehr, dass es in der Verwaltung an Know-how und Sensibilität fehlt, was IT-Sicherheit und Datenschutz angeht. Für viel Geld werden dann Aufgaben wegdelegiert, nur damit sie derart schlampig umgesetzt werden.

Derartige Schlampigkeiten tragen sicher nicht dazu bei, dass die Impfwilligkeit in der Bevölkerung steigt. Gestern erklärte das Robert-Koch-Institut, wir brauchen eine Impfquote von 85 Prozent, um mit einer Inzidenz unter 100 durch den Winter zu kommen. Aktuell ist das noch Zukunftsmusik. Längst sind nicht mehr die Impfstofflieferung das Nadelöhr, sondern die Compliance der Bevölkerung. Die sollten wir nicht verspielen.