Das hat der Datenschutzbeauftragte festgestellt. Weil die Verantwortlichen angemessen reagiert haben, wird das Verfahren abgeschlossen. Eine Privatperson hatte den Eidgenössischen Datenschutzbeauftragten (Edöb) und das Nationale Zentrum für Cybersicherheit (NCSC) informiert, dass es bei der Datenbank an der Zugriffskontrolle mangele, wie es in einer Mitteilung vom Freitag hiess. Diese Meldung im November 2022 löste die Abklärungen aus.
Die gespeicherten Gesundheitsdaten stammten von privaten Covid-19-Testzentren mit mehreren Standorten. Die Privatperson, die den Vorfall gemeldet hatte, hatte sich auf Grund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der vorhandenen Daten heruntergeladen.
Noch am selben Tag wurde die Datenbank vom Server genommen. Die verantwortliche Person habe nachweisen können, dass kein weiterer unbefugter Zugriff stattgefunden hatte, schrieb der Edöb.
(sda/rul)