Anfrage: Datenschutz bei der Corona-Datenbank

Von: Roland Brunner, VPOD-Sekretär Sektion ZH Kanton

Die Türen bei der kantonalen Corona-Datenbank standen speerangelweit offen. Das ist nicht nur ein Risiko für die Getesteten, sondern auch für die ehemaligen Angestellten der Firma JDMT, denen Vorwürfe gemacht werden könnten, wenn Daten missbraucht werden. Im Kantonsrat wurde deshalb von drei SP-Kantonsrät:innen eine Anfrage eingereicht.

Die Anfrage im Wortlaut:

Wie der Tagesanzeiger am 11. Juli berichtete, kam es bei der Corona-Datenbank „Sormas“ des Kantons Zürich, die von der Firma JDMT im Auftrag des Kantons geführt wird, zu einem massiven Datenleck, welches erst durch die journalistische Recherche entdeckt wurde. Die kantonale Datenbank enthält rund 950’000 Datensätze mit teils höchst privaten und damit besonders schützenswerten Daten: z.B. Namen, Kontaktdaten, Krankengeschichte oder Ansteckungsdatum sind dort von allen Bewohnerinnen und Bewohnern gespeichert, die einmal positiv getestet oder in Quarantäne geschickt wurden. Die Sicherheitslücke kam wohl dadurch zustande, dass ein Grossteil der Mitarbeitenden Ende März 2022 entlassen wurde, sie aber weiterhin uneingeschränkt Zugang zur Datenbank hatten. Ausserdem blieben nichtpersonalisierte Gruppenzugänge mit weitreichenden Administratorinnenrechten aktiv.

Gesundheitsdaten sind besonders sensitiv und schützenswert. Während der Corona-Pandemie wurden u.a. im Zuge des Contact Tracings unüblich viele dieser besonders schützenswerten Daten gesammelt und gespeichert. Die Bevölkerung musste viel «Vorschuss-Vertrauen» aufbringen. Sicherheitslücken wie diese gefährden das Vertrauen der Bevölkerung in den Staat.

Vor diesem Hintergrund bitten die Anfragestellerinnen den Regierungsrat um die Beantwortung der folgenden Fragen:

  1. Wie ist der Prozess, um neue Logins im Sormas-System einzurichten? Wer resp. welche Abteilungen ist/sind involviert und wer führt welche Schritte aus?
  2. Wie ist der Prozess, um nicht mehr gültige Logins im Sormas-System zu löschen? Wer resp. welche Abteilungen ist/sind involviert und wer führt welche Schritte aus?
  3. Welche vertragliche Regelung gab es zwischen dem Amt für Gesundheit und der Firma JMDT im Bezug auf den Datenschutz?
  4. Die Verantwortung für das Sormas-System liege gemäss eigenen Aussagen beim Amt für Gesundheit. Wie wurde die Datenschützerin in den Betrieb des Systems einbezogen?
  5. Wusste das Amt für Gesundheit, dass die Betreiberin JDMT es versäumt hat, Sicherheitsprüfungen vorzunehmen, bevor die Angestellten Zugang zu den besonders schützenswerten Daten (z.T. mit Administratorinnenrechten) erhielten? Wenn Ja: Was hat das Amt dazu unternommen?
  6. Das Sormas-System soll nur noch bis Ende August in Betrieb sein. Was geschieht mit den darin enthaltenen Datensätzen danach und wie wird der Schutz der Daten sichergestellt?
  7. In Zukunft möchte das Amt für Gesundheit die Anbieter verpflichten, die Daten des Contact Tracings in einer eigenen Software zu speichern. Eine weitere Software soll künftig als Schnittstelle zwischen Tracing-Firma und Amt für Gesundheit dienen. Wie will die Regierung den Datenschutz sicherstellen, wenn die besonders schützenswerten Personendaten in Zukunft bei Drittanbietern liegen? Ist die Datenschützerin in diese Abklärungen involviert?

Nicola Yuste
Michèle Dünki-Bättig
Pia Ackermann

Zur Kantonsrats-Anfrage 251/2022