Viele Menschen haben sich in den letzten Wochen in einem der vielen Zentren auf Corona testen lassen. Aktuell sind Testtermine durch Lockerungen kaum noch gefragt, aber spätestens mit einer weiteren Corona-Welle wird das Thema wieder aktuell. Die Stadtverwaltung Villingen-Schwenningen will ihr Angebot mit zwei eigenen Testzentren daher erhalten, wenn auch in reduziertem Umfang.
Wie viele Gemeinden und Anbieter in der Region auch setzt die Doppelstadt bei der Terminbuchung für die Bürgertests auf einen externen Dienstleister. Einige solcher Anbieter sorgten zu Beginn der Testoffensive mit Datenpannen für Aufsehen. Mit einfachen Mitteln war es möglich, persönliche Daten von Testpersonen abzurufen. Sogar Testergebnisse waren über das Internet einsehbar. Bei einem Anbieter konnte man sogar Namens- und Adressänderung vornehmen, um so negative Test-Befunde mit beliebigen Namen und beliebigen Adressen zu erstellen. Datenschutz sieht anders aus.
So funktioniert die Technik
Möchte man einen Schnelltest buchen, kann man über ein Internetformular seine persönlichen Daten eingeben, einen Wunschtermin auswählen und nötige Einwilligungen vergeben, etwa um das Testergebnis digital übermittelt zu bekommen oder diese automatisiert an die Corona-Warn-App zu übertragen. Im Fall von Villingen-Schwenningen funktioniert das alles komfortabel auf der städtischen Internetseite. Doch das Formular zum Übermitteln der Daten, das auf den ersten Blick als Teil der Stadt-Webseite anmutet, ist in Wirklichkeit eine separate Webseite, die optisch passend an dieser Stelle eingebettet wurde. Beim Absenden des Formulars werden die Daten an die Webserver der Dienstleister verschickt, wo sie auch gespeichert werden.
Bei einem SÜDKURIER-Leser hat dies Unbehagen ausgelöst. „Was passiert eigentlich mit unseren Daten? Landen diese womöglich auf Webservern im Ausland?“, fragt er sich im Hinblick auf eine diffuse Marktlage und den jüngsten Datenpannen. Auch ein weiteres Szenario kann er sich vorstellen: Werden die Daten später womöglich für Werbezwecke genutzt? Eine Überprüfung von Dienstleistern, die in Testzentren in VS und der Region zum Einsatz kommen, brachte zutage, dass zumindest zwei dieser Unternehmen in der Schweiz ansässig sind und in einem Fall eine Internetadresse eines amerikanischen Webservers aufgetaucht war. Der SÜDKURIER hat nachgefragt.
Schweizer Firma
Für die Terminvergabe in den beiden VS-Testzentren wurde die Firma Etermin beauftragt. Das Unternehmen hat einen Sitz in Wallisellen in der Schweiz und einen auf Zypern. Auf SÜDKURIER-Nachfrage wird mitgeteilt: „Die in der Online-Terminbuchung abgefragten Kontaktdaten liegen auf Servern in Frankfurt am Main in Deutschland. Etermin ist DSGVO-konform.“ Mit der Abkürzung ist die europäische Datenschutzgrundverordnung gemeint. Eine SÜDKURIER-Abfrage der IP-Adresse – das ist quasi die Postanschrift des Webservers – bestätigt die Angaben. „Generell nehmen wir den Datenschutz sehr ernst, weshalb wir unter anderem für unsere Kunden aus der EU auch ein Unternehmen innerhalb der EU gegründet haben“, so ein Sprecher weiter. Durch sogenannte Penetrationstests durch unabhängige Anbieter werde die Sicherheit der Server regelmäßig überprüft.
Betreiber können Einstellungen vornehmen
Wie Etermin weiter mitteilt, können Testzentrum-Betreiber selbst festlegen, welche Kontaktdaten abgefragt werden. Auch Einstellungen zum Datenschutz würden von den Kunden selbst definiert, wie etwa die Aufbewahrungsdauer der Termin- und Kontaktdaten, oder ob Daten nach Terminende anonymisiert oder gelöscht werden sollen. Man sei auch verpflichtet, spätestens bei Beendigung der Vertragsbeziehung alle Kundendaten zu löschen. Eine Verwendung der Daten für andere Zwecke sei durch das zugrundeliegende datenschutzrechtliche Konstrukt der Auftragsverarbeitung ausgeschlossen, so ein Sprecher. Die Testergebnisse selbst würden nicht über Etermin versendet. Dies funktioniere im Fall der Doppelstadt über die Corona-Warn-App der Bundesregierung.
US-Dienstleister im Einsatz
In zwei VS-Apotheken, aber auch in anderen Testzentren der Region, etwa in der Stadthalle in Hüfingen oder beim DRK-Ortsverein Schwenningen, ist die Internetseite testtermin.de der Anbieter der Wahl. Die Seite wird betrieben von der Certista Labs AG in Zürich. Auch hier hat der SÜDKURIER nachgehakt, zumal ein IP-Test offenbarte, dass ein Webserver der Firma Cloudflare in Amerika zum Einsatz kam. Landen die Termindaten also in Amerika? „Nein“, sagt Tobias Fries, Verwaltungsrat von Testtermin und Certista-Gründer.
Die Daten seien sicher auf deutschen Internetservern gespeichert, persönliche Daten und Testergebnisse getrennt in unterschiedlichen Datenbanken. Er legt bereitwillig offen, warum die Firma den US-Dienstleister nutzt: „Unsere Webserver in Deutschland wurden mehrfach angegriffen, durch sogenannte Flooding-Attacken lahmgelegt.“ Dabei werden Werbserver von Angreifern mit unzähligen Anfragen bombardiert. Cloudflare sei eine Möglichkeit, um solche Störangriffe zu vermeiden und Kunden mehr Sicherheit zu bieten. „Auf den Cloudflare-Servern wird nur das Grundgerüst unserer Webseite zwischengespeichert und eine separate Zugriffsadresse generiert. Die Seite wird dadurch insgesamt schneller.“ Ein direkter Angriff auf testtermin.de werde erschwert. Die Datenbanken selbst würden nach wie vor auf Servern von zwei deutschen Unternehmen liegen, DSGVO-konform.
Restrisiko bleibt
Nach Einschätzung der Redaktion sind die Daten bei den angefragten Anbietern sehr sicher, nicht vergleichbar mit eingangs genannten Beispielen. Genannte Vorsichtsmaßnahmen und die Informationspolitik sprechen für die beiden Anbieter.
Ein gewisses Restrisiko bleibt für Testpersonen aber immer. Viele Firmen tummeln sich auf dem umkämpften Markt. Allein in den Testzentren der Region konnte die Redaktion viele weitere Dienstleister entdecken, wie zum Beispiel apo-schnelltest.de, onlinetermine.com oder terminland.de.
Am Anfang musste es schnell gehen
Es sei nicht einfach, sich für einen Anbieter zu entscheiden, sagt Madlen Falke, Sprecherin der VS-Stadtverwaltung. „Als die Testzentren Anfang des Jahres aus dem Boden gestampft wurden, musste alles schnell gehen.“ In Eile können Fehler passieren, auch wenn man den Datenschutz sehr ernst nehme, so Falke. Im Fall der Doppelstadt ist alles gut gegangen, die Wahl ist offenbar auf einen seriösen Anbieter gefallen. Lediglich eine vorübergehend fehlerhafte Verlinkung der Datenschutzhinweise sowie ein Anbieterwechsel aufgrund technischer Belange galt es zu bewältigen.
Schutz vor schwarzen Schafen
In diesem rasant gewachsen Markt hatten auch viele Trittbrettfahrer ihre Chance gewittert. Alle Datenschutzbelange ausgiebig zu prüfen, war für Testzentrum-Anbieter sicher nicht einfach. Eigene Systeme zu entwickeln war in der Kürze der Zeit ebenfalls kaum leistbar. Testzentrumbetreiber setzten daher offenbar auf Empfehlungen. „Ausgehend von Freiburg hat sich unser Angebot seit Anfang März herumgesprochen“, ist sich Fries sicher. Immer mehr Apotheken und Gemeinden kamen hinzu.
400 Testzentren als Kunden
Eigenen Angaben zufolge kommt die Firmensoftware heute bei rund 400 Testzentren zum Einsatz, die meisten in Deutschland und im Großraum Freiburg, wo auch die Keimzelle des Angebotes liegt. „In Zusammenarbeit mit einer Apotheke in Kirchzarten wurde die Anwendung entwickelt. Die Betreiberin war auf uns zugekommen mit der Bitte, eine bis dahin umständliche Lösung über eine App zu vereinfachen und komfortabler zu machen“, blickt der 32-Jährige auf die Anfänge zurück. „Aber auch wir selbst schauen uns die Kundenanfragen genau an und prüfen die Partner.“ Künftig müssen seine Kunden auch eine Beauftragung als Leistungserbringer für Bürgertestungen durch das Gesundheitsamt vorlegen.
