Datenschutz-Panne bei Impf-Hotline Niedersachsen
Impf-Termine in den staatlichen Impfzentren sind nicht erst seit Aufhebung der Impf-Priorisierung, sondern seit dem Start der Impfkampagne heiß begehrt. Deutschlandweit wurde hierzu an vielen Stellen eine eigens hierfür aufgebaute Infrastruktur notwendig. Und dazu gehören nicht nur die Impfzentren, sondern auch die von den Gesundheitsministerien der Länder betriebenen Impf-Hotlines für die telefonische Terminbuchung.
Mitunter geht es bei den Anrufen dort aber nicht nur um die Vereinbarung eines Termins, sondern möglicherweise auch um persönliche Details zur eigenen Gesundheit. Einem Leser fiel hierbei eine Datenschutz-Panne bei der Impf-Hotline Niedersachsen auf, um deren Beseitigung sich zunächst niemand kümmern wollte. Erst als sich teltarif.de in die Sache einschaltete, wurde der zugrunde liegende Fehler behoben.
Rufnummer trotz Sperre an Impf-Hotline übertragen
Die Impf-Hotline Niedersachsen wird unter der Nummer 0800-9988665 betrieben. Bereits Mitte März schrieb uns der teltarif.de-Leser:
Ich bin Kunde der Telekom und habe eine ständige Rufnummernunterdrückung eingerichtet, die normalerweise einwandfrei funktioniert. Im Rahmen eines Gesprächs mit der Impfhotline des Landes Niedersachsens, in dem unter anderem sensible Gesundheitsdaten besprochen wurden, wollte die Sachbearbeiterin meine Telefonnummer notieren. Dabei fragte die Dame, ob sie die angezeigte Nummer nehmen könne. Das machte mich natürlich stutzig und ich ließ mir die angezeigte Nummer vorlesen. Siehe da, es handelte sich um meine (unterdrückte) Festnetznummer. Da die Abfrage nur der Polizei und Rettungsdiensten erlaubt ist, habe ich darauf den Niedersächsischen Datenschutzbeauftragten informiert und um Tätigwerden gebeten.Nach über drei Wochen (!) erhielt der Telekom-Kunde am 12. März eine E-Mail des Niedersächsischen Datenschutzbeauftragten, in der dieser sich für unzuständig erklärte und auf den Bundesdatenschutzbeauftragten verwies. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit antwortete darauf, der Landesbeauftragte für den Datenschutz in Niedersachsen sei offensichtlich "falsch informiert", zumindest sei ihm wohl "die technische Handhabung einer Rufnummernunterdrückung nicht bekannt".
Auch bei seinem eigenen Festnetz-Provider, der Deutschen Telekom, informierte sich der Kunde über den Vorfall. Von dort teilte man ihm mit: Die Rufnummern werden immer bis zur Vermittlungsstelle durchgeleitet und nur als gesperrt/unterdrückt gekennzeichnet. Es liege demnach an der empfangenden Telefonanlage, ob sie dieses entsprechend des TKG respektiert oder, außerhalb von Notrufnummern, rechtswidrig trotzdem anzeigt, was bei der Impfzentralnummer 0800-9988665 offensichtlich der Fall war. Und für die Telefonanlage dort ist der Kunde verantwortlich, also das Land Niedersachsen.
Die Impf-Hotline für Niedersachsen
Bild: dpa
Gesundheitsministerium leugnete Problem zunächst
Nachdem der Telekom-Kunde bei keinem der Datenschutzbeauftragten eine zufriedenstellende Antwort erhalten hatte und auch das Problem nicht beseitigen lassen konnte, wandte er sich an teltarif.de. Auch bei uns benötigte es mehrere Anläufe, bis wir den Verantwortlichen ermitteln konnten und das Problem dann beseitigt werden konnte. Zunächst kontaktierten wir die Pressestelle des Niedersächsischen Gesundheitsministeriums. Von dort leugnete man das Problem zunächst:
Der vom Land beauftragte Dienstleister hat keine Möglichkeiten, unterdrückte Rufnummern anzeigen zu lassen. Wenn bei [...] der Hotline eine Nummer angezeigt wird, erfolgt das, weil sie vom Carrier mitgeschickt wird. Grundsätzlich muss der Kunde das mit seinem Telefonanbieter klären.Selbstverständlich hatten wir gleichzeitig die Telekom kontaktiert und um eine technische Untersuchung am Anschluss des Kunden gebeten, um auszuschließen, dass dort eine Fehlkonfiguration vorliegt. Die Telekom antwortete uns dann nach Abschluss der Untersuchung Mitte Juni:
Meine KollegInnen haben letzte Woche mit Herrn [Name des Kunden] gesprochen und ihn über das Ergebnis unserer Prüfung informiert: Der Fehler lag beim Netzbetreiber der angerufenen Nummer. Der Anschluss von Herrn [...] weist keinerlei Unstimmigkeiten auf, die dauerhafte Rufnummernunterdrückung ist aktiv. Auch die Endgerätekonfiguration bei Herrn [...] ist korrekt. Für ihn ist das Anliegen abschließend gelöst, weitere Wünsche bestehen aktuell nicht.Von der Telekom erfuhren wir allerdings nicht, welcher Provider die Impf-Hotline Niedersachsen betreibt.
Ministerium lässt verantwortlichen Provider nennen
Mit dem technischen Ergebnis der Telekom konfrontierten wir dann erneut das Niedersächsische Gesundheitsministerium und wiesen darauf hin, dass bei dem Telekom-Kunden keine Fehlkonfiguration vorliegt. Gleichzeitig baten wir darum, uns mitzuteilen, von wem denn die Impf-Hotline technisch betreut wird. Eine Antwort erhielten wir dann allerdings gar nicht mehr vom Ministerium selbst, sondern von der zuständigen Kommunikationsagentur Majorel:
Der von Ihnen geschilderte Fall ist tatsächlich auf einen Konfigurationsfehler des Netzbetreibers Colt Technology Services GmbH zurückzuführen, der die Telefonleitungen für die Impfhotline bereitstellt. Der Fehler wurde Anfang Juni erfolgreich behoben.Nun wussten wir also, wer für die damalige Fehlkonfiguration verantwortlich war und dass diese bereits Anfang Juni behoben worden war. Der Telekom-Kunde prüfte dies durch einen Testanruf bei der Impf-Hotline. Der Mitarbeiter gab nun an, die Nummer nicht (mehr) sehen zu können. Abschließend kommentierte der Kunde den Vorfall wie folgt:
Erlauben Sie mir, doch noch auf einen Punkt hinzuweisen. Das Abstellen, das hab ich jetzt erst gelesen, ist erst Anfang Juni erfolgt, also nach bald drei Monaten illegalem Auswerten, obwohl es bekannt war! Ich hatte vor wenigen Jahren das gleiche Problem mit einer überregionalen Krankenkasse, die haben das in ca. 2,5 Stunden abgestellt! Musste ich nur noch loswerden.
Weitere technische Details von Colt
Stephan Wanke, Regional Sales Director Enterprise Central & East Europe bei Colt Technology Services, nannte uns in seiner Stellungnahme dann noch weitere technische Details zu dem Vorfall:
Colt Technology Services ist der Netzwerkanbieter für Majorel Deutschland, der Betreiber der Impf-Hotline. Die Rufnummernunterdrückung wurde durch einen Konfigurationsfehler in den betroffenen Verbindungsaufbauprotokollen von SIP-Verbindungen („SIP Invite“) verursacht. Nachdem Majorel über den Vorfall informiert wurde, wurde der Fehler umgehend korrigiert. Gemäß den Richtlinien und Verfahren bei Colt haben wir Abhilfemaßnahmen eingeleitet und führen interne Kontrollen durch, um sicherzustellen, dass der Fehler nicht erneut auftritt.Der digitale Impfnachweis ist in Deutschland verfügbar. Allerdings gibt es derzeit noch App- und Serverprobleme.