Aufgedeckt

Datenschutz-Panne bei Impf-Hotline Niedersachsen

Ein Bürger wollte anonym bei der Impf-Hotline Nieder­sachsen anrufen, doch dort sah man sofort seine Nummer und bot einen Rückruf an. teltarif.de sorgte dafür, dass der Verstoß abge­stellt wurde.
Von

Impf-Termine in den staat­lichen Impf­zen­tren sind nicht erst seit Aufhe­bung der Impf-Prio­risie­rung, sondern seit dem Start der Impf­kam­pagne heiß begehrt. Deutsch­land­weit wurde hierzu an vielen Stellen eine eigens hierfür aufge­baute Infra­struktur notwendig. Und dazu gehören nicht nur die Impf­zen­tren, sondern auch die von den Gesund­heits­minis­terien der Länder betrie­benen Impf-Hotlines für die tele­foni­sche Termin­buchung.

Mitunter geht es bei den Anrufen dort aber nicht nur um die Verein­barung eines Termins, sondern mögli­cher­weise auch um persön­liche Details zur eigenen Gesund­heit. Einem Leser fiel hierbei eine Daten­schutz-Panne bei der Impf-Hotline Nieder­sachsen auf, um deren Besei­tigung sich zunächst niemand kümmern wollte. Erst als sich teltarif.de in die Sache einschal­tete, wurde der zugrunde liegende Fehler behoben.

Rufnummer trotz Sperre an Impf-Hotline über­tragen

Die Impf-Hotline Nieder­sachsen wird unter der Nummer 0800-9988665 betrieben. Bereits Mitte März schrieb uns der teltarif.de-Leser:

Ich bin Kunde der Telekom und habe eine stän­dige Rufnum­mern­unter­drü­ckung einge­richtet, die norma­ler­weise einwand­frei funk­tio­niert. Im Rahmen eines Gesprächs mit der Impf­hot­line des Landes Nieder­sach­sens, in dem unter anderem sensible Gesund­heits­daten bespro­chen wurden, wollte die Sach­bear­bei­terin meine Tele­fon­nummer notieren. Dabei fragte die Dame, ob sie die ange­zeigte Nummer nehmen könne. Das machte mich natür­lich stutzig und ich ließ mir die ange­zeigte Nummer vorlesen. Siehe da, es handelte sich um meine (unter­drückte) Fest­netz­nummer. Da die Abfrage nur der Polizei und Rettungs­diensten erlaubt ist, habe ich darauf den Nieder­säch­sischen Daten­schutz­beauf­tragten infor­miert und um Tätig­werden gebeten.
Nach über drei Wochen (!) erhielt der Telekom-Kunde am 12. März eine E-Mail des Nieder­säch­sischen Daten­schutz­beauf­tragten, in der dieser sich für unzu­ständig erklärte und auf den Bundes­daten­schutz­beauf­tragten verwies. Der Bundes­beauf­tragte für den Daten­schutz und die Infor­mati­ons­frei­heit antwor­tete darauf, der Landes­beauf­tragte für den Daten­schutz in Nieder­sachsen sei offen­sicht­lich "falsch infor­miert", zumin­dest sei ihm wohl "die tech­nische Hand­habung einer Rufnum­mern­unter­drü­ckung nicht bekannt".

Auch bei seinem eigenen Fest­netz-Provider, der Deut­schen Telekom, infor­mierte sich der Kunde über den Vorfall. Von dort teilte man ihm mit: Die Rufnum­mern werden immer bis zur Vermitt­lungs­stelle durch­geleitet und nur als gesperrt/unter­drückt gekenn­zeichnet. Es liege demnach an der empfan­genden Tele­fon­anlage, ob sie dieses entspre­chend des TKG respek­tiert oder, außer­halb von Notruf­num­mern, rechts­widrig trotzdem anzeigt, was bei der Impf­zen­tral­nummer 0800-9988665 offen­sicht­lich der Fall war. Und für die Tele­fon­anlage dort ist der Kunde verant­wort­lich, also das Land Nieder­sachsen. Die Impf-Hotline für Niedersachsen Die Impf-Hotline für Niedersachsen
Bild: dpa

Gesund­heits­minis­terium leug­nete Problem zunächst

Nachdem der Telekom-Kunde bei keinem der Daten­schutz­beauf­tragten eine zufrie­den­stel­lende Antwort erhalten hatte und auch das Problem nicht besei­tigen lassen konnte, wandte er sich an teltarif.de. Auch bei uns benö­tigte es mehrere Anläufe, bis wir den Verant­wort­lichen ermit­teln konnten und das Problem dann besei­tigt werden konnte. Zunächst kontak­tierten wir die Pres­sestelle des Nieder­säch­sischen Gesund­heits­minis­teriums. Von dort leug­nete man das Problem zunächst:

Der vom Land beauf­tragte Dienst­leister hat keine Möglich­keiten, unter­drückte Rufnum­mern anzeigen zu lassen. Wenn bei [...] der Hotline eine Nummer ange­zeigt wird, erfolgt das, weil sie vom Carrier mitge­schickt wird. Grund­sätz­lich muss der Kunde das mit seinem Tele­fon­anbieter klären.
Selbst­ver­ständ­lich hatten wir gleich­zeitig die Telekom kontak­tiert und um eine tech­nische Unter­suchung am Anschluss des Kunden gebeten, um auszu­schließen, dass dort eine Fehl­kon­figu­ration vorliegt. Die Telekom antwor­tete uns dann nach Abschluss der Unter­suchung Mitte Juni:
Meine KollegInnen haben letzte Woche mit Herrn [Name des Kunden] gespro­chen und ihn über das Ergebnis unserer Prüfung infor­miert: Der Fehler lag beim Netz­betreiber der ange­rufenen Nummer. Der Anschluss von Herrn [...] weist keinerlei Unstim­mig­keiten auf, die dauer­hafte Rufnum­mern­unter­drü­ckung ist aktiv. Auch die Endge­räte­kon­figu­ration bei Herrn [...] ist korrekt. Für ihn ist das Anliegen abschlie­ßend gelöst, weitere Wünsche bestehen aktuell nicht.
Von der Telekom erfuhren wir aller­dings nicht, welcher Provider die Impf-Hotline Nieder­sachsen betreibt.

Minis­terium lässt verant­wort­lichen Provider nennen

Mit dem tech­nischen Ergebnis der Telekom konfron­tierten wir dann erneut das Nieder­säch­sische Gesund­heits­minis­terium und wiesen darauf hin, dass bei dem Telekom-Kunden keine Fehl­kon­figu­ration vorliegt. Gleich­zeitig baten wir darum, uns mitzu­teilen, von wem denn die Impf-Hotline tech­nisch betreut wird. Eine Antwort erhielten wir dann aller­dings gar nicht mehr vom Minis­terium selbst, sondern von der zustän­digen Kommu­nika­tions­agentur Majorel:

Der von Ihnen geschil­derte Fall ist tatsäch­lich auf einen Konfi­gura­tions­fehler des Netz­betrei­bers Colt Tech­nology Services GmbH zurück­zuführen, der die Tele­fon­lei­tungen für die Impf­hot­line bereit­stellt. Der Fehler wurde Anfang Juni erfolg­reich behoben.
Nun wussten wir also, wer für die dama­lige Fehl­kon­figu­ration verant­wort­lich war und dass diese bereits Anfang Juni behoben worden war. Der Telekom-Kunde prüfte dies durch einen Test­anruf bei der Impf-Hotline. Der Mitar­beiter gab nun an, die Nummer nicht (mehr) sehen zu können. Abschlie­ßend kommen­tierte der Kunde den Vorfall wie folgt:
Erlauben Sie mir, doch noch auf einen Punkt hinzu­weisen. Das Abstellen, das hab ich jetzt erst gelesen, ist erst Anfang Juni erfolgt, also nach bald drei Monaten ille­galem Auswerten, obwohl es bekannt war! Ich hatte vor wenigen Jahren das gleiche Problem mit einer über­regio­nalen Kran­ken­kasse, die haben das in ca. 2,5 Stunden abge­stellt! Musste ich nur noch loswerden.

Weitere tech­nische Details von Colt

Stephan Wanke, Regional Sales Director Enter­prise Central & East Europe bei Colt Tech­nology Services, nannte uns in seiner Stel­lung­nahme dann noch weitere tech­nische Details zu dem Vorfall:

Colt Tech­nology Services ist der Netz­werk­anbieter für Majorel Deutsch­land, der Betreiber der Impf-Hotline. Die Rufnum­mern­unter­drü­ckung wurde durch einen Konfi­gura­tions­fehler in den betrof­fenen Verbin­dungs­auf­bau­pro­tokollen von SIP-Verbin­dungen („SIP Invite“) verur­sacht. Nachdem Majorel über den Vorfall infor­miert wurde, wurde der Fehler umge­hend korri­giert. Gemäß den Richt­linien und Verfahren bei Colt haben wir Abhil­femaß­nahmen einge­leitet und führen interne Kontrollen durch, um sicher­zustellen, dass der Fehler nicht erneut auftritt.
Der digi­tale Impf­nach­weis ist in Deutsch­land verfügbar. Aller­dings gibt es derzeit noch App- und Server­pro­bleme.

Mehr zum Thema Gesundheit