Das Portal Österreich testet soll den Bürgerinnen und Bürgern unseres südlichen Nachbarlandes einen komfortablen Zugang zu Corona-Schnelltestungen ermöglichen. Den Entwicklern konnte es bei der Umsetzung offenbar ebenfalls nicht schnell genug gehen.
Formular-Website mit Mängeln
„Österreich testet“ ist keine komplexe Website. Sie besteht im Wesentlichen aus einem Formular, in das Testwillige ihre persönlichen Daten eintragen müssen. Dann werden sie zwecks Terminvergabe per E-Mail oder SMS kontaktiert.
Dennoch ist die Website unzweifelhaft eine Einrichtung zur Datenverarbeitung und unterliegt als solche der Datenschutzgrundverordnung (DSGVO). Dass eine Website zur Erfassung der Daten österreichischer Bürger auf Amazon-Infrastruktur läuft, verwunderte Nutzer als erstes. Ein fehlender Cookie-Hinweis wurde ebenfalls kritisch bemerkt.
Dieser Hinweis fehlt, ebenso wie eine Datenschutzerklärung, zum Zeitpunkt des Erscheinens dieses Beitrags immer noch. Von der Seite aus erfolgt lediglich eine Verlinkung zu einer Google-Supportseite mit Datenschutzinformationen. Das betrifft zum einen nur das eingesetzte Captcha und ist zum anderen völlig unzureichend. Dass die Website ausschließlich in deutscher Sprache zur Verfügung steht, ist da fast schon eine Randnotiz.
Datenleck zeigt richtige Daten falschen Personen
Immerhin war der klare Verstoß gegen europäisches Datenschutzrecht nicht der größte Lapsus, der den Betreibern des Test-Portals unterlaufen ist. Noch problematischer war vielmehr, dass die Datenzuordnung im Hintergrund nicht zuverlässig funktionierte, weshalb es dazu gekommen war, dass Anmeldende die Daten anderer Anmeldenden angezeigt bekamen!
Um immerhin rund 800 Fälle soll es sich dabei nach Angaben des Wiener Dienstleisters World Direct, einer Tochter des mehrheitlich mexikanischen Telekom-Konzerns A1, der die Website im Staatsauftrag betreut, gehandelt haben. Die Website war deshalb zwischenzeitlich offline genommen worden. Das Datenleck ist laut World Direct nun geschlossen.
Testwillige, die sich auf der Seite eingetragen hatten, wollten im Nachgang vom Betreiber wissen, ob ihre konkreten Daten vom Leck betroffen waren. Ihnen soll lediglich der Link zu den FAQ mit allgemeinen Fragen und Antworten rund um das Schnelltest-Angebot geschickt worden sein.
IT-Kompetenz from Hell
Auch nach dem Schließen der Sicherheitslücke bleiben diverse Probleme bestehen. Neben dem bereits genannten Datenschutzrechtsverstoß sind offenbar verschiedene technische Probleme vorhanden. Zudem fehlt die bei einem solchen Angebot grundlegende Funktionalität, einmal vereinbarte Termine auch wieder stornieren zu können.
World Direct, aber auch das österreichische Gesundheitsministerium, geben mit „Österreich testet“ kein gutes Bild ab.