Mehr als 24.000 positive PCR-Test-Ergebnisse aus Tirol, von Jänner bis Juni 2021, inklusive Patientennamen, Wohnort, Geburtsdaten und Details wie den jeweiligen Virusmutationen. Diese hochsensiblen Daten, die prominente Namen wie jene der Oppositionspolitikerin Andrea Haselwanter-Schneider (Liste Fritz), des ÖVP-Abgeordneten Franz Hörl und anderer hochrangiger Politiker enthält, liegen dem STANDARD und dem ORF Tirol vor.

Sie entstammen einem riesigen Datenleck, das viele Fragen aufwirft. Ralf Herwig, ehemaliger Geschäftsführer der in die Kritik geratenen Firma HG Lab Truck, hat diese Daten am 10. August 2021 mutmaßlich unverschlüsselt per E-Mail in Form von Excel-Sheets verschickt. Herwig bestätigt auf Anfrage, dass er dies getan hat, und erklärt das Leck damit, dass er Opfer eines Hackerangriffs geworden sei.

Wegen des Datenlecks habe er "IT-forensische Untersuchungen" eingeleitet. Bis diese abgeschlossen seien, könne er keine weiteren Angaben dazu machen. Danach werde er die zuständige Behörde informieren und Strafanzeige stellen.

Experten: "Grob fahrlässig"

Herwigs Erklärung halten Experten wie Datenschützer Thomas Lohninger von Epicenter Works für unglaubwürdig: "Derart sensible Gesundheitsdaten unverschlüsselt über ein einfaches E-Mail hin- und herzuschicken entspricht definitiv nicht einer adäquaten Datensicherheit, man kann das sogar als grob fahrlässig bezeichnen."

Besonders brisant an dem Leck ist die Frage, wieso der Absender der geleakten E-Mail, Urologe Herwig, überhaupt noch Zugriff auf diese Daten hatte. Denn offiziell ist Herwig bereits im Mai nach massiver medialer Kritik als Geschäftsführer der HG Lab Truck abgetreten. Die Firma selbst war nur bis Juni mit PCR-Tests beauftragt. Danach wurden die Tests vom Land Tirol neu ausgeschrieben, HG Lab Truck kam dabei nicht mehr zum Zug.

An wen die Daten gingen

Auch der Empfänger der E-Mail, ein IT-Techniker, wirft Fragen auf. Gegen ihn liegt eine Unterlassungsklage und Antrag auf einstweilige Verfügung vor. Sein ehemaliger Arbeitgeber, die IT-Firma Vitavo, wirft ihm vor, ihre selbstprogrammierte Software zur Verarbeitung von PCR-Test-Ergebnissen unrechtmäßig übernommen zu haben und diese nun ohne deren Zustimmung zu nutzen. Er will "aus Gründen des Datenschutzes" nicht zu den Vorwürfen Stellung nehmen. Die Klage gegen ihn liege ihm nicht vor.

Vitavo war ursprünglich Partner der HG Lab Truck, als diese im September 2020 ohne Ausschreibung vom Land Tirol den Millionenauftrag für PCR-Testungen erhielt. Vitavo stellte die dafür nötige IT-Lösung zur Datenverarbeitung zur Verfügung. Diese Partnerschaft zerbrach allerdings im Mai 2021, weil die HG Lab Truck Rechnungen in siebenstelliger Höhe nicht beglichen habe.

Seitens des Landes wird betont, dass "grundsätzlich alle Vertragspartner Standardmäßig verpflichtet werden, personenbezogene und sensible Daten zu schützen". Zugriff oder Weiterleitung durch Externe sei "zum aktuellen Zeitpunkt nicht bekannt". Allerdings behalte man sich rechtliche Schritte vor und "verurteile es aufs Schärfste", sollte das tatsächlich passiert sein.

Behörde prüft Verstoß

Die Datenschutzbehörde, die von STANDARD und ORF Tirol über das Datenleck informiert wurde, leitet eine Prüfung wegen potenziellen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) ein, wie ihr stellvertretender Leiter Matthias Schmidl sagt. Auch ein Verwaltungsstrafverfahren sei denkbar. Zudem, erklärt Schmidl, steht es allen betroffenen Personen, die in der Liste aufscheinen, offen, kostenlos Beschwerde bei der Datenschutzbehörde einzubringen. Also praktisch allen, die zwischen Jänner und Juni 2021 in Tirol positiv auf Corona getestet wurden.

Das Land verweist auf die Verantwortung der Vertragspartner, die für die Umsetzung und Einhaltung der Datenschutzbestimmungen verantwortlich seien. Für Datenschützer Lohninger ist das jedoch zu wenig: "Wo die öffentliche Hand mit Steuergeldern Testangebote schafft, hat sie auch die Verantwortung, dass da sauber gearbeitet wird." Die DSGVO sei seit Jahren geltendes europäisches Recht, an das man sich auch in Tirol zu halten habe.

Landeshauptmann schweigt, Staatsanwaltschaft prüft

Landeshauptmann Günther Platter (ÖVP) hat seit Mai, als die Causa HG Lab Truck medial losgebrochen war, zehn Interviewanfragen des STANDARD abgelehnt. Ralf Herwig und die Firma HG Lab Truck haben wegen der Berichterstattung über Zweifel an der Qualität ihrer Arbeit Klage gegen den STANDARD eingebracht.

Der Vorhabensbericht der Wirtschafts- und Korruptionsstaatsanwaltschaft, die den "Anfangsverdacht des schweren Betruges" gegen die HG Lab Truck prüfte, liegt derzeit im Justizministerium. Der Landesrechnungshof untersucht die Vergabe ohne Ausschreibung. (ars, 1.9.2021)