Corona: Warum deutsche Gesundheitsdaten bei Amazon landen

Jens Spahn wollte mit der Climedo-Software die Gesundheitsämter entlasten. Die melden Probleme mit dem Datenschutz. © dpa | Stefan Sauer

Berlin. Eine Firma bietet Gesundheitsämtern ein digitales Symptom-Tagebuch an - und speichert Daten auch bei einer Amazon-Tochterfirma.

Der Minister ist begeistert. Jens Spahn hebt hervor, welche Entlastung das digitale Symptom-Tagebuch für die Gesundheitsämter im Kampf gegen das Corona-Virus bringen soll. Ämter, die seit Monaten am Limit arbeiten. Behörden, die mit der Nachverfolgung der Infizierten und ihrer Kontakte auch überfordert waren.

Das digitale Symptom-Tagebuch der Münchner Firma Climedo Health macht möglich, dass Menschen in Corona-Quarantäne den Ämtern mit ein paar Klicks – auf dem Handy oder am Computer – mitteilen können, ob sie Fieber haben oder Kopfschmerzen, und wie ihr Gesundheitszustand ist. Das soll den Mitarbeitenden der Ämter ersparen, jeden Tag mühsam zum Telefon zu greifen, um die Symptome von Corona-Infizierten und deren Kontaktpersonen abzufragen.

IT-Experten der Firma Netzlink äußern deutliche Bedenken zum Corona-Tagebuch

Gesundheitsminister Spahn sichert bei einer Online-Fragerunde Ende vergangenen Jahres allen Gesundheitsbehörden zu, die Kosten für die Climedo-Software zu übernehmen – besonders lobte der Minister den Datenschutz. Doch eben am Datenschutz des Symptom-Tagebuchs, das ein zentraler Baustein der Strategie der Gesundheitsämter werden soll, regt sich nun Kritik.

Die Netzlink Informationstechnik GmbH ist offiziell mit der Prüfung der Software beauftragt. Sie kommt in einem internen Papier vom Februar, das unserer Redaktion vorliegt, zu einem vernichtenden Urteil: „Stand jetzt kann der Einsatz von Climedo im Rahmen des Sormas-X Projekts für die Verarbeitung von Gesundheitsdaten nicht empfohlen werden. Für die Gesundheitsämter, die Climedo jetzt schon einsetzen, sollte die Schnittstelle zu Climedo vorläufig deaktiviert werden.“

Amazon verdient weltweit Milliarden mit der Vermietung von Speicherplatz

Die Verfolgung der Kontakte ist für die Behörden die größte Herausforderung in der Pandemie. Oftmals hinken sie hinterher. Das neue Symptom-Tagebuch soll es den Gesundheitsämtern möglich machen, schneller den Überblick über die Infektionslage zu bekommen © dpa | Daniel Bockwoldt

Der Hintergrund der Kritik: Die Software speichere medizinische Daten von Kontaktpersonen auf Servern der sogenannten Amazon Webservices (AWS), einem Tochterunternehmen des US-Internetriesen Amazon. In dem Netzlink-Papier heißt es, dass eine Speicherung medizinischer Daten auf Servern von Amazon-Firmen „aus Sicht des Datenschutzes nicht tragbar“ sei.

Auch Christian Dörr, Leiter des Bereichs „Cybersecurity – Enterprise Security“ beim Hasso-Plattner-Institut, sieht darin ein Problem. „Jede Firma, die etwa Amazon oder Google als Speicheranbieter nutzt, legt damit seine Daten auf einem fremden Rechner ab, der irgendwo in der Welt steht“, sagt Dörr. Er warnt deutsche Firmen davor, ihre Daten nicht auf eigenen Rechnern lokal zu verschlüsseln, bevor die Informationen auf den Servern von Unternehmen von Amazon, Google oder Microsoft gespeichert werden.

Sicherheitsexperten sehen die Anforderungen für Datenschutz nicht erfüllt

Und genau das geschieht laut der IT-Firma Netzlink im Fall von Climedo nicht. Die Datenschutz-Experten von Netzlink kritisieren, dass für die Verschlüsselung der medizinischen Daten ausschließlich Dienste von Amazon selbst eingesetzt würden. „Mit anderen Worten, die Kontrolle über die Pseudonymisierung und die Verschlüsselung liegt bei AWS/Amazon. Dies genügt nicht den Anforderungen, die an eine datenschutzkonforme Pseudonymisierung und Verschlüsselung von Gesundheitsdaten zu stellen sind“, urteilen die Fachleute in dem Papier.

Amazon Web Services hält dazu fest, dass die Daten für das Symptom-Tagebuch ausschließlich auf den Servern der Firma in Frankfurt gespeichert würden – die Daten bleiben laut der US-Firma also in Deutschland.

Climedo nutzt nach Auskunft von AWS die Verschlüsselung der Amazon-Tochter. Die Daten seien so gesichert, dass nur die Münchner Firma auf die verschlüsselten Gesundheitsinformationen zugreifen könne. Die IT-Experten von Netzlink sind laut der internen Analyse dennoch beunruhigt. Durch die Nutzung weiterer Dienste wie Amazon und Facebook könnte über den Einsatz von Cookies nicht mehr ausgeschlossen werden, dass Patienten identifizierbar sind.

Amazon Web Services merkt dazu an, dass die Firma selbst keine Cookies von Amazon oder Facebook bei den Server-Dienstleistungen einsetze. Würde dies geschehen, sei dies ausschließlich die Verantwortung der Kunden, hier also des Tagebuch-Herstellers von Climedo.

Laut Gesundheitsministerium ausschließlich anonyme Daten bei Amazon gespeichert

Die Firma Climedo selbst möchte sich auf die Nachfragen unserer Redaktion nicht äußern und verweist auf das Bundesgesundheitsministerium. Eine Sprecherin des Gesundheitsministeriums bestätigt, dass Climedo Server von Amazon verwende, „um bestimmte Funktionalitäten des Symptom-Tagebuchs zu ergänzen“.

Das Ministerium hebt hervor, dass auf den Servern von Amazon ausschließlich „nichtpersonenidentifizierende Daten von Meldungen der Kontaktpersonen pseudonymisiert und verschlüsselt gespeichert“ würden. Identifizierende Daten würden in den Rechenzentren des ITZBund gesichert.

ITZBund steht für „Informationstechnik-Zentrum Bund“, es ist im Prinzip der Speicherplatz des deutschen Staates. Dutzende Behörden wie etwa das Bundesamt für Migration und Flüchtlinge, das Bamf, nutzen die Dienste des ITZBund. Laut Gesundheitsministerium erfolgt beim Symptom-Tagebuch „nach Aussage des Herstellers eine strikte Trennung von identifizierenden Daten und Symptomdaten“.

Auch Bundespolizei und der US-Geheimdienst CIA nutzen Amazon Web Services

Dass Firmen ihre Daten auf Computern von Amazon Web Services speichern, hängt oft auch an den Kosten. Der US-Konzern hat sich neben dem Online-Versandhandel schon früh diese ertragreiche Branche erschlossen. Die eigens dafür gegründete Tochterfirma Amazon Web Services bringt dem Internetriesen mit der Vermietung von Servern Milliarden-Umsätze.

Anfangs gehörten vor allem kleine Unternehmen zu den Kunden, später Konzerne wie Samsung und sogar der US-Geheimdienst CIA. In riesigen Rechenzentren, verteilt auf dem Globus, bietet AWS Speicherkapazitäten für Kunden an – in der sogenannten „Cloud“, der großen Daten-Wolke, von überall erreichbar, wo Internetzugang ist.

Experten sagen auch: Amazon bietet Schutz vor Stromausfällen und Cyberangriffen

Einerseits, so heben Experten wie Professor Dörr hervor, ist der Speicherplatz bei der Amazon-Tochter allein aufgrund der Größe günstig. Und das Unternehmen könne mit der riesigen Infrastruktur die Rechner für die „Cloud“ sogar besser schützen als kleinere Anbieter, etwa vor Stromausfällen oder Ausfällen einzelner Rechner oder Rechenzentren. Doch andererseits wiesen Fachleute zuletzt auf Sicherheitslücken in der gigantischen Amazon-Cloud hin.

Daten konnten von AWS nach außen gelangen, weil Anwender fehlerhafte Einstellungen bei der Nutzung der AWS-Cloud verwendet hatten. Die Amazon-Tochter hat laut eigenen Angaben mittlerweile auf die Fälle von Datenverlust durch Fehlkonfiguration reagiert und die Optionen für Sicherheitsvorkehrungen durch den Kunden vereinfacht sowie die AWS-Kunden darüber informiert, wie sie Datenklau verhindern können.

Die Experten von Netzlink bemängeln vor allem, dass unklar bleibe, was die Amazon-Tochter mit den Daten macht. Und wie sicher sie vor dem Zugriff der US-Behörden sind. So verpflichtet ein von der Trump-Administration erlassenes Gesetz, der „Cloud Act“, dass US-Internetfirmen den Sicherheitsbehörden Zugriff auf gespeicherte Daten gewähren – auch wenn die Informationen nicht in den USA gespeichert sind.

Dennoch schätzen Sicherheitsexperten der Bundesregierung das Abhör-Risiko im Fall des Symptom-Tagebuchs als niedrig ein und halten das Interesse der US-Behörden an Corona-Daten aus Deutschland für ebenso gering.

Geschäftspartner nennen Kooperation beim Datenschutz „mangelhaft“

Doch die Verärgerung beim Datenschutz-Partner Netzlink ist groß. Die Verfasser der internen Analyse des Climedo-Projekts sehen eine „mangelhafte Kooperation“ der Münchner Firma beim Datenschutz.

Und auch die Gesundheitsbehörden in den Bundesländern zögern offenbar bei der Einführung der neuen Software. Anfang März hatten von rund 400 Ämtern gerade einmal 32 das Symptom-Tagebuch aktiviert, so das Ministerium.

Die Firma Amazon: Angefangen mit dem Verkauf von Büchern gehört die Firma zu den internetgiganten unserer Zeit. Ein Großteil des Geschäfts betreibt sie damit, Speicherplatz für Unternehmen weltweit zu vermieten. In der „Cloud“ von Amazon Web Services © imago/Future Image | Christoph Hardt

Droht nun also der nächste IT-Flopp der Bundesregierung im Kampf gegen die Pandemie? Schon die Einführung der Software Sormas (Surveillance Outbreak Response Management and Analysis System) hatte in Gesundheitsämtern für Unmut gesorgt, weil viele der Behörden bereits auf eigene Programme setzten.

Die Datenschutz-Experten von Netzlink halten in ihrem Papier zum Großprojekt Sormas fest: „Das Projekt steht gerade im Moment unter erhöhter kritischer öffentlicher Beobachtung und die Nachricht, dass Gesundheitsdaten von Climedo Nutzern auf Amazon Servern gespeichert werden, wäre geeignet, erhebliche negative Reaktionen in Bezug auf das ganze Sormas-X Projekt hervorzurufen.“

Bundesamt sieht „einzelne Schwachstellen“, die jedoch behoben werden sollen

Die Bundesregierung ließ das Symptom-Tagebuch der Münchner Firma prüfen. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschlands oberste Cyberabwehr-Behörde, als auch der Bundesdatenschutzbeauftragte hätten ihren Haken hinter die Software gesetzt, hob Minister Jens Spahn in dem digitalen Talk-Format Ende 2020 hervor.

Auf Nachfrage unserer Redaktion teilt die Cyberbehörde BSI mit, man habe das gesamte Projekt Sormas und auch die Tagebuch-Anwendung von Climedo in zwei längeren Zeiträumen einer „Sicherheitsanalyse unterzogen“. Die Experten prüften, wie robust das Programm gegen Cyberattacken ist. Im Rahmen der Untersuchungen hätte das BSI „einzelne Schwachstellen“ aufgedeckt. Diese würden jedoch „im weiteren Verlauf der Entwicklungsarbeiten behoben“.

Zumindest vor dem Hintergrund von Cyberattacken sei die Speicherung auf Servern von AWS für das Symptomtagebuch laut BSI „unbedenklich“. Allerdings: Aspekte des Datenschutzes habe das Amt dabei nicht berücksichtigt. Diese Aufgabe liege beim Bundesdatenschutzbeauftragten.

Vom Bund ans Land – der Datenschutz wird weitergegeben an die kleinen Ämter

Dort heißt es, man habe schon im Frühsommer „auf die allgemeine Problematik zu Amazon Web Services hingewiesen“. Und: Seit kurzer Zeit würden der Datenschutz-Stelle des Bundes neue Unterlagen aus dem Ministeriums vorliegen, die derzeit geprüft würden. Das Datenschutzamt schiebt dann noch nach: „Die Zuständigkeit für den datenschutzkonformen Betrieb der Anwendung liegt bei den jeweiligen Landesbeauftragten für den Datenschutz.“

Nun also sind die Länder am Zug – und so wird der Datenschutz von einer Stelle zur nächsten geschoben. Am Ende der Kette müssen sich IT-Spezialisten in kleinen Länderbehörden mit dem Datengiganten Amazon befassen.

Experten bemängeln die Abhängigkeit europäischer Unternehmen von Amazon und Co.

Und noch ein Problem der deutschen Internetwirtschaft und IT-Politik wird im Fall Climedo deutlich. Für Firmen wie dem Münchner Software-Hersteller ist es oft die attraktivste Variante, auf Dienstleistungen der amerikanischen Konzerne zurückzugreifen.

Denn: Es fehlen deutsche und europäische Alternativen zu Amazon, Google oder Microsoft. „Europa und Deutschland haben den Aufbau von eigenen Clouds, die so einfach zu verwenden und günstig wie die der US-Unternehmen sind, verschlafen“, sagt Cybersicherheits-Experte Dörr. „Die Abhängigkeit zu den US-Unternehmen ist groß.“

Anmerkung der Redaktion: In einer früheren Fassung dieses Textes war von Amazon die Rede, nicht von der Amazon-Tochter AWS. Wir haben dies im Artikel präzisiert.