Offenbar Tausende PCR-Testergebnisse in Tirol geleakt

PG LIFEBRAIN GROUP "30.000 PCR-TESTS PRO TAG": LABOR
Ex-HG Pharma Chef Herwig soll sie per eMail versandt haben und spricht von Hackerangriff. Datenschutzbehörde prüft, Land behält sich rechtliche Schritte vor.

In Tirol sind offenbar mehr als 24.000 positive PCR-Testergebnisse von Jänner bis Juni geleakt worden, also an die Öffentlichkeit gelangt. Der Ex-Geschäftsführer der in die Kritik geratenen Firma HG Lab Truck, Tochterfirma der HG Pharma, Ralf Herwig, habe die Daten im August per E-Mail in Form von Excel-Sheets - wie er betont verschlüsselt - verschickt.

Herwig bestätigte dies und erklärte das mutmaßliche Leck damit, dass er Opfer eines Hackerangriffs geworden sei.

Dies berichteten Standard und ORF Tirol. Weitere Überprüfungen hätten dies gezeigt, nämlich dass es einen Hackerangriff auf sein Mailpostfach gegeben habe, so Herwig. Er habe die Mail am 10. August zum Zweck eines „Back-up“ verschickt. Sie sei sehr wohl verschlüsselt gewesen, sagte der umstrittene Urologe, nachdem zunächst von einem unverschlüsselten Verschicken die Rede war.

Wegen des Datenlecks habe er „IT-forensische Untersuchungen“ eingeleitet, so Herwig, dessen Firma ursprünglich für das Land Tirol die PCR-Testungen durchgeführt hatte.

Offenbar Tausende PCR-Testergebnisse in Tirol geleakt

Ralf Herwig (re.)

Bis die Untersuchungen abgeschlossen seien, könne er keine weiteren Angaben dazu machen. Danach werde er die zuständige Behörde informieren und Strafanzeige stellen, kündigte der Ex-HG Pharma-Chef an.

Offen war, weshalb Herwig im August noch Zugriff auf die Daten hatte - er war im Mai nach massiver Kritik als Geschäftsführer abgetreten.

Die Daten mit den Ergebnissen beinhalten laut den Berichten Patientennamen, Wohnort, Geburtsdaten und Details sowie die jeweiligen Virusmutationen. Auch Namen bekannter Politiker wie etwa jene von Liste Fritz-Chefin Andrea Haselwanter-Schneider und ÖVP-Nationalratsabgeordnetem Franz Hörl sollen sich darunter befinden.

Fall für die Datenschutzbehörde

Das Ganze wird auch ein Fall für die Datenschutzbehörde. Diese wird nun eine Prüfung wegen des Verdachts auf Verstoß gegen die Datenschutz-Grundverordnung einleiten, auch ein Verwaltungsstrafverfahren sei möglich, hieß es. Auch Betroffene könnten Beschwerde bei der Behörde einreichen. Im Standard kritisierten Datenschützer, dass man derart sensible Informationen nicht einfach per E-Mail versenden dürfe.

Wenn solche Daten in Umlauf geraten, könne das schwerwiegende Folgen für die Betroffenen haben. Eine Infektion könnte auch eine „Long Covid“-Erkrankung nach sich ziehen. Listen mit positiven Testergebnissen könnten also potenzielle künftige Arbeitgeber abschrecken, aber auch zur Ablehnung bei privaten Krankenkassen führen, meinte Datenschutzexperte Thomas Lohninger von epicenter.works gegenüber dem ORF Tirol.

Der Empfänger der E-Mail ist laut Standard ein externer IT-Techniker. Sein ehemaliger Arbeitgeber, eine IT-Firma, würde ihm vorwerfen, ihre selbstprogrammierte Software zur Verarbeitung von PCR-Test-Ergebnissen unrechtmäßig übernommen zu haben und diese nun ohne deren Zustimmung zu nutzen.

Land behält sich rechtliche Schritte vor

Seitens des Landes betonte man, dass man nach derzeitigem Wissensstand ausschließen könne, dass Gesundheitsdaten von eigenen Servern und Systemen an die Öffentlichkeit gelangt sind, wie es gegenüber der APA hieß: „Und auch alle Vertragspartner wurden und werden grundsätzlich in Datenschutzklauseln standardmäßig verpflichtet, personenbezogene und sensible Daten zu schützen.“

Für die Umsetzung und Einhaltung der Datenschutzbestimmung sei der jeweilige „datenverarbeitende Vertragspartner“ verantwortlich. „Sollte es tatsächlich zutreffend sein, dass Gesundheitsdaten entgegen den Vereinbarungen an Dritte weitergegeben wurden, ist dies schärfstens zu verurteilen und behält sich das Land Tirol rechtliche Schritte vor“, erklärten die Verantwortlichen.

Die Vorgeschichte

Die Causa HG Pharma bzw. HG Lab Truck beschäftigt seit Frühjahr immer wieder Medien und Politik. Die schwarz-grüne Landesregierung war Anfang Mai wegen der Causa unter Beschuss geraten. Vor allem die Direktvergabe des rund acht Millionen Euro schweren Auftrags ohne Ausschreibung im vergangenen September an die Firma Herwigs sorgte für scharfe Kritik. Ein unrechtmäßiges Handeln dabei stellte das Land stets in Abrede.

Es war zu offenbar teils falschen Mutations-Bewertungen bei den Tiroler PCR-Proben durch die HG Lab Truck gekommen. Rund 380 Fälle mussten nach einem vorläufigen Zwischenergebnis der bisherigen Sequenzierungen der AGES umgestuft werden.

Die Causa hält indes auch Landesrechnungshof und Justiz auf Trab. Ersterer beleuchtet die Vorgänge derzeit in einer Sonderprüfung. Die Wirtschafts- und Korruptionsstaatsanwaltschaft (WKStA) war zudem aktiv geworden und hatte im Juli einen Vorhabensbericht an die Oberstaatsanwaltschaft Wien übermittelt. Es stand der Vorwurf im Raum, dass die HG Lab Truck die vom Land Tirol in Auftrag gegebenen PCR-Tests „nicht sach- und fachgerecht durchgeführt hätte bzw. zur Durchführung solcher Tests nicht qualifiziert und berechtigt gewesen sei“. Das Land hatte die Zusammenarbeit mit HG Lab Truck übrigens nach der ganzen Aufregung beendet. Die Firma kam nach einer Ausschreibung nicht mehr zum Zug.

Kritik von FPÖ und Neos

Scharfe Kritik kam von den Oppositionsparteien. Mit einem „unglaublich“ kommentierte etwa der Tiroler FPÖ-Landesparteiobmann Markus Abwerzger das Datenleck. Für ihn trage die schwarz-grüne Landesregierung eine massive Mitschuld, meinte Abwerzger, für den das Datenleck auch ein Fall für die Staatsanwaltschaft ist. „Zwar erfolgte die Vergabe an die Firma HG Lab Truck noch in der Amtszeit des ehemaligen ÖVP-Gesundheitslandesrates Dr. Bernhard Tilg, dennoch muss nun seine Nachfolgerin, Mag. Annette Leja, die Verantwortung dafür übernehmen“, so der FPÖ-Chef.

Die Neos forderten indes „lückenlose und rasche Aufklärung“. „Irgendwo ist hier gehörig geschlampt worden und es erstaunt mich jedes Mal aufs Neue, wie schlecht es immer noch um die Datensicherheit hierzulande bestellt ist“, kritisierte Digitalisierungssprecher Douglas Hoyos. Für den Tiroler Neos-Chef Dominik Oberhofer ist der „neuerliche Skandal“ wenig überraschend. „Ob Ausschreibung, Vergabe oder Auswertung: Schon von Beginn an hat hier nichts gepasst“, so Oberhofer.

Kommentare