Eine neu entdeckte Lücke in der Datensicherheit von Corona-Testzentren zeigt Mängel in der Testverordnung, berichtet sueddeutsche.de. Der Fall Coronapoint sei der bisher gravierendste in einer Reihe von Datenpannen, wie SZ und WDR vom IT-Sicherheitskollektiv "Zerforschung" erfahren hätten. Knapp 174 000 Buchungsbestätigungen seien teils mit Testergebnissen abrufbar. Es gebe Zehntausende Betroffene. Die Aktivisten hätten zwar die zuständigen Behörden informiert, geschlossen worden sei die Datenlücke jedoch erst nach mehreren Hinweisen von "Zerforschung".
Besonders gravierend sei der Fall Coronapoint, weil neben sensiblen Gesundheitsdaten auch Ausweisnummern betroffen seien. "Kriminelle können damit erheblichen finanziellen Schaden verursachen", habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschrieben. Der Landesbeauftragte für Datenschutz in Baden-Württemberg, Stefan Brink, sehe Identitätsdiebstahl als größtes Risiko. Testzentren wären daher ein lohnendes Ziel für Hacker. Ob es in diesem Fall unerlaubte Zugriffe gegeben habe, sei nicht klar.
Generell werde der Schutz der sensiblen Daten in den Testverordnungen von Bund und Ländern nicht berücksichtigt. Auch würden die zuständigen Behörden von der Eröffnung von Testzentren nicht benachrichtigt. Sonst, so Brink, hätten sie zumindest Hinweise zur Datensicherung geben können. Schon die Erhebung von Ausweisdaten, wenn sie nicht notwendig sei, habe Brink als "klaren datenschutzrechtlichen Verstoß" und "unverhältnismäßiges Risiko" bezeichnet. Das Missbrauchsrisiko steige zudem, weil die IT-Systeme oft laienhaft geschützt seien. Systematische Kontrollen gebe es aber keine, weil Ressourcen fehlten. Die Behörden seien auf das Engagement von Aktivisten angewiesen.
Was mit den Millionen sensibler Daten geschehe, wenn sich die betreffenden Unternehmen irgendwann wieder auflösen, sei ebenfalls unklar. Gefährliche Szenarien würden von der unsachgemäßen Entsorgung von Speichergeräten bis zur gezielten Veräußerung der Daten reichen: "Wer von der Insolvenz bedroht ist, für den kann das lukrativ sein", wird Brink weiter zitiert. Datenschützer hätten sich ob dieser Gefahren alarmiert gezeigt, doch politisch fehle eine klare Zuständigkeit.