Eingelangt am 10.12.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Mag. Christian Drobits, Katharina Kucharowits,
Mag.a Dr.in Petra Oberrauner und GenossInnen

an den Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz

betreffend Corona-Massentests – Probleme beim Start der Anmeldeplattform www.österreich-testet.at

 

Am 15. 11. 2020 hat Bundeskanzler Kurz als Begleitung der Öffnung nach dem Lockdown am 7.12.2020 freiwillige Corona-Massentests im Dezember 2020 angekündigt. Diese Massen-Antigentests vor Weihnachten sollten zu einem „möglichst sicheren Weihnachtsfest“ beitragen; deren logistische Herausforderung sollte gemeinsam mit den Bundesländern, den Gemeinden und dem Bundesheer bewältigt werden.

Dem Ministerratsvortrag 39/11 betreffend „Teststrategie und Durchführung breit angelegter Testungen für die Bevölkerung“ vom 25.11.2020 ist zum geplanten Ablauf folgendes zu entnehmen, „Das Bundesheer übernimmt im Rahmen der Assistenz der Gesundheitsbehörden die organisatorische und logistische Abwicklung der Massentests. Das Bundesheer hat bereits die Abwicklung der Massentests in der Slowakei unterstützt und verfügt über operatives Know-How im Umgang mit überregionalen Sondereinsätzen. Das Gesundheitsministerium wird - in enger Abstimmung mit den Gesundheitsbehörden auf Länder- und Bezirksebene -mit umfassender medizinischer und epidemiologischen Kompetenz unterstützen und die erforderlichen gesundheitsbehördlichen Prozesse im Rahmen der Massentestung sicherstellen.“

Am 2.12.2020 ging die Anmeldeplattform für die freiwilligen Corona-Massentestungen www.österreich-testet.at online; bereits wenige Stunden später musste die Plattform wieder vom Netz genommen werden. Offensichtlich war es nicht möglich, sich für einen Test in der eigenen Heimatgemeinde anzumelden. Weiters konnte eine Person eine Teststraße für einen ganzen Tag buchen und damit völlig lahmlegen. Zuerst wurde über ein mögliches Datenleck berichtet, dann wurden die entstandenen Probleme laut der vom Gesundheitsministerium beauftragten A1-Tochter World Direct damit begründet, dass vergessen wurde, Testdaten zu löschen. Einen Tag später wurde das Datenleck bestätigt. (https://orf.at/stories/3192336/). Laut eigenen Aussagen von World Direct wurden knapp 800 Fälle an Dritte weitergegeben, während gleichzeitig dieses Datenleck als ungefährlich abgetan wurde, zumal es sich hier nicht um einen Hacker-Angriff gehandelt habe.

Die Anmeldeplattform läuft aber weiterhin unrund; Probleme mit der vom Bund zur Verfügung gestellten Software führen dazu, dass negativ getestete Personen verspätete oder keine Benachrichtigungen über ihr Testergebnis erhalten und aus Sicherheitsgründen mit Back-ups in Papierform gearbeitet werden musste.

 

Die unterzeichneten Abgeordneten stellen daher nachstehende

 

Anfrage:

1.   Ist es korrekt, dass die World-Direct eBusiness solutions GmbH mit der Erstellung und Implementierung der Anmeldeplattform für die Corona-Massentestungen beauftragt wurde? Welche Gründe gaben den Ausschlag für World-Direct eBusiness solutions GmbH?
Wann und durch wen ist die Beauftragung erfolgt?

2.   Wurden alternative Angebote für die Erstellung und Implementierung der Anmeldeplattform für die Corona-Massentestungen eingeholt? Wenn ja, welche alternativen Angebote wurden eingeholt und was waren deren Konditionen? Wenn nein, wieso nicht?

3.   War die zur Verfügung stehende Zeit aus Sicht Ihres Ressorts ausreichend, um eine stabile und sichere Anmeldeplattform für die freiwilligen Corona-Massentestungen beauftragen, erstellen und implementieren zu lassen? Wenn ja, wie viel Zeit stand dafür zur Verfügung? Wenn nein, warum nicht?

4.   Welches Kosten sind für und durch die Erstellung und Implementierung der Anmeldeplattform für die Corona-Massentestungen entstanden?

5.   Sind durch die bisher entstandenen Probleme und Fehler weitere Kosten entstanden? Wenn ja, in welcher Höhe?

6.   Anfänglich fehlte auf der Plattform www.österreich-testet.at auch das Impressum; das wurde erst am späten Nachmittag des 2.12.2020 behoben. Durch wen in Ihrem Ressort erfolgte die Endabnahme der Anmeldeplattform vor Freischaltung?

7.   Medienberichten zufolge kam es am 2.12.2020 wenige Stunden nach dem Start der Anmeldeseite zwischen 10.00 und 11.00 Uhr vorübergehend zu Ausfällen und längeren Ladezeiten. Grund dafür sei eine Cyberattacke gewesen, so eine Sprecherin des Gesundheitsministeriums zu futurezone. Ist es korrekt, dass am Vormittag des 2.12 eine DDos-Attacke (Überlastung des Servers mit einer Vielzahl von Anfragen) auf österreich-testet.at erfolgt ist?

a.   Wenn ja, wurden daraufhin die Schutzmaßnahmen erweitert?

b.   Wenn nein, warum nicht?

c.   Wenn nein, wie wurde der Überlastung entgegen gewirkt?

8.   Kärntner PädagogInnen sollen Zugriff auf Testtermine und Daten von fremden Personen in Wien erhalten haben. Ähnliche Fälle werden auch aus anderen Bundesländern gemeldet. So sollen durch ein Datenleck persönliche Daten von 800 Personen an Dritte weitergeleitet worden sein. Ist dies korrekt und konnte man das anhand von Logfiles schon nachvollziehen? Was war der Grund für dieses Problem? Welche Schritte wurden gesetzt, um die Sicherheit eingegebener Daten zu gewährleisten?

9.   Wie viele weitere solcher Fälle, in denen Daten an Dritte weitergegeben wurden, sind Ihnen bekannt? Handelte es sich bei den „entwischten Daten“ um reale Personendaten? Wurden die betroffenen Personen von der fehlerhaften Datenweitergabe an Dritte verständigt?

10.               Gab es bei der Konfiguration der E-Mail-Server im Bereich der Echtheitsprüfung Defizite? Welche konkreten Auswirkungen hatten diese Defizite, insbesondere bei Bestätigungsmails bei Nutzung von Google?

11.               Ist es weiterhin möglich, mit denselben Daten (Anmeldung) mehrfach für eine Untersuchung registriert zu werden?

 

12.               Sie haben in einem Interview für Puls24 am 3.12.2020 von einem guten und ermutigenden Start gesprochen und im Übrigen auf die Verantwortung des IT-Dienstleisters für die entstandenen Probleme sowie auf eine Meldung an die Datenschutzbehörde hingewiesen. Warum wurde eine Meldung nach Art 33 DSGVO eingebracht? Was wurde der Datenschutzbehörde konkret gemeldet? Wurde auch die Datenschutzerklärung an die Datenschutzbehörde zwecks Überprüfung der Richtigkeit und Vollständigkeit der Bestimmungen übermittelt?

13.               Was ist mit der Plattform www.österreich-testet.at nach dem Ende der Massentests geplant? Werden alle erhobenen Personendaten nach Ende der Testungen gelöscht? Wenn ja, in welchem Zeitraum? Wenn nein, warum nicht?