Eingelangt am 11.12.2020
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Douglas Hoyos-Trauttmansdorff, Kolleginnen und Kollegen

an den Bundesminister für Soziales‚ Gesundheit‚ Pflege und Konsumentenschutz

betreffend Österreich testet

 

Im Zuge der COVID-19-Massentests wurde die Website "österreich-testet.at" erstellt. Auf diesem Portal ist seit 2. Dezember die Anmeldung zu einem Schnellest in Wien, Kärnten, Oberösterreich, in der Steiermark und im Burgenland möglich. Nederösterreich, Salzburg und die Stadt Linz verwenden eigene Anmeldeportale.

Am ersten Anmeldetag fiel das Portal allerdings hauptsächlich aufgrund negativer Schlagzeilen auf. Bereits am Vormittag wurde die Website Ziel eines Cyberangriffs. Wenige Stunden später wurden diverse Datenprobleme bekannt. So sollen Personen unter anderem Daten von Fremden angezeigt worden sein, E-Mail-Adressen seien verschwunden, eine Person konnte eine Teststraße für einen ganzen Tag buchen und Kärntner Pädagog_innen hätten Testtermine und Daten von fremden Personen in Wien erhalten. Die Website wurde schließlich "wegen Wartungsarbeiten" und "Datenleckgefahr" vorübergehend offline genommen. Dass es tatsächlich zu einem Datenleck gekommen war, wurde von einer Sprecherin des Gesundheitsministeriums zu diesem Zeitpunkt noch dementiert. Tags darauf wurde allerdings bekannt, dass in 800 Fällen Daten inklusive Telefonnummern fehlerhaft an Dritte weitergeleitet wurden. Die Datenschutzbehörde sei über den Vorfall informiert worden.

Zudem machten Nutzer_innen auf Twitter darauf aufmerksam, dass das Impressum auf der Website fehle. Laut Aussagen der Ministeriumssprecherin am 2. Dezember sollte das Impressum "bald" nachgereicht werden.

Als Grund für die Fehler der Website wurde von den Entwickler_innen Zeitdruck genannt.

https://futurezone.at/digital-life/ddos-attacke-auf-anmeldeseite-fuer-corona-massentests/401116902

Die unterfertigten Abgeordneten stellen daher folgende

Anfrage:

1.    Wer wurde mit der Erstellung der Website beauftragt?

a.    Wann erfolgte diese Beauftragung?

                                      i.Wie viel Zeit blieb den Entwickler_innen somit für die Realisierung der Website von der Beauftragung bis zum Launch?

b.    Bitte um Übermittlung der konkreten Anforderungen, die die Website erfüllen sollte.

c.    Erbrachten diese Unternehmen im Zuge der Coronakrise auch andere Leistungen für das BMSGPK? Welche und zu welchen Konditionen?

2.    Wurden die Leistungen von den Vertragspartnern selbst erbracht oder wurden weitere Subauftragnehmer_innen mit der Erstellung der Plattform beauftragt?

a.    Wenn ja: welche Unternehmen waren das?

                                      i.Welche konkreten Leistungen wurden erbracht und welche Gegenleistung wurde vereinbart?

                                    ii.Nach welchen Kriterien wurden diese Subunternehmen ausgewählt?

b.    Wurde die Beauftragung von Subunternehmen vertraglich ausgeschlossen?

                                      i.Wenn nein, warum nicht?

3.    Kosten in welcher Höhe fielen für die Entwicklung der Website an?

a.    Für welche Leistungen fielen diese Kosten konkret an?

4.    Kosten in welcher Höhe fallen für den laufenden Betrieb der Website an?

5.    Wird der Betrieb der Website nach den Massentests eingestellt oder wird die Website wiederverwendet, etwa für die Anmeldung zu den geplanten COVID-Impfungen?

6.    Wurde die Plattform vor dem Launch getestet?

a.    Wenn ja, von wem?

b.    Wann fand diese Testung statt?

c.    Welche Komponenten wurden getestet?

d.    Welche Ergebnisse lieferte diese Testung?

e.    Wenn nein, warum nicht?

7.    Welche Features zur Gewährleistung der Datensicherheit wurden im Zuge der Entwicklung der Website implementiert?

a.    Warum konnten diese Datenprobleme trotzdem auftreten? Welche Fehler wurden bei der Entwicklung der Website gemacht?

8.    Welcher Natur waren die medial dargestellten Datenprobleme konkret?

a.    Wie viele Nutzer_innen waren insgesamt betroffen?

b.    Welche Daten dieser Nutzer_innen waren betroffen?

c.    Wurden diese Nutzer_innen über die Datenprobleme informiert?

d.    Wurden diese Nutzer_innen informiert, welche ihrer Daten konkret betroffen waren?

e.    Wurden diese Nutzer_innen darüber in Kenntnis gesetzt, welche rechtlichen Schritte ihnen nun offenstehen?

9.    Welche Schritte wurden nach Bekanntwerden des Datenlecks gesetzt, um die Datensicherheit zu gewährleisten?

a.    Wann wurden diese Schritte gesetzt?

b.    Welche Kosten fielen dafür an?

10. Warum wurde das Auftreten dieses Datenlecks am 2. Dezember vonseiten des BMSGPK dementiert?

11. Auf der Website wird ein Google ReCAPTCHA Plug-In verwendet, das zur Datenschutzerklärung von Google-Diensten verlinkt.

a.    Welche weiteren Google-Dienste (oder ähnliche Analyseinstrumente) werden auf der Website verwendet?

12. Warum wurde das gesetzliche vorgeschriebene Impressum nachgereicht und nicht zum Launch der Website bereitgestellt?