zur Navigation zum Inhalt
Foto: Georg Lembergh
Dr. Hans G. Zeger Obmann der „ARGE DATEN – Österreichische Gesellschaft für Datenschutz“, Mitglied des Datenschutzrates im Bundeskanzleramt
 
Standpunkte 11. Oktober 2011

Es ist zweifelhaft, ob die Praxis der TGKK rechtlich zulässig ist.

Ob die Darstellung von Anonymous der Wahrheit entspricht, kann nicht festgestellt werden, plausibel ist sie aber. Abgesehen von möglichen Tätern trägt die TGKK Verantwortung. Der Datenverarbeiter muss die Sicherheit seiner IT-Systeme gewährleisten. Gerechtfertigt wurde der „frei verfügbare“ Datenbestand mit der Notwendigkeit, bei vergessenen e-cards durch Rettungseinrichtungen prüfen zu können, ob jemand versichert ist.

Dazu wurde regelmäßig der komplette Versicherungsbestand übermittelt. Datenschutzkonform dürfen aber nur Daten im absolut notwendigen Mindestmaß verwendet werden. Im konkreten Fall hätte eine Direktabfrage im e-card-System erfolgen können, wie der e-card-Betreiber SVC bestätigte. Damit ist zweifelhaft, ob die langjährige Praxis der TGKK rechtlich zulässig ist. Es müsste geprüft werden, ob eine Übertretung des § 52 DSG 2000 – Übermittlung unter Verletzung des Datengeheimnisses – vorliegt.

Selbst bei Annahme einer rechtmäßigen Übermittlung müssten Sicherheitsmaßnahmen gemäß § 14 DSG 2000 ergriffen werden, etwa Verschlüsselung der Daten und des Übertragungsweges. Diese Maßnahmen wurden offenbar vernachlässigt. Damit könnte eine grobe Vernachlässigung von Sicherheitsmaßnahmen vorliegen, ebenfalls eine nach § 52 zu ahndende Straftat.

Weiters hat die TGKK alle Betroffenen zu verständigen und haftet für mögliche Folgeschäden. Viele Internet-Transaktionen gehen vom Wissen bestimmter Merkmale aus. Wer die Sozialversicherungsnummer kennt, eine Vertrags- oder Kontonummer, der wird in der Regel als berechtigter Inhaber akzeptiert und kann Bestellungen durchführen, Auskünfte einholen oder Zahlungen tätigen. Einem Geschädigten kann es schwer fallen, zu beweisen, dass nicht er aktiv war, sondern jemand in seine Identität schlüpfte.

So unangenehm der Vorfall für alle Versicherten ist, kann doch eine zentrale Lehre daraus gezogen werden. Als besondere Schwachstelle erweisen sich nicht die zentralen Einrichtungen selbst, sondern daraus abgeleitete Datendienste. Aus Bequemlichkeits- oder Kostengründen werden ganze Datenbestände exportiert, ohne besondere Sicherungsmaßnahmen per E-Mail verschickt, auf Web-Servern, Notebooks oder USB-Sticks unverschlüsselt kopiert und weiter verarbeitet.

Längst hat sich neben der offiziellen, halbwegs gesicherten Informationsverarbeitung eine Art Schatten-EDV etabliert, in der inoffizielle Kopien vertraulicher Daten von einer Dienststelle zur nächsten, von einem Referenten zum nächsten wandern und dabei irgendwann in falsche Hände geraten.

Zu diesem Thema wurden noch keine Kommentare abgegeben.

Mehr zum Thema

<< Seite 1 >>

Medizin heute

Aktuelle Printausgaben