© Gregor Gruber

Heftige Kritik
09/28/2011

Datenlecks: „In Österreich liegt viel im Argen“

Nachdem sich Anonymous eine Datei mit über 600.000 Datensätzen der Tiroler Gebietskrankenkasse aneignen konnte, ist die Kritik am fahrlässigen Umgang mit sensiblen Daten groß. „In Österreich liegt leider viel im Argen“, kritisiert Datenschützer Hans Zeger von der Arge Daten. Er fordert eine Zulassungsprüfung für IT-Systeme . Für mangelnde Sicherheitsvorkehrungen sieht das österreichische Datenschutzgesetz kaum Sanktionen vor.

Einmal mehr sorgen die Netzaktivisten von Anonymous für Aufruhr. Da sie im Gegensatz zur vorangegangen

bisher keine sensiblen Daten veröffentlicht haben und zudem
, die Daten ohne echten Hack im Web gefunden zu haben, entlädt sich der Großteil der Kritik am laxen Umgang von Behörden und Firmen mit sensiblen Daten. „Immer wieder weisen wir darauf hin, dass viele Systeme nicht einmal die Minimalanforderungen beim Thema Sicherheit beachten. Das ist im Grunde fahrlässig“, so Zeger.

Nach dem Datenschutzgesetz  (Paragraf 14) sind private Unternehmen und öffentliche Rechtsträger verpflichtet, Maßnahmen zur Gewährung der Datensicherheit zu treffen. Dabei sei sicherzustellen, dass die Verwendung der Daten ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind, heißt es im Gesetzestext. Sanktionen haben sie aber kaum zu befürchten. Im Fall der Daten der TGKK hätte etwa die Datenschutzkommission (DSK) lediglich die Möglichkeit, der Gebietskrankenkasse zu empfehlen, die Datensicherheit zu erhöhen, sagte Eva Souhrada-Kirchmayer, geschäftsführendes Mitglied der DSK, zur futurezone.

Im schlimmsten Fall droht der Krankenkasse eine Verwaltungsstrafe von 10.000 Euro, wenn sich herausstellen sollte, dass "erforderliche Sicherheitsmaßnahmen" außer Acht gelassen wurden. Dafür sei jedoch die Bezirksverwaltungsbehörde zuständig, so Souhrada-Kirchmayer.

"Strafzuständigkeiten absurd"
Die Strafzuständigkeiten in Österreich seien absurd, meint Zeger:  „Bei uns ist der Strafreferent der Bezirkshauptmannschaften zuständig, der sich normalerweise etwa mit Verstößen wie dem unsachgemäßen Aufbringen von Jauche auf Feldern beschäftigt. Das ist völlig unmöglich, dass diese Stellen beurteilen können, ob ein IT-System sicher ist oder nicht." Seit Jahren fordere die Arge Daten deshalb eine zentrale Stelle zum Ahnden derartiger Delikte.

Sicherheits-Pickerl für IT-Systeme
Vom Grundsatz her seien die Datenschutzbestimmungen in Österreich und der EU ausreichend, die großen Defizite ortet Zeger aber in der Umsetzung. „Jedes Auto muss vor der Zulassung geprüft werden. Bei IT-Abteilungen, die für den Schutz von sensiblen Daten zuständig sind, kann eigentlich jeder machen, was er will“, kritisiert Zeger. Die Arge Daten fordere deshalb sein Jahren ein vergleichbares Audit-Verfahren, um minimale Datenschutzerfordernisse gewährleisten zu können. Auch ein verpflichtender Datenschutzbeauftragte für Behörden, Organisationen und große Firmen sei eine Option.

Ein solches Verfahren wird in der EU bereits angedacht. Die EU-Kommission prüft Mechanismen, die Unternehmen und Institutionen bescheinigen sollen, dass die notwendigen Sicherheitsvorkehrung getroffen wurden. "Die Auftraggeber sollen in die Pflicht genommen werden", sagt Souhrada-Kirchmayer. Daneben könnte die Datensicherheit auch durch die Erhöhung der Strafen verbessert werden, so die DSK-Geschäftsführerin. Das sei jedoch Sache der Politik.

"Cyber-Cops gehen an Realität vorbei"
Ungeachtet der umstrittenen Vorgangsweise von Anonymous hält Zeger wenig davon, diese Vorkomnisse quasi als „Terrorangriffe“ auf die Gesellschaft kleinzureden. „Natürlich kann man zwei, drei Leute ausforschen. Aber das löst das Problem der Schwachstellen keineswegs. Man fragt sich schon, ob die vom Innenministerium angekündigten Cyber-Units, Cyber-Cops oder eine Cyber-Matrix hier nicht völlig an der Realität vorbeigehen“, meint Zeger im futurezone-Gespräch.

Neue Diskussion um ELGA erwartet
Für die Umsetzung der in der Zielgerade stehenden Elektronischen Gesundheitsakte (ELGA), über die Gesundheitsdaten der österreichischen Bürger zentral vernetzt werden sollen, ist das Datenleck ebenfalls keine gute Nachricht. „Der Vorfall zeigt leider, dass die schlimmsten Befürchtungen Realität werden können, zumal ELGA als zentrales Netzwerk von Gesundheitsdaten  mit einer extrem undurchsichtigen Zugangs- und Bereichtigungsstruktur geplant ist“, sieht sich auch Zeger in seinen Vorbehalten bestätigt. Anders als beim „jetzigen Fingerzeig“ fürchtet Zeger, dass komplette Gesundsheitsakte einzelner Personen unter der Hand bei Arbeitgebern, Versicherungen oder Banken landen könnten.

Mehr zum Thema