Zwischen Datendiebstahl und Fahrlässigkeit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


06.10.2011 Edmund E. Lindau

Zwischen Datendiebstahl und Fahrlässigkeit

Was gemeinhin oft als »Hackerangriff« beschrieben wird, ist vielfach keiner. Aber auch "Schlampigkeit" kann strafbar werden.

Daten von GIS-Anmeldern, Mitgliedern eines Polizei-Vereines oder zuletzt den 600.000 Versicherten der Tiroler Gebietskrankenkasse, »Anonymus Austria« legt den Finger auf die Wunde des in Österreich allzu oft schlampigen Umgange mit sensiblen Daten. Der wirkliche Aufreger war eindeutig der »Datenklau« bei der Tiroler Gebietskrankenkasse (TGKK).

Für ARGE-Daten-Obmann Hans Zeger ein Musterbeispiel, wie mit relativ geringem finanziellen und personellen Aufwand, ein Vertrauensverlust zu vermeiden gewesen wäre: »Ein betrieblicher Datenschutzbeauftragter und ein ordentliches Sicherheitskonzept, in dem Datensparsamkeit eine zentrale Rolle eingeräumt wird, hätten diesen Vorfall leicht vermeiden helfen können. Bloß um in einigen wenigen Fällen überprüfen zu können, ob jemand mit vergessener E-Card noch versichert ist, werden die Daten von 600.000 Tirolern regelmäßig an zahlreiche Einrichtungen übermittelt. Wenn diese Rechtfertigung der TGKK stimmt, dann haben wir es wirklich mit einer Datenschutzverletzung zu tun.«

Nach Darstellung der Gruppe »Anonymous Austria« wurde der Zugang zu etwa 600.000 personenbezogenen Datensätzen der Tiroler Gebietskrankenkasse ermöglicht, indem diese im Internet praktisch öffentlich zugänglich waren. Eine Veröffentlichung durch die Gruppe selbst erfolgte bisher nicht und sei auch nicht geplant.

Welches Delikt ist das? »Was gemeinhin als »Hackerangriff« beschrieben wird, ist möglicherweise keiner«, so Zeger. »Hacken« in der Diktion des Strafrechts sei ein »Widerrechtlicher Zugriff auf ein Computersystem StGB § 118a« und setze das Überwinden von Sicherheitsmaßnahmen voraus. Fehlten diese, dann könne nicht von Hacken gesprochen werden. Seien Sicherheitsmaßnahmen nicht oder nur sehr mangelhaft gesetzt, könne man in Zegers Augen ebenfalls nicht von Hacken sprechen, eine Strafverfolgung sei demnach ausgeschlossen. »Bleibt als Resümee, dass sowohl die strafrechtliche, als auch die datenschutzrechtliche Ebene, insbesondere wenn es keine gezielte Veröffentlichung gibt, recht dünn ist. Eine Veröffentlichung wäre zwar eine Grundrechtsverletzung, aber ebenfalls im seltensten Fall strafrechtlich relevant.«

OPFER ODER TÄTER? Verantwortlich für die Geheimhaltung persönlicher Daten ist immer der Auftraggeber, in diesem Fall die TGKK. Hier würde zu prüfen sein, ob tatsächlich die nach § 14 DSG 2000 erforderlichen Sicherheitsmaßnahmen gesetzt wurden, oder ob diese grob missachtet wurden. Im Fall der Missachtung könnten Verwaltungsstrafen nach § 52 Abs. 2 bis zu 10.000 Euro verhängt werden.

Für Zeger problematisch sei auch die Rechtfertigung der TGKK: »Ein Versuch aus der Verantwortung zu entkommen, ist die Rechtfertigung der Tiroler Gebietskrankenkasse, dass ja nicht »ihre« Daten betroffen sind, sondern ein von ihnen beauftragter Dienstleister »Mist« gemacht hätte«, so Zeger. Hier seien die Bestimmungen des DSG 2000 eindeutig. Hans Zeger: »Verantwortlich für die rechtmäßige Verwendung von Daten ist immer der Auftraggeber. Ihn trifft die Verpflichtung gemäß §§ 10,11 DSG 2000 einen geeigneten Dienstleister auszuwählen, diesem geeignete Aufträge zu geben und die Umsetzung laufend zu überwachen.

Da es sich bei der TGKK um eine öffentlich-rechtliche Körperschaft handelt, ist im Falle der Verarbeitung sensibler Daten dieser Dienstleister der Datenschutzkommission zu melden. Provider, die eine Webseite hosten, auf der persönliche Daten rechtswidrig veröffentlicht werden, träfe nach dem E-Commerce-Gesetz (ECG) § 16 keine Haftung, solange sie nichts vom rechtswidrigen Inhalt wissen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr

Hosted by:    Security Monitoring by: