Klienteninfo Ausgabe 20 / März 2021

Inhalt:

 

07.03.2021

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Microsoft Exchange-Server gehackt - Mindestens 30.000 betroffene Organisationen in den USA - Viele Opfer auch in Europa

Besonders problematisch ist, dass auch die von Microsoft zur Verfügung gestellten Updates das Problem nur bedingt lösen: Die Hacker können sich mittlerweile als reguläre Benutzer in den befallenen Systemen anmelden. Gegenmaßnahmen sind für alle Nutzer des Microsoft-Exchange-Servers unerläßlich. Die Abhilfe ist aber in jedem Fall sehr aufwändig. Um einigermaßen sicher zu sein, dass sie erfolgreich ist, sollte man unbedingt IT-Sachverständige beiziehen.

Medienberichten zufolge stehen hinter den kriminellen Aktionen Gruppen, die die chinesische Regierung unterstützt.

Bei dem Angriff werden Daten in großem Umfang gestohlen. Die Opfer sind den verschiedensten Kategorien zuzuordnen: Behörden, medizinische Forschungsbetriebe, private Firmen, Nicht-Regierungsorganisationen (NGOs), sogar Einzelpersonen. Auch Europa ist zweifelsfrei stark betroffen, sagt das deutsche Bundesamt. Allerdings gibt es hier noch keine brauchbaren Schätzungen über den Umfang.

Quellen:

https://www.crn.com/news/security/microsoft-exchange-server-attacked-by-chinese-hackers
(2.3.2021)

https://www.derstandard.at/story/2000124613639/microsoft-schliesst-sicherheitsluecken-bei-exchange-software
(3.3.2021)

https://www.forbes.com/sites/daveywinder/2021/03/03/microsoft-issues-critical-update-warning-as-chinese-hackers-attack-exchange-servers/
(5.3.2021)

https://www.derstandard.at/story/2000124721918/chinesischer-hackerangriff-auf-exchange-server-traf-tausende-us-organisationen?ref=rss
(6.3.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Unbeabsichtigte Verletzungen des Datenschutzes - mit schwerwiegenden Folgen

Zum Thema "Verletzungen des Datenschutzes" haben wir bereits in der Klienteninfo Nr 11 ausführlich berichtet. Nicht oft genug kann wiederholt werden: Gerade im Gesundheitsbereich müssen die "technisch-organisatorischen Maßnahmen" (TOM) so gestaltet sein, dass unabsichtliche Fehler mit hoher Wahrscheinlichkeit entdeckt werden, bevor sie wirksam werden können.

Die italienische Datenschutzbehörde hat kürzlich drei Spitäler mit Bußgeldern belegt. Dort kam es irrtümlich bzw. aus Unachtsamkeit zu Datenschutzverletzungen. In einem Fall wurde der Befund zur Sexualgesundheit eines Paares postalisch an eine falsche Adresse verschickt. In einem anderen Fall wurden Patienten Unterlagen ausgefolgt, die auch inhaltliche Bezüge zu anderen Patienten enthielten - auch ein Kind war betroffen. In einem dritten Fall deponierte eine Patientin schriftlich ihren Wunsch, auch keine Familienangehörigen über ihren Gesundheitszustand zu informieren. In Unkenntnis der Patientenerklärung versuchte eine Krankenpflegerin über den Festnetztelefonanschluß der Familie die Patientin zu erreichen. Als sich nicht die Patientin selbst, sondern ein anderes Familienmitglied meldete, erklärte die Pflegerin am Telefon den Grund ihres Anrufes, wobei sie Details des Gesundheitszustands der Betroffenen bekanntgab.

In den ersten beiden Fällen verhängte die Datenschutzbehörde Strafen von je EUR 10.000. Im dritten Fall wurden EUR 50.000 für angemessen erachtet. Allfällige Schadenersatzforderungen der Betroffenen sind in diesen Summen nicht enthalten, über sie müßte vom Gericht gesondert entschieden werden.

Quelle:

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9544567
(19.2.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Biometrische Daten von Mitarbeitern: Verarbeitung nur mit gesetzlicher Grundlage

Zutrittskontrollen, Arbeitszeitaufzeichnungen, Dokumentation von medizinischer Behandlung: all das kann man auch mittels biometrischer Daten steuern. Iris-Scans, Handabdruckscans oder Fingerabdruckscans der Mitarbeiter kann man dazu einsetzen. Das ist aber nur die technische Sichtweise. Die Verarbeitung biometrischer Daten ist gem. Art. 6 DSGVO streng limitiert und in der Regel nicht zulässig. Rechtskonform hingegen ist die Ausgabe kostengünstiger RFID-Chips an die Mitarbeiter zur Identifizierung. Ebenso kommt das Prinzip der Zwei-Faktor-Authentifizierung in Betracht. Damit können Arbeitsprozesse gesteuert und dokumentiert werden, ohne sensible biometrische Daten einsetzen zu müssen.

Laut Medienberichten wurde ein Unternehmer in den Niederlanden mit einer EUR 750.000 Strafe belegt, weil er Fingerabdruckscans der Mitarbeiter verarbeitete. Geringer fiel die Strafe in Italien aus: Der Gesundheitsdienst der Provinz Enna (Sizilien) wurde mit EUR 30.000 bestraft, weil es für die Anwesenheitskontrolle der Mitarbeiter durch Fingerabdruck keine gesetzliche Grundlage gibt.

In Österreich waren es Vorwürfe der Arbeiterkammer (AK) gegen die Familie Plachutta als Arbeitgeber. Sie hätte, so die übereinstimmenden Meldungen, von den Mitarbeitern verlangt, die Arbeitszeitaufzeichnungen mittels Handabdruckscans zu bestätigen. Dafür fehlt die Rechtsgrundlage. Jedenfalls ist der Vorgang bei der österreichischen Datenschutzbehörde anhängig.

Die Gesundheitsverwaltung von Enna hat hingegen für die Anwesenheitskontrolle der Mitarbeiter eine aufwändige Methode gewählt, mit der sie die Vorgaben der DSGVO einzuhalten glaubte. Die Mitarbeiter hatten persönliche Badges, auf denen der Hashwert (ein eindeutiger Zahlenschlüssel) ihrer Fingerabdrücke gespeichert war. Bei Dienstbeginn wurden die Badges an ein Lesegerät gehalten und gleichzeitig der Finger auf einen Scanner gelegt. Das System verglich die beiden Hashwerte. Bei Übereinstimmung wurde der Mitarbeiter als anwesend geführt. Im Verfahren vor der Datenschutzbehörde wandte die Gesundheitsverwaltung ein, dass nicht die Scans, sondern nur die daraus errechneten Hashwerte gespeichert worden wären, und dies außerdem nur auf auf den Badges, die sich stets im Besitz und unter der ausschließlichen Aufsicht der jeweiligen Mitarbeiter befanden. Die Datenschutzbehörde hielt entgegen, dass die biometrischen Daten (Fingerabdrücke) sowohl für die Errechnung des Hashwertes auf den Badges, als auch für die tägliche Anwesenheitsregistrierung erhoben würden, wofür die Rechtsgrundlage fehlt. Das Interesse des Verantwortlichen überwiege in diesem Fall nämlich keineswegs die Schutzinteressen der Betroffenen. Und eine gesetzliche Grundlage sei nicht gegeben.

Quellen:

https://kurier.at/wirtschaft/plachutta-im-datenschutz-clinch-mit-der-arbeiterkammer/401126880
https://www.derstandard.at/story/2000122444575/handflaechenscan-als-unterschrift-ak-kritisiert-datenschutz-bei-plachutta
(12.12.2020)

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9542071
(14.1.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Datenschutz bei Kindern: Altersprüfung schwierig

Alle Websites, auf denen die Nutzer für eine beliebige Gegenleistung ihre Daten eingeben, müssen eine Altersprüfung garantieren. Die Datenschutzgrundverordnung (DSGVO) legt als Mindestalter für Vertragsabschlüsse im Internet - dazu gehört auch die Anlage eines Nutzerkontos - ein Alter von 13 Jahren fest. Die Mitgliedsländer dürfen aber dieses Schutzalter bis auf 16 Jahre hinaufsetzen (Österreich: 14 Jahre). Eine gute Übersicht, welche Altersgrenzen in welchen Ländern gelten, gibt eine Grafik, die u.a. auf der Datenschutzseite von Bruno Saetta zu finden ist.

Eine unglücklich verlaufene Mutprobe, die über TikTok "organisiert" wurde, führte Ende Jänner 2021 zum tragischen Tod eines zehnjährigen Mädchens in Palermo (IT). Die italienische Datenschutzbehörde untersuchte den Fall und entschied nach wenigen Tagen, TikTok für ganz Italien drei Wochen lang zu sperren. Ihr wichtigster Entscheidungsgrund: Die Altersprüfung bei der Anlage von Nutzerkonten war ungenügend. Unklar ist, ob dafür mittlerweile eine bessere Lösung eingesetzt wird.

Der spektakuläre Fall demonstriert u.a. drei Dinge:

  1. Die gesetzkonforme Altersprüfung ist extrem wichtig - unabhängig davon, ob auf einer Website Waren zum Kauf oder "lediglich kostenlos" Mitgliedschaften angeboten werden. Wird dieser Punkt vernachlässigt, drohen dem Verantwortlichen gravierende Konsequenzen.
  2. Die Anlage von Nutzerkonten mit verläßlicher Altersprüfung ist kaum realisierbar - sofern der Prozess ausschließlich automatisch abläuft. Das gilt für alle Social Media in gleicher Weise. Bei Einkaufsplattformen ist die Selektion durch die Bezahlfunktion weitgehend gewährleistet. In allen anderen Fällen empfiehlt sich zumindest ein halbautomatisches Verfahren, bei dem ein Operator die Altersprüfung kontrolliert.
  3. Kinder sollen frühzeitig die IT-Welt kennenlernen. Dabei müssen sie aber sehr verantwortungsvoll "begleitet" werden. Ihnen bloß das Mobiltelefon zu geben und sie damit ihrem Schicksal zu überlassen, ist falsch. Die Eltern spielen dabei als Vorbilder eine wesentliche Rolle, weil sie mit ihrem Verhalten die Kinder richtungsweisend beeinflussen.

Quellen:

https://orf.at/stories/3198574/
(22.1.2021)

https://www.diepresse.com/5926234/zehnjahrige-stirbt-nach-tiktok-challenge
(22.1.2021)

https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524194
(22.1.2021)

https://www.derstandard.at/story/2000123570082/nach-tod-von-zehnjaehriger-italien-sperrt-drei-wochen-lang-tiktokzugang
(25.1.2021)

https://protezionedatipersonali.it/minori-e-protezione-dati-personali
(17.2.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!