Klienteninfo Ausgabe 35 / Februar 2023

Inhalt:

 

01.02.2023

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Krankenkassen: Illegales Profiling - Betrafung

Drei friulanische Krankenversicherungen hatten rechtswidrige Algorithmen im Einsatz, die das Komplikationsrisiko von Versicherten nach COVID-Erkrankungen ermittelten. Nach der Anzeige durch einen Arzt wurden die Versicherungen von der Datenschutzbehörde wegen Verletzung der Art. 5 Abs. 1 Ziff a) sowie Art 9, 14 und 35 bestraft.

Die Entscheidung führt vor Augen, dass die Auswertung von Kundendaten im Sinne des "Profilings" nur unter Einhaltung strenger Regeln erfolgen darf. Insbesondere wenn bei der Auswertung "sensible Daten" entstehen, wie etwa die Zuschreibungen sexueller Orientierungen, von Parteipräferenzen, Gesundheitsaspekten etc., ist eine vorherige Anonymisierung der Daten nahezu unerläßlich. Die Rückführbarkeit des Ergebnisses auf eine konkrete Person ist nur unter Beobachtung aller gravierenden Einschränkungen der DSGVO zulässig.

Quelle:

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9844989
(15.12.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Freie Bahn für Identitätsdiebstahl

Langsam muss man sich Sorgen machen:

  • Die Kontodaten von rund 500 Millionen Nutzern von WhatsApp wurden gestohlen.
  • Hacker kauften eine achtlos weggeworfene Festplatte des US-Militärs mit zahllosen Iris-Scans von Einzelpersonen.
  • Ein IT-Unternehmen hatte einen Auftrag der GIS, ging aber mit den Daten so unvorsichtig um, dass Name, Geburtsdatum, Adresse und viele andere Merkmale von 9 Millionen Österreichern frei verfügbar im Netz landeten.

Der mögliche Schaden für jeden Einzelnen von uns ist nicht abschätzbar. Speziell im Fall der GIS dürften den Verantwortlichen aber keine strafrechtlichen Konsequenzen drohen. Sie haben wahrscheinlich alle gesetzlichen Verpflichtungen erfüllt und nach Entdeckung des Datenverlustes allen vorgesehenen Meldevorschriften entsprochen. Die Betroffenen - also wir alle - wurden durch eine Pressemeldung kurz, schmerzlos und nahezu unbemerkt vom Skandal informiert. Damit ist der Fall für die Strafverfolgungsbehörden offenbar erledigt, denn die GIS kann sich auf den gesetzlichen Auftrag berufen, mit allen zu Gebote stehenden Mitteln die ORF-Gebühren einzutreiben und die ihr erforderlich scheinenden Daten zu ermitteln.

Sicherlich nicht erledigt ist die Haftungsfrage. Sollte jemand in Österreich durch das anscheinend unprofessionelle Vorgehen der GIS oder ihres Auftragnehmers zu Schaden gekommen sein bzw. dieser Schaden künftig eintreten, kann der Geschädigte versuchen, ihn gerichtlich geltend zu machen. Ein Oberösterreicher ist diesbezüglich bereits tätig geworden. Und das könnte für die GIS, zumindest aber für ihren Auftragnehmer sehr teuer werden.

 

Quellen:

WhatsApp: 500 Millionen Datensätze gestohlen
https://www.derstandard.at/story/2000141200474/whatsapp-leak-rund-500-millionen-datensaetze-gestohlen-auch-oesterreichische-betroffen
(25.11.2022)

Freie Bahn für Identitätsdiebstahl
https://www.derstandard.at/story/2000142108911/hacker-kauften-militaerdatenbank-voll-mit-fingerabdruecken-und-iris-scans-auf
(27.12.2022)

Diebstahl von GIS-Daten - Schwachstelle Mensch?
https://www.derstandard.at/story/2000142956233/diebstahl-von-gis-meldedaten-schwachstelle-mensch
(26.1.2023)

Keine Konsequenzen aus dem Diebstahl der GIS-Daten
https://www.derstandard.at/story/2000142955237/was-der-verlust-von-neun-millionen-datensaetzen-der-gis-bedeutet
(26.1.2023)

Schadenersatzforderung gegen GIS
https://www.derstandard.at/story/2000143093168/oberoesterreicher-will-schadenersatz-wegen-gis-datendiebstahl
(31.1.2023)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Lieber nicht mit WhatsApp!

Das wird auch für Europa Folgen haben: Die US-Bank Morgan Stanley wurde (gemeinsam mit anderen US-Banken) von den US-Behörden mit einer Geldstrafe belegt, weil die Mitarbeiter WhatsApp zur Kommunikation mit den Kunden verwendeten. Morgan Stanley wollte für die Geldstrafe nicht aufkommen und kassierte das Geld von den Mitarbeitern.

Die Sanktionierung der Banken in den USA erfolgte allerdings nicht, weil WhatsApp in den Augen der Behörden ein unsicherer Kommunikationskanal wäre. Die US-Finanzbehörde SEC sieht deswegen einen Regelverstoß, weil Banken zur vollständigen Archivierung ihrer Kommunikation verpflichtet sind. Das ist natürlich bei WhatsApp nicht der Fall.

Auch europäische Unternehmen werden sich an Mitarbeitern schadlos halten, deren mangelnde Compliance zu einer Bestrafung des Unternehmens führt. Wer WhatsApp auf einem Mobiltelefon installiert hat, das er beruflich verwendet, risikiert, dass sein Unternehmen zur Verantwortung gezogen wird: WhatsApp ist in der EU eine zumindest im geschäftlichen Umfeld unerlaubte Datenverarbeitung. Da sind Schadenersatzforderungen des Unternehmens gegenüber den Mitarbeitern sehr wahrscheinlich. Wer also glaubt, WhatsApp unbedingt verwenden zu müssen, sollte dies nur auf Geräten tun, die er ausschließlich privat verwendet. Wie bei allen problematischen Softwaresystemen gilt allerdings auch für WhatsApp, dass es genügend andere, vollkommen gleichwertige Messenger gibt, die absolut rechtskonform sind.

Quelle:

https://www.derstandard.at/story/2000142975919/bankangestellte-muessen-wegen-geschaeftlicher-whatsapp-nutzung-zahlen
(27.1.2023)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Nicht mehr versicherbar

Die Versicherungen zeigen deutliche Neigung, Schäden aus Hackerangriffen finanziell nur mehr teilweise abzudecken. Zu groß werden die Beträge, die aufzuwenden sind. Mario Greco, Vorstandschef von Zurich Insurance, wies kürzlich darauf hin, dass er das Ende von "Rundum-sorglos-Paketen" der Versicherungen kommen sieht.

In der Praxis heißt das, dass jedes Unternehmen noch stärker auf die Sicherheit seiner IT achten muss. Vorleistungen des Versicherten zur Senkung des Risikos werden mit Sicherheit in die Prämiengestaltung und ganz generell in den Versicherungsvertrag einfließen. Sorglosigkeit wird mindestens zu deutlich höheren Prämien und zu einem beachtlichen Selbstbehalt im Schadensfall führen. Nicht auszuschließen ist, dass in ausgewählten Fällen sogar einzelne Unternehmen ihre IT-Risiken nicht mehr versichern lassen können.

Quelle:

https://orf.at/#/stories/3299095/
(26.12.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

MS-Office 365 - erlaubt oder verboten?

Seit Jahren führt Microsoft eine Kampagne für seine Cloudlösung Office 365. Spätestens seit 2018 diskutieren europäische Datenschützer, ob die Verwendung dieses Tools den Rechtsvororschriften hinsichtlich der Datensicherheit entspricht. Auch intensive Versuche, mit Hilfe von Microsoft Licht ins Dunkel zu bringen, sind bisher gescheitert.

Tatsächlich ist Office 365 ein Werkzeug, das viele Anforderungen der Büroalltags abdeckt. Wären da bloß nicht ein paar bedenkliche "Kleinigkeiten":

  • Microsoft ist als US-amerikanisches Unternehmen nach den US-Gesetzen zur Herausgabe personenbezogener Daten an die Geheimdienste verpflichtet, wenn diese die Daten anfordern. Dass Daten von Europäern auf Servern in Europa verarbeitet werden, ändert daran nichts. Allein dieser Umstand verbietet die Nutzung von MS-Office 365 in Europa.
  • Microsoft konnte oder wollte bisher gegenüber keiner europäischen Behörde die begründeten Zweifel ausräumen, dass das System höchstwahrscheinlich deutlich mehr Daten der Nutzer heimlich sammelt, als betriebsnotwendig wären. Dies widerspricht dem Art. 5 der DSGVO und verbietet den Einsatz des Werkzeugs.
  • Microsoft hat keine hinreichend klaren Aussagen darüber gemacht, zu welchem Zweck personenbezogene Daten gesammelt werden und an wen allenfalls auch Daten weitergegeben werden. Auch dies stellt bereits für sich genommen einen schweren Verstoß gegen geltendes Recht dar.

In allen Marketing-Papers freilich verspricht Microsoft - ohne das näher zu belegen und auf die geäußerten Bedenken einzugehen - die Einhaltung von Recht und Gesetz. Das österreichische Unterrichtsministerium stellt sich seit Jahren auf den bequemen Standpunkt, dass die Versprechungen von Microsoft doch beweisen würden, dass alles mit rechten Dingen zugehe. Die Schulen werden mit dem ungelösten Problem und allfälligen Haftungsfragen alleine gelassen. Mehrere deutsche Bundesländer hingegen haben wegen der unklaren Situation die Verwendung von Office 365 kurzerhand untersagt. Wozu noch zu sagen ist: Selbstverständlich ist es falsch, dass für die MS-Office-Anwendungen kein rechtskonformer (z.B. "open-source") Ersatz existiert. Dies wird aber von Microsoft und seinen Anhängern laufend behauptet.

Der Vorschlag von Ideato lautet: Gerade wenn Sie sensible Daten (DSGVO Art. 9 Abs. 1) verarbeiten, dazu gehören u.a. auch Gesundheitsdaten, biometrische Daten und genetische Daten, lohnt sich der einmalige Aufwand, einen geeigneten Ersatz für MS-Office 365 auszuwählen und zu implementieren. Im Fall des Falles können nämlich - abgesehen von der strafrechtlichen Komponente - die Schadenersatzforderungen ruinös sein. Sie stehen in keinem Verhältnis zur Bequemlichkeit, die mit der kritiklosen Verwendung des Microsoft-Tools verbunden ist.

Quellen:

https://www.faz.net/aktuell/wirtschaft/digitec/microsoft-365-so-geht-das-mit-dem-datenschutz-nicht-weiter-18526757.html
(13.12.2022)

https://www.golem.de/news/datenschutz-und-microsoft-365-die-verantwortung-fuer-den-datenschutz-liegt-bei-den-firmen-2212-170212.html
(6.12.2022)

https://www.br.de/nachrichten/netzwelt/niemand-entscheidet-ob-microsoft-office-an-schulen-legal-ist,TOasDmm
(29.11.2022)

https://linux-bildung.at/2022/11/datenschutzkonferenz-ms-365-ist-datenschutzwidrig/
(25.11.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!