01.02.2023
Drei friulanische Krankenversicherungen hatten rechtswidrige Algorithmen im Einsatz, die das Komplikationsrisiko von Versicherten nach COVID-Erkrankungen ermittelten. Nach der Anzeige durch einen Arzt wurden die Versicherungen von der Datenschutzbehörde wegen Verletzung der Art. 5 Abs. 1 Ziff a) sowie Art 9, 14 und 35 bestraft.
Die Entscheidung führt vor Augen, dass die Auswertung von Kundendaten im Sinne des "Profilings" nur unter Einhaltung strenger Regeln erfolgen darf. Insbesondere wenn bei der Auswertung "sensible Daten" entstehen, wie etwa die Zuschreibungen sexueller Orientierungen, von Parteipräferenzen, Gesundheitsaspekten etc., ist eine vorherige Anonymisierung der Daten nahezu unerläßlich. Die Rückführbarkeit des Ergebnisses auf eine konkrete Person ist nur unter Beobachtung aller gravierenden Einschränkungen der DSGVO zulässig.
Quelle:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9844989(15.12.2022)
Langsam muss man sich Sorgen machen:
Der mögliche Schaden für jeden Einzelnen von uns ist nicht abschätzbar. Speziell im Fall der GIS dürften den Verantwortlichen aber keine strafrechtlichen Konsequenzen drohen. Sie haben wahrscheinlich alle gesetzlichen Verpflichtungen erfüllt und nach Entdeckung des Datenverlustes allen vorgesehenen Meldevorschriften entsprochen. Die Betroffenen - also wir alle - wurden durch eine Pressemeldung kurz, schmerzlos und nahezu unbemerkt vom Skandal informiert. Damit ist der Fall für die Strafverfolgungsbehörden offenbar erledigt, denn die GIS kann sich auf den gesetzlichen Auftrag berufen, mit allen zu Gebote stehenden Mitteln die ORF-Gebühren einzutreiben und die ihr erforderlich scheinenden Daten zu ermitteln.
Sicherlich nicht erledigt ist die Haftungsfrage. Sollte jemand in Österreich durch das anscheinend unprofessionelle Vorgehen der GIS oder ihres Auftragnehmers zu Schaden gekommen sein bzw. dieser Schaden künftig eintreten, kann der Geschädigte versuchen, ihn gerichtlich geltend zu machen. Ein Oberösterreicher ist diesbezüglich bereits tätig geworden. Und das könnte für die GIS, zumindest aber für ihren Auftragnehmer sehr teuer werden.
Quellen:
WhatsApp: 500 Millionen Datensätze gestohlen
https://www.derstandard.at/story/2000141200474/whatsapp-leak-rund-500-millionen-datensaetze-gestohlen-auch-oesterreichische-betroffen(25.11.2022)
Freie Bahn für Identitätsdiebstahlhttps://www.derstandard.at/story/2000142108911/hacker-kauften-militaerdatenbank-voll-mit-fingerabdruecken-und-iris-scans-auf(27.12.2022)
Diebstahl von GIS-Daten - Schwachstelle Mensch?https://www.derstandard.at/story/2000142956233/diebstahl-von-gis-meldedaten-schwachstelle-mensch(26.1.2023)
Keine Konsequenzen aus dem Diebstahl der GIS-Datenhttps://www.derstandard.at/story/2000142955237/was-der-verlust-von-neun-millionen-datensaetzen-der-gis-bedeutet(26.1.2023)
Schadenersatzforderung gegen GIShttps://www.derstandard.at/story/2000143093168/oberoesterreicher-will-schadenersatz-wegen-gis-datendiebstahl(31.1.2023)
Das wird auch für Europa Folgen haben: Die US-Bank Morgan Stanley wurde (gemeinsam mit anderen US-Banken) von den US-Behörden mit einer Geldstrafe belegt, weil die Mitarbeiter WhatsApp zur Kommunikation mit den Kunden verwendeten. Morgan Stanley wollte für die Geldstrafe nicht aufkommen und kassierte das Geld von den Mitarbeitern.
Die Sanktionierung der Banken in den USA erfolgte allerdings nicht, weil WhatsApp in den Augen der Behörden ein unsicherer Kommunikationskanal wäre. Die US-Finanzbehörde SEC sieht deswegen einen Regelverstoß, weil Banken zur vollständigen Archivierung ihrer Kommunikation verpflichtet sind. Das ist natürlich bei WhatsApp nicht der Fall.
Auch europäische Unternehmen werden sich an Mitarbeitern schadlos halten, deren mangelnde Compliance zu einer Bestrafung des Unternehmens führt. Wer WhatsApp auf einem Mobiltelefon installiert hat, das er beruflich verwendet, risikiert, dass sein Unternehmen zur Verantwortung gezogen wird: WhatsApp ist in der EU eine zumindest im geschäftlichen Umfeld unerlaubte Datenverarbeitung. Da sind Schadenersatzforderungen des Unternehmens gegenüber den Mitarbeitern sehr wahrscheinlich. Wer also glaubt, WhatsApp unbedingt verwenden zu müssen, sollte dies nur auf Geräten tun, die er ausschließlich privat verwendet. Wie bei allen problematischen Softwaresystemen gilt allerdings auch für WhatsApp, dass es genügend andere, vollkommen gleichwertige Messenger gibt, die absolut rechtskonform sind.
Quelle:
https://www.derstandard.at/story/2000142975919/bankangestellte-muessen-wegen-geschaeftlicher-whatsapp-nutzung-zahlen(27.1.2023)
Die Versicherungen zeigen deutliche Neigung, Schäden aus Hackerangriffen finanziell nur mehr teilweise abzudecken. Zu groß werden die Beträge, die aufzuwenden sind. Mario Greco, Vorstandschef von Zurich Insurance, wies kürzlich darauf hin, dass er das Ende von "Rundum-sorglos-Paketen" der Versicherungen kommen sieht.
In der Praxis heißt das, dass jedes Unternehmen noch stärker auf die Sicherheit seiner IT achten muss. Vorleistungen des Versicherten zur Senkung des Risikos werden mit Sicherheit in die Prämiengestaltung und ganz generell in den Versicherungsvertrag einfließen. Sorglosigkeit wird mindestens zu deutlich höheren Prämien und zu einem beachtlichen Selbstbehalt im Schadensfall führen. Nicht auszuschließen ist, dass in ausgewählten Fällen sogar einzelne Unternehmen ihre IT-Risiken nicht mehr versichern lassen können.
Quelle:
https://orf.at/#/stories/3299095/(26.12.2022)
Seit Jahren führt Microsoft eine Kampagne für seine Cloudlösung Office 365. Spätestens seit 2018 diskutieren europäische Datenschützer, ob die Verwendung dieses Tools den Rechtsvororschriften hinsichtlich der Datensicherheit entspricht. Auch intensive Versuche, mit Hilfe von Microsoft Licht ins Dunkel zu bringen, sind bisher gescheitert.
Tatsächlich ist Office 365 ein Werkzeug, das viele Anforderungen der Büroalltags abdeckt. Wären da bloß nicht ein paar bedenkliche "Kleinigkeiten":
In allen Marketing-Papers freilich verspricht Microsoft - ohne das näher zu belegen und auf die geäußerten Bedenken einzugehen - die Einhaltung von Recht und Gesetz. Das österreichische Unterrichtsministerium stellt sich seit Jahren auf den bequemen Standpunkt, dass die Versprechungen von Microsoft doch beweisen würden, dass alles mit rechten Dingen zugehe. Die Schulen werden mit dem ungelösten Problem und allfälligen Haftungsfragen alleine gelassen. Mehrere deutsche Bundesländer hingegen haben wegen der unklaren Situation die Verwendung von Office 365 kurzerhand untersagt. Wozu noch zu sagen ist: Selbstverständlich ist es falsch, dass für die MS-Office-Anwendungen kein rechtskonformer (z.B. "open-source") Ersatz existiert. Dies wird aber von Microsoft und seinen Anhängern laufend behauptet.
Der Vorschlag von Ideato lautet: Gerade wenn Sie sensible Daten (DSGVO Art. 9 Abs. 1) verarbeiten, dazu gehören u.a. auch Gesundheitsdaten, biometrische Daten und genetische Daten, lohnt sich der einmalige Aufwand, einen geeigneten Ersatz für MS-Office 365 auszuwählen und zu implementieren. Im Fall des Falles können nämlich - abgesehen von der strafrechtlichen Komponente - die Schadenersatzforderungen ruinös sein. Sie stehen in keinem Verhältnis zur Bequemlichkeit, die mit der kritiklosen Verwendung des Microsoft-Tools verbunden ist.
Quellen:
https://www.faz.net/aktuell/wirtschaft/digitec/microsoft-365-so-geht-das-mit-dem-datenschutz-nicht-weiter-18526757.html(13.12.2022)
https://www.golem.de/news/datenschutz-und-microsoft-365-die-verantwortung-fuer-den-datenschutz-liegt-bei-den-firmen-2212-170212.html(6.12.2022)
https://www.br.de/nachrichten/netzwelt/niemand-entscheidet-ob-microsoft-office-an-schulen-legal-ist,TOasDmm(29.11.2022)
https://linux-bildung.at/2022/11/datenschutzkonferenz-ms-365-ist-datenschutzwidrig/(25.11.2022)