Anonymous Austria - Wie schlampig ist die Tiroler Gebietskrankenkasse?
Rechtliche Konsequenzen für die Täter - Verantwortung des Auftraggebers (Tiroler Gebietskrankenkasse, TGKK) - Zweifel an der Rechtmäßigkeit der Datenverarbeitung der TGKK - Verantwortung von Dienstleistern und Providern - Recht der Betroffenen - Konsequenzen für öffentliche Stellen und Unternehmen - zahllose politische Hausaufgaben nicht gemacht - zahlreiche sensible Register-Großbaustellen
Der Vorfall
Nach Darstellung der Gruppe "Anonymous Austria" wurde der Zugang zu etwa 600.000 personenbezogenen Datensätzen der Tiroler Gebietskrankenkasse ermöglicht, diese sind im Internet praktisch öffentlich zugänglich. Eine Veröffentlichung durch die Gruppe selbst erfolgte nicht und ist auch nicht geplant.
Auf Grund der im Laufe des 28. September 2011 bekannt gewordenen Rechtfertigung durch die TGKK, dürfte die Datenschutzverletzung durch einen klassischen Anfängerfehler auf Seiten der TGKK möglich geworden sein. Offenbar wird seit längerer Zeit der komplette Versicherungsbestand zwischen verschiedenen Einrichtungen hin und her geschickt, obwohl höchstens ein paar dutzend Datensätze pro Tag für Prüfzwecke benötigt werden. Die ARGE DATEN empfiehlt allen Betroffenen Anzeige gegen die TGKK wegen § 52 Abs 2 Z 1 DSG 2000 ("Datenanwendung wird auf eine von der Meldung abweichende Weise betrieben") und § 52 Abs 2 Z 5 DSG 2000 ("gröbliche Vernachlässigung erforderlicher Sicherheitsmaßnahmen") beim Magistrat der Stadt Innsbruck einzubringen. Die ARGE DATEN hat dazu ein Muster vorbereitet (http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGED...).
Welches Delikt ist das?
Was gemeinhin als "Hackerangriff" beschrieben wird, ist möglicherweise keiner. "Hacken" also in der Diktion des Strafrechts ein "Widerrechtlicher Zugriff auf ein Computersystem StGB § 118a" setzt das Überwinden von Sicherheitsmaßnahmen voraus. Fehlen diese, dann kann nicht von Hacken gesprochen werden. Der Strafrahmen des StGB § 118a ist weiters vergleichsweise bescheiden (6 Monate) und kann nur mit Ermächtigung des Verletzten (also der TGKK) verfolgt werden.
Sind Sicherheitsmaßnahmen nicht oder völlig stümperhaft gesetzt (etwa 50% der österreichischen IT-Systeme fallen darunter), dann kann man auch nicht von Hacken sprechen und eine Strafverfolgung ist sowieso ausgeschlossen.
Bleibt das Veröffentlichen der persönlichen Daten. Das wäre jedenfalls rechtswidrig und eine Verletzung der Grundrechte (§ 1 DSG 2000). Es bestehen folgende Ansprüche:
a) zivilrechtlich: Es besteht ein Unterlassungsansspruch, d.h. jeder Betroffene kann vom Veröffentlicher verlangen, dass seine Daten gelöscht werden, funktioniert das nicht außergerichtlich, kann ein Zivilgericht bemüht werden.
b) strafrechtlich: Werden persönliche Daten in Gewinn- oder Schädigungsabsicht veröffentlicht, dann kann der Täter gemäß § 51 DSG 2000 mit bis zu einem Jahr bestraft werden. Kann jedoch der Täter vor Gericht erfolgreich argumentieren, er wollte niemanden schädigen, selbst oder Dritte keinen Gewinn aus den Daten schlagen, sondern bloß auf Sicherheitsprobleme hinweisen, dann wäre diese Bestimmung nicht anwendbar. WIe hier Gerichte entscheiden, kann heute nicht beurteilt werden, da diese Bestimmung praktisch nie exekutiert wird.
c) verwaltungsrechtlich: Eine Veröffentlichung ohne Gewinn- oder Schädigungsabsicht kann jedoch nach § 52 Abs. 1 DSG 2000 mit einer Geldstrafe bis Euro 25.000,- belegt werden. Dazu ist aber eine Anzeige bei jener Verwaltungsbehörde notwendig, in der der Täter (also die Gruppe "Anonymous Austria") ihren Sitz hat. Das herauszufinden kann ein praktisches Problem sein.
Bleibt als Resumee, dass sowohl die strafrechtliche, als auch die datenschutzrechtliche Ebene, insbesondere wenn es keine gezielte Veröffentlichung gibt, recht dünn ist. Eine Veröffentlichung wäre zwar eine Grundrechtsverletzung aber ebenfalls im seltensten Fall strafrechtlich relevant.
Mit welchen Konsequenzen haben Mittäter zu rechnen?
Angeblich wurden die Daten von jemandem zur Verfügung gestellt. Sollte das ein Mitarbeiter der TGKK sein, dann hätte dieser als Organ einer öffentlich-rechtlichen Körperschaft gehandelt. In diesem Fall käme § 302 StGB ("Missbrauch der Amtsgewalt") zur Anwendung. Dieses Delikt ist mit bis zu fünf Jahren Strafe bedroht, aber auch nur, wenn dem Täter Vorsatz nachzuweisen ist.
War - grob gesagt - ein Bediensteter oder Gehilfe der TGKK bloß zu "blöd" Daten und Dateien richtig zu handhaben und er hat sie "irrtümlich" in einen öffentlich zugänglichen Bereich gestellt, dann wäre dies kein Delikt.
Ist die TGKK Opfer oder Täter?
Verantwortlich für die Geheimhaltung persönlicher Daten ist immer der Auftraggeber, in diesem Fall die TGKK. Hier wird zu prüfen sein, ob tatsächlich die nach § 14 DSG 2000 erforderlichen Sicherheitsmaßnahmen gesetzt wurden oder ob diese grob missachtet wurden. Im Fall der Missachtung könnten Verwaltungsstrafen nach § 52 Abs. 2 bis Euro 10.000,- verhängt werden.
Problematisch ist auch die Rechtfertigung, warum es überhaupt diesen, jetzt "gestohlenen" Datenbestand gab. Es handelt sich um eine Kopie der Versicherungsdaten, die Rettungsorganisationen und Spitälern zur Verfügung gestellt werden. Diese sollen bei jenen Personen, die die E-Card vergessen haben, nach sehen können, ob sie bei der TGKK versichert sind.
Ist das richtig, ist zweifelhaft, ob das eine berechtigte Datenübermittlung ist. Erfahrungsgemäß werden nicht täglich 600.000 Tiroler von Rettungsdiensten betreut und die, die betreut werden, vergessen nicht alle die E-Card. Eine korrekte, auch dem DSG 2000 entsprechende Anwendung wäre gewesen, wenn nur bei jenen Personen, die tatsächlich die eCard vergessen haben, eine Anfrage gemacht wird und die Daten verschlüsselt übertragen werden.
Hier wird noch die Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) die Zulässigkeit der Datenverarbeitung genau prüfen müssen.
Sind die Dienstleister und Provider der TGKK verantwortlich?
Ein Versuch aus der Verantwortung zu entkommen ist die Rechtfertigung der TGKK, dass ja nicht "ihre" Daten betroffen sind, sondern ein von ihnen beauftragter Dienstleister "Mist" gemacht hätte.
Hier sind die Bestimmungen des DSG 2000 eindeutig. Verantwortlich für die rechtmäßige Verwendung von Daten ist immer der Auftraggeber. Ihn trifft die Verpflichtung gemäß §§ 10,11 DSG 2000 einen geeigneten Dienstleister auszuwählen, diesem geeignete Aufträge zu geben und die Umsetzung laufend zu überwachen. Da es sich bei der TGKK um eine öffentlich-rechtliche Körperschaft handelt ist im Falle der Verarbeitung sensibler Daten dieser Dienstleister der Datenschutzbehörde zu melden.
Provider, also jene Einrichtungen, die eine Webseite beherbergen (hosten) auf der persönliche Daten rechtswidrig veröffentlicht werden, trifft nach dem E-Commerce-Gesetz (ECG) § 16 keine Haftung, solange sie nichts vom rechtswidrigen Inhalt wissen. Erhalten sie jedoch Kenntnis davon und die rechtswidrigkeit ist zweifelsfrei (auch für Laien) erkennbar, dann müssen sie den Datenbestand unverzüglich entfernen. Wird das missachtet, drohen straf- oder zivilrechtliche Sanktionen.
Welche Rechte hat der Betroffene?
Bei der TGKK handelt es sich um eine gesetzliche Sozialversicherung, Betroffene können sich nicht aussuchen (a) ob sie dort versichert sind und (b) welche Daten verwendet werden. Ein Hinweis "bei euch sind die Daten nicht sicher, daher dürft ihr meine nicht verwenden" ist rechtlich nicht möglich.
Im Fall eines Missbrauchs, auch wenn er nicht von der TGKK verursacht wurde, trifft die TGKK eine Verständigungspflicht nach § 24 Abs. 2a DSG 2000 aller Personen, die vom Datenmissbrauch betroffen sind.
Diese Personen sind über den Umfang des Missbrauchs zu verständigen. Haben diese Personen einen Schaden, dann ist dieser von der TGKK zu ersetzen, weiters ist bei einer bloßstellenden Veröffentlichung auch ein immaterieller Schaden, eine Art Entschädigung für Kreditschädigung, von der TGKK zu zahlen. Eine bloßstellende Veröffentlichung wäre gegeben, wenn Gesundheitsdaten, Arztbesuchsdaten oder Diagnosedaten betroffen sind. Diese Schadenersatzzahlung kann bis Euro 20.000,- pro Person ausmachen.
Dürfen diese Daten von Dritten verwertet werden?
Einige der TGKK-Daten waren, zwar illegal - aber doch - einige Zeit im Internet abrufbar, wer sich eine Kopie gemacht hat, ist wohl nicht mehr festzustellen.
Generell gilt für jeden Downloader, dass er sich rechtswidrig personenbezogene Daten beschafft hat, er muss ebenfalls mit einer Verwaltungsstrafe nach § 52 Abs. 1 DSG 2000 rechnen. Diese Bestimmung kommt aber nur zur Anwendung, wenn man sich selbst aktiv um diese Daten bemüht hat.
Paradoxerweise darf man aber trotzdem diese Daten für seine eigenen Zwecke verwenden, etwa wenn damit vor Gericht irgendetwas bewiesen werden soll.
Österreich kennt, im Gegensatz zu den US-Gerichtsfilmen, kein Beweisverwertungsverbot. Es könnte daher für bestimmte Stellen (Konkurrenten, Arbeitgeber, Versicherungen, Vermieter, ...) durchaus lukrativ sein, Daten rechtswidrig zu beschaffen. Die potentiell mögliche Verwaltungsstrafe könnte in vielen Fällen locker aus der "Portokasse" bezahlt werden.
Tiroler Notrufsystem schon einmal löchrig
Ärger mit veröfffentlichten Patientendaten durch Tiroler Rettungsdienste gab es schon vor zwei Jahren. Hier gelang es die Daten der "ILL - Integrierte Landesleitstelle - Leitstelle Tirol" abzufangen. Sie waren dann tagelang auf einem eigenen Server abrufbar. Unter anderem waren es Patienten- und Diagnosedaten.
Wie sollen sich öffentliche Stellen und Unternehmen verhalten?
Sich bloß mit Schadensfreude zurückzulehnen, zu sagen, "bei uns ist nichts passiert" und ansonsten auf eine erfolgreiche Jagd der Sicherheitsbehörden auf die Gruppe "Anonymous Austria" zu hoffen, ist sicher eine verfehlte Strategie.
Seit Jahren weist auch die ARGE DATEN darauf hin, dass zahllose Basissicherheitsmaßnahmen nicht beachtet werden, nur einige sollen hier erwähnt werden:
- W-LAN-Netze:
Noch immer sind bis zu 30% der WLAN-Netze nicht oder mit ungeeigneten Verfahren verschlüsselt. Diese Netze können leicht zum Verwischen von Datenspuren benutzt werden. Kosten für Abhilfe: Euro 0,- für die Vergabe von Passwörtern und Aktivierung der Verschlüsselung
- Webformulare:
Bis zu 60% der Online-Formulare, die vertrauliche Benutzerdaten abfragen (Passwörter, Zugangskennungen, Kontonummern, Kreditkartendaten usw.) sind nicht verschlüsselt und haben kein gültiges Zertifikat (verwenden nicht https://). Persönliche Daten werden im Klartext über Netze übertragen und können zum Identitätsdiebstahl verwendet werden. Kosten für Abhilfe: etwa Euro 90,- / Jahr
- Mailserver:
E-Mails werden immer noch zwischen den Mailservern unverschlüsselt ausgetauscht. Alle modernen Mailserver unterstützen mittlerweile Verschlüsselung, benötigen dazu jedoch - wie die Webserver - ein gültiges Zertifikat. Kosten für Abhilfe: etwa Euro 90,- / Jahr
- File-Injektion:
Bestimmte (php-)Programme sind soweit fehlerhaft programmiert, dass sie bei Eingabe bestimmter Zeichenkombinationen einen Zugriff auf geschützte Bereiche des Servers erlauben. Diese Programme sind bekannt und könnten leicht durch andere ersetzt werden. Kosten für Abhilfe: etwas Rechercheaufwand, neu Programmkosten in der Regel Euro 0,-, weil OpenSource, Installationsaufwand unter Euro 500,- einmalig
- File-Listing:
Bei den gebräuchlichsten Webservern kann man den Dateninhalt der Verzeichnisse auflisten. Man kann dann meist auch Dateien abrufen, die nicht für die Öffentlichkeit bestimmt sind. Kosten für Abhilfe: Euro 0,- für die richtige Webserver-Konfiguration.
- SQL-Manipulationen:
Viele Webformulare erlauben die Eingabe komplexer Datenbankbefehle. Damit kann man meist mehr Daten auslesen, als eigentlich vorgesehen. Kosten für Abhilfe: Euro 0,- für eine korrekte Syntax-Prüfung bei den Webformularen
- ungeeignete Trennung von internen und öffentlichen Datenbeständen:
Besonders kleine Unternehmen legen alle ihre Daten, Kundendaten, Mitarbeiterdaten, Produktinformationen auf einen einzigen Server, der sowohl internen, als auch öffentlichen Zwecken dient. Schon einfache Fehlbedienungen öffnen den Computer zum Datenmissbrauch. Kosten für Abhilfe: für die Auslagerung öffentlicher Daten an einen professionellen Hostinganbieter etwa Euro 500,- / Jahr
Gesamtkosten dieser Maßnahmen liegen unter Euro 1.000,- / Jahr und bieten eine Basissicherheit, die jedenfalls Gelegenheitshacks und Missbrauch "im Vorbeigehen" verhindert.
Was soll die Politik machen?
Die österreichische Politik ist noch immer nicht im Informationszeitalter angekommen. Während es im KFZ-Bereich selbstverständlich ist, dass jedes Auto, das auf öffentliche Straßen losgelassen wird, eine Typenprüfung absolvieren muss und erst dann zugelassen wird, steckt die Datenverarbeitung noch im Postkutschenzeitalter. Selbst die größten IT-Projekte, etwa im Gesundheits- oder Polizeibereich können durch irgendwelche Unternehmen zusammen gebastelt werden.
(a) Auditverfahren gesetzlich verankern
Das bekannteste Sicherheitsprojekt der öffentlichen Hand, die sogenannte Bürgerkarte darf ohne jedes Sicherheitskonzept eingesetzt werden. Das Ergebnis sind dann E-Government-Lösungen, bei denen die Identität der Benutzer leicht gestohlen werden kann.
Zumindest für große Datenverarbeitungen der öffentlichen Hand, die mit sensiblen Daten arbeiten, sollte jedenfalls ein Datenschutzaudit verpflichtend vorgeschrieben werden. Dies würde etwa Gesundheitsdaten, Polizeidaten, Justizdaten und Daten zur Kreditwürdigkeit betreffen. EU-weit werden derartige Auditverfahren schon angeboten, manche verantwortungsbewusste Unternehmen machen sie jetzt schon auf freiwilliger Basis. Anbieter sind http://www.european-privacy-seal.eu/ ("Europrise") und http://www.sqs.ch/ ("GoodPriv@cy")
(b) Betrieblicher Datenschutzbeauftragter jetzt einführen
Die meisten betrieblichen Sicherheitslücken könnten ohne großen Aufwand beseitigt werden. Sie bleiben nur deswegen bestehen, weil sich niemand damit beschäftigt, sich niemand dafür verantwortlich fühlt. In der letzten Novelle zum Datenschutzgesetz war daher der betriebliche Datenschutzbeauftragte vorgesehen, er scheiterte am Widerstand der Wirtschaftskammer.
Ein derartiger Datenschutzbeauftragter wäre auch eine erste Ansprechstelle für Betroffene und könnte sich auch um die Einhaltung aller rechtlichen Erfordernisse kümmern.
(c) Umsetzung der Kommunikations-Datenschutzrichtlinie
Seit 2002 verlangt die EU verpflichtend eine Reihe von Sicherheitsmaßnahmen bei der elektronischen Kommunikation (verschlüsselte Datenübertragung im Web und bei eMail). Österreich weigert sich diese Vorgaben für alle Betreiber von Internetdiensten umzusetzen. Derartige Verpflichtungen gibt es derzeit nur für Telekom- und Internetanbieter, nicht aber für Webshop-Betreiber, Behörden oder sonstige Internetdienste.
(d) Wirksame Aufsichts- und Strafbehörde installieren
Derzeit müssen Verletzungen von Datenschutzbestimmungen bei den verschiedensten Behörden und Stellen eingeklagt werden. Zum Teil ist es die Datenschutzbehörde, zum Teil Zivilgerichte, zum Teil das Strafgericht und zum Teil sind es die Bezirkshauptmannschaften und Magistrate.
Strafreferenten, die üblicherweise die Verbringung von Jauche auf Feldern oder Falschparken abstrafen, sollen plötzlich entscheiden, ob die TGKK, ein Telekomanbieter, das Bundeskanzleramt, das Justizministerium oder eine Privatversicherung "IT-Sicherheit gröblich vernachlässigt" haben? Weil diese überfordert sind, gibt es keine effektiven Kontrollen zur Sicherheit.
Zumindest alle grundrechtlichen und verwaltungsrechtlichen Agenden sollten in einer österreichweiten Aufsichts- und Strafbehörde zusammen gefasst werden, die auch ausreichend personell besetzt ist. Während eine e-Control oder eine RTR, die jeweils ein paar dutzend Unternehmen einer Branche überwachen sollen mit jewieils 100 und mehr Mitarbeitern ausgestattet sind, sind die Datenschutzagenden, die etwa 400.000 Datenverarbeiter betreffen völlig zersplittert und in der Hand einiger Dutzend Personen, die das nebenher erledigen sollen.
Was sind die wirklich großen Baustellen?
"Österreich ist ein Land mit ausgeprägtem Registerwahn", stellte der ehemalige Jugendrichter Jesionek, jetzt Präsident des Weißen Rings, vor einiger Zeit fest. Trotzdem gibt es unter der Vielzahl von Registern noch die Superregister, von denen ganz besonders starke Gefährdungen ausgehen.
(a) Registerzählung / Volkszählung
Von der Öffentlichkeit völlig unbemerkt wird seit mehr als fünf Jahren an der Zusammenführung von einigen hundert, bisher getrennten Registern gearbeitet. Aus diesen Daten soll ein "Basisregister" geschaffen werden, das weiterhin personenbezogen ist und vorerst für Volkszählungszwecke ausgewertet werden soll. Weitere Auswertemöglichkeiten könnten jederzeit gesetzlich angeordnet werden.
(b) Elektonischer Gesundheitsakt / ELGA
Geplant ist die Schaffung eines flächendeckenden, zentral gesteuerten Gesundheitsdatenverbundes. Einige hundert Millionen Befunde von neun Millionen Bürgern sollen für etwa 40.000 Personen Online abrufbar gemacht werden. Das gesamte System soll ohne integriertes Sicherheitskonzept in Betrieb genommen werden.
Es enthält derart komplizierte Zugriffs- und Berechtigungsregeln, dass eine vollständige und sichere Umsetzung viele hundert Millionen Euro kosten würde und dann aber fraglich ist, ob es überhaupt noch praktikabel benutzt werden kann. Nach den bisherigen Erfahrungen ist eher zu befürchten, dass der Schutz der Gesundheitsdaten billig, aber unzureichend realisiert wird.
Der diesbezügliche Gesetzesentwurf ist schon verschickt, das Projekt soll, entgegen aller grundrechtlicher und wirtschaftlicher Bedenken noch bis Ende des Jahres durchgeboxt werden.
(c) Vorratsdatenspeicherung
Schon beschlossen, aber noch nicht operativ ist die präventive Aufzeichnung aller unserer Internetverbindungen, des Mailverkehrs und der Telefonverbindungen. Jederzeit soll der Staat die Möglichkeit haben zu prüfen, wer mit wem kommuniziert hat. Ausreichend dafür ist bloß ein genügend umfassender Verdacht auf eine kriminelle Straftat.
|
