rating service  security service privacy service
 
2005/09/27 Gewerbliche Versicherungsanstalt - Ohne Datensicherheit geht's auch
Zugangsberechtigung und Benutzerprofile - was in geordneten IT-Systemen selbstverständlicher Sicherheitsstandard ist, fehlt bei der Versicherungsanstalt der gewerblichen Wirtschaft (SVA) - Steuerberater haben unlimitierten Zugang zu allen Versichertendaten - E-Governmentgesetz reduziert Datenschutz

Unlimitierter Zugriff auf alle Versicherungsdaten

Seit einiger Zeit können Wirtschaftstreuhänder auf die Beitragskonten der SVA-Versicherten nach Angabe der Sozialversicherungsnummer direkt zugreifen. Es genügt die bloße elektronische Berufung auf eine erteilte Vollmacht, eine Prüfung der Vollmacht erfolgt nicht. Da die SV-Nummer ein weitverbreitetes und auch leicht errechenbares Kennzeichen ist, sind damit die Versichertendaten in keinster Weise gegen unerwünschte Zugriffe geschützt. Möglich wurde diese Vorgangsweise durch das neue E-Governmentgesetz.

Die SVA wurde selbstverständlich mit dem Problem und den Bedenken der ARGE DATEN konfrontiert. Die Antwort des Generaldirektors Vlasich ist dünn und unbefriedigend. Er beruft sich auf das Wirtschaftstreuhandberufsgesetz (WTBG) und das E-Governmentgesetz (E-GovG) und meint, wenn sich ein Steuerberater auf eine Vertretungsvollmacht beruft, sei dies Datenschutz genug, eine Überprüfung sei überflüssig.

Im Ergebnis würde somit das neue E-Government-Gesetz einer Vereinfachung der Zugriffsmöglichkeiten zu Lasten des Datenschutzes der Betroffenen bedeuten.

Die Sozialversicherungsanstalt wurde zusätzlich mit einer Reihe ganz konkreter Fragen zur Datensicherheit konfrontiert, wie etwa:
"Wie werden diese Sicherheitsmaßnahmen überwacht?", "Erhalten Betroffene (Versicherte) auf Anfrage Auskunft, welcher Steuerberater wann und wie oft die Beitragsvorschreibungen abgerufen hat?", "Welche anderen Berufsgruppen, Organisationen und Stellen haben noch Direktzugriff auf die Beitragsvorschreibungen?"

Beantwortet wurde keine einzige Frage. Nicht einmal die Zahl der Steuerberater, die diesen bequemen Onlinezugriff nutzen wurde beauskunftet.


Irrtum und Missbrauch geradezu fahrlässig ermöglicht

Selbst wenn man in erster Linie gar nicht an missbräuchliche Zugriffe denkt, besteht eine enorme Gefahr, dass Daten "irrtümlich" abgefragt werden, weil die "falsche" Nummer angegeben wurde oder übersehen wurde, dass ein Klient gar nicht mehr vertreten wird. Auch für die Mitarbeiter der Wirtschaftstreuhänder kann es verführerisch sein die Konten von "Bekannten" anzuschauen.

Datenschutzverletzungen, die durch ein Minimum an Sicherheitsmaßnahmen vermieden werden könnten. So könnte sichergestellt werden, dass immer nur ein Wirtschaftstreuhänder Zugriffsrechte auf ein Versichertenkonto hat, dass die Versicherten verständigt werden, wer gerade ein Zugriffsrecht beansprucht und auch die Vollmachtserteilung könnte zumindest stichprobenhaft (etwa jeder 100. Fall) geprüft werden.

Der Generaldirektor irrt sich leider, wenn er meint, dass er die Vollmachtserteilung gar nicht prüfen dürfe. §14 DSG 2000 sieht sehr wohl eine Kontrollverpflichtung im IT-Betrieb vor. Diese Kontrollverpflichtung beschränkt sich nicht bloß auf das Nachspüren von Missbrauchsfällen, sondern bedeutet eine laufende Überwachung des IT-Betriebs und der Datennutzung.


Vorbild FinanzOnline?

Sowohl aus Sicht des Datenschutzes, als auch aus der der Datensicherheit geradezu vorbildlich erfolgt die Zugangsregelung bei FinanzOnline.

Seit vielen Jahren dürfen neben den Steuerpflichtigen selbst auch Steuerberater und Wirtschaftstreuhänder auf die Steuerdaten zugreifen.

Dazu wurde bei FinanzOnline eine Berechtigungsverwaltung geschaffen, die es jeweils nur einem Steuerberater erlaubt auf die Daten eines Steuerpflichtigen zuzugreifen.

Darüber hinaus wird der Steuerpflichtige schriftlich verständigt, wer gerade auf seine Daten zugriffsberechtigt ist.

mehr --> http://www.argedaten.at/recht/dsg214__.htm

- Internet - Personendaten - Datenschutzkommission - Datenverarbeitungsregister - DSR - datenschutz-seminar.at - privacy-day.at - Vorratsdatenspeicherung - hacking - hacker - social media - Web2.0 - DSG 2000 - phishing - privacy - data security - Inhouse - internet
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster