Datenleck bei Tiroler Gebietskrankenkasse
Hans G. Zeger
Versichertendaten im Internet ungeschützt abrufbar - Abgesehen von möglichen Tätern trifft den Auftraggeber (Tiroler Gebietskrankenkasse, TGKK) die Hauptverantwortung - Datenverarbeiter muss Sicherheit seiner IT-Systeme gewährleisten - es bestehen berechtigte Zweifel an der Rechtmäßigkeit der Datenverarbeitung der TGKK
DER VORFALL
Nach Darstellung der Gruppe "Anonymous Austria" war der Zugang zu etwa 600.000 Versichertendaten der Tiroler Gebietskrankenkasse möglich, diese waren über das Internet öffentlich.
Es kann nicht festgestellt werden, ob sich der Vorfall tatsächlich genau so zutrug, plausibel ist es jedenfalls.
Gerechtfertigt wurde der "frei verfügbare" Datenbestand mit der Notwendigkeit bei vergessenen E-Cards durch Rettungseinrichtungen prüfen zu können, ob jemand versichert ist. Dazu wurde regelmäßig der komplette Versicherungsbestand übermittelt.
VERANTWORTUNG DER TGKK
Datenschutzkonform dürfen nur Daten im absolut notwendigen Mindestmaß verwendet werden. Im konkreten Fall hätte das Problem der Versichertenprüfung durch eine Direktabfrage im E-Card-System erfolgen können, wie der E-Card-Betreiber SVC bestätigte.
Damit ist zweifelhaft, ob die langjährige Praxis der TGKK rechtlich zulässig ist. Es müsste geprüft werden, ob eine Übertretung des § 52 DSG 2000 (Übermittlung unter Verletzung des Datengeheimnisses) vorliegt.
Selbst bei Annahme einer rechtmäßigen Übermittlung, müssten Sicherheitsmaßnahmen gemäß § 14 DSG 2000 ergriffen werden, etwa Verschlüsselung der Daten und des Übertragungsweges.
Diese Maßnahmen wurden offenbar vernachlässigt. Damit könnte eine gröbliche Vernachlässigung von Sicherheitsmaßnahmen vorliegen, ebenfalls eine nach § 52 zu ahndende Straftat.
Weiters hat die TGKK alle Betroffenen von diesem Datenmissbrauch zu verständigen und haftet für mögliche Folgeschäden.
MIT WELCHEN SCHÄDEN MUSS GERECHNET WERDEN?
Der wahrscheinlichste Schaden derartiger Datenlecks ist Identitätsdiebstahl. Viele Internetabläufe und Transaktionen gehen vom Wissen bestimmter Merkmale aus. Wer die Sozialversicherungsnummer kennt, eine Vertragsnummer oder eine Kontonummer wird in der Regel als berechtigter Inhaber akzeptiert und kann Bestellungen durchführen, Auskünfte einholen oder Zahlungen tätigen. Einem Geschädigten kann es schwer fallen, zu beweisen, dass nicht er aktiv war, sondern jemand anderer, der in seine Identität schlüpfte.
KONSEQUENZEN
Der Vorfall lässt das Vertrauen in eine Gesundheitsdatenverwaltung, wie sie mit ELGA geplant ist, noch weiter schwinden. Je größer und umfangreicher die Datenbestände sind, desto attraktiver ist es, nach ihnen zu "suchen" oder sonstwie zu beschaffen.
So unangenehm der Vorfall für alle Versicherten ist, kann eine zentrale Lehre gezogen werden. Als besondere Schwachstelle erweisen sich nicht die zentralen Einrichtungen selbst, sondern daraus abgeleitete Datendienste. Aus Bequemlichkeits- oder Kostengründen werden ganze Datenbestände exportiert. Sie werden ohne besondere Sicherungsmaßnahmen per E-Mail verschickt, auf Web-Servern, Notebooks oder USB-Sticks unverschlüsselt kopiert und in Officeprogrammen ungesichert weiter verarbeitet.
Längst hat sich neben der offiziellen, halbwegs gesicherten Informationsverarbeitung eine Art Schatten-EDV etabliert, in der inoffizielle Kopien sensibler oder vertraulicher Daten von einer Dienststelle zur nächsten, von einem Referenten zum nächsten wanderen und dabei irgendwann in falsche Hände geraten.
Die TGKK-Praxis wurde publik, viele tausend vergleichbar brisante Dateien dürften jedoch weiterhin unerkannt und ungesichert in Österreich hin und her geschoben werden.
|
