Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­dale. Wie zahl­rei­che Medien wie n-tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine interne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­hene Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­weile wurde sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her keine Kenntnis.

 

 

Apothekenrechenzentrum verkauft Patientendaten an Marktforschungsunternehmen mit unzureichender Verschlüsselung

Warum in die Ferne schwei­fen, wo die Daten­panne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thilo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schleswig-Holstein (ULD), “einer der größ­ten Daten­skan­dale der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fene Apo­the­ken­re­chen­zen­trum ver­kauf seine Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von circa 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Einge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­gabe von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fende Phar­ma­un­ter­neh­men sind diese Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stellig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chende Ver­schlüs­se­lung birgt das Risiko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­tion, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men würde dies freuen. Ließe sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­dukte verleiten.

Thilo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sende Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­weise unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fene (also der eigent­li­che Email-Inhaber) expli­zit in die Über­mitt­lung an Dritte schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­lage vor­liegt. Bei­des ist im Falle einer sol­chen Panne sicher nicht der Fall.

Die Ver­wen­dung des offe­nen Email-Verteilers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Menge der betrof­fe­nen Email-Adressen sah das BayLDA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wurde ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wurde das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kürze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das Thema sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Verteiler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­siko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses Thema sen­si­bi­li­sie­ren. Gerne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayLDA vom 28.06.2013.

Hahn IT Datenschutz-Infotage Juni / Juli 2013 in Schwaig

Fotolia_40732264_XS_roundedDer Angriff war schnell und sorgte für fette Beute: Unbe­kannte haben am 11. April den Ser­ver nam­haf­ter Unter­neh­men im Bereich Rei­se­bu­chun­gen geknackt und eine bis­lang unbe­kannte Zahl an Kunden-Kreditkartendaten gestoh­len! Wie sehen die weit­rei­chen­den Kon­se­quen­zen aus? Kaum ein Tag ver­geht ohne Schlag­zei­len in der Presse zu den The­men Daten­schutz und Daten­si­cher­heit. Diese Mel­dun­gen kön­nen Sie als Ver­brau­cher, genauso wie als Unter­neh­mer oder Mit­ar­bei­ter betreffen.

Zu den größ­ten Irr­tü­mern im Daten­schutz gehört die Auf­fas­sung, das eigene Unter­neh­men habe mit dem Bun­des­da­ten­schutz­ge­setz nichts zu tun. Das Bun­des­da­ten­schutz­ge­setz (BDSG) ist recht­li­che Vor­schrift für alle. Zusätz­lich muss ab 9 Mitarbeiter/innen, die im  Unter­neh­men per PC mit per­so­nen­be­zo­ge­nen Daten (Daten von Kun­den, Geschäfts­part­nern oder Per­so­nal­da­ten der eige­nen Mit­ar­bei­ter) ein sog. Daten­schutz­be­auf­trag­ter bestellt werden.

Viele Fall­stri­cke lau­ern im Umgang mit per­so­nen­be­zo­ge­nen Daten und den mög­li­chen Feh­ler­quel­len samt Rechts­ver­stö­ßen. Geld­bu­ßen (50.000 – 300.000 EUR) für Ver­stöße gegen das Bun­des­da­ten­schutz­ge­setz sind vor­ge­se­hen – zuzüg­lich even­tu­el­ler Scha­den­er­satz­for­de­run­gen! Und das nicht erst, wenn etwas schief gegan­gen ist.

Hahn Premium IT Lösungen SchwaigBesu­chen Sie einen der für Sie kos­ten­freien Info­abende im Rah­men der Hahn IT Cam­pusin­itia­tive und infor­mie­ren Sie sich in nur  zwei Stun­den über die­ses bri­sante Thema.

Das Pro­gramm für Sie :

  • Begrü­ßung mit Geträn­ken & Snacks
  • Top Irr­tü­mer zum Thema Datenschutz
  • Kon­se­quen­zen durch Nichteinhaltung
  • Aktu­elle Infos zum Thema IT-Sicherheit
  • Lösun­gen zur geset­zes­kon­for­men Umsetzung
  • Bei­spiele aus der Pra­xis in der Talkrunde
  • Zeit fur Gesprä­che beim Abendbuffet

+ Die Ver­an­stal­tung ist für Sie kos­ten­frei
+ Sie erhal­ten ein Teilnahmezertifikat

Refe­ren­ten des Abends sind Herr Ste­fan Mol­ter (Hahn IT) und Sascha Kuhrau (a.s.k. Datenschutz).

Ter­mine:

  • 27. Juni 2013, 17.00 — 19.00 Uhr
  • 04. Juli 2013, 17.00 — 19.00 Uhr
  • 11. Juli 2013, 17.00 — 19.00 Uhr

Ver­an­stal­tungs­ort:

90571 Schwaig

Haben wir Ihr Inter­esse geweckt? Hier geht es zur Anmel­dung.

Telefonnummer gesucht? Facebook hilft aus

Face­book selbst, nennt den Vor­gang “ärger­lich und pein­lich”. Der eine oder andere fand ihn viel­leicht sogar recht nützlich.

Die Grund­lage

Eines der “Komfort-Features” von Face­book besteht aus der Mög­lich­keit, das vor­han­dene Adress­buch samt der darin ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten auf Ser­ver des Unter­neh­mens hoch­zu­la­den. Alter­na­tiv kann man auch seine Online-Adressbücher für den direk­ten Zugriff durch das ame­ri­ka­ni­sche Unter­neh­men frei­schal­ten. Um nicht selbst nach Freun­den und Bekann­ten suchen zu müs­sen, ver­glich Face­book nun die hoch­ge­la­de­nen Anga­ben mit Daten vor­han­de­ner Nut­zer. Wer allzu sorg­los die Einladen-Funktion für noch nicht auf Face­book bekannte Kon­takte klickte, sorgte zusätz­lich für eine Flut von auf­mun­tern­den Ein­la­dun­gen per Email in hoher Takt­zahl in das Post­fach mit der Email-Adresse des betrof­fe­nen Kon­takts. Gerade bei geschäft­li­chen Kon­tak­ten oder auch Pati­en­ten und Kun­den von Arzt­pra­xen und Anwalts­kanz­leien sorgte das regel­mä­ßig für Erheiterung.

Die Panne

Kam man als Face­book Nut­zer nun auf die Idee, seine Daten wie­der von den Ser­vern des Unter­neh­mens abzu­ru­fen, waren diese fein säu­ber­lich ergänzt. Wo mög­li­cher­weise Lücken bei Email-Adressen oder Tele­fon­num­mern klaff­ten, waren diese nun aku­rat durch die Anga­ben von ande­ren Nut­zern und deren hoch­ge­la­de­nen Adress­bü­chern ver­voll­stän­digt. Kom­for­ta­bler ist die Pflege der eige­nen Kon­takt­da­ten­bank doch kaum zu haben.

Was sagt Face­book dazu?

Mitt­ler­weile ist die­ses “Fea­ture” beho­ben. Das Unter­neh­men rea­giert etwas ver­schnupft auf den Vor­wurf der Nach­läs­sig­keit mit der Aus­sage, dass selbst eine “enga­gierte Sicher­heits­ab­tei­lung tech­ni­sche Pan­nen nicht hun­dert­pro­zen­tig aus­schlie­ßen kann”.

Ob die Zusam­men­füh­rung der per­so­nen­be­zo­ge­nen Daten­samm­lun­gen eine tech­ni­sche Panne gewe­sen ist, mag dahin­ge­stellt sein. Ein Schelm, wer dabei an Absicht und Pro­filing denkt. Die Mög­lich­keit des Down­loads war jedoch bestimmt so nicht vorgesehen.

In die­sem Sinne “I like” :-)