Themenüberblick
Datenschutz als Nebenbeschäftigung
„Wir haben informelle Kontrollverfahren im Fall der veröffentlichten Polizistendaten und der TGKK-Daten eingeleitet“, so Eva Souhrada-Kirchmair, geschäftsführendes Mitglied der Datenschutzkommission (DSK) auf Anfrage von ORF.at. Während im Fall der - nach Angaben der Hackergruppe AnonAustria - rund 600.000 Datensätze von Versicherten mit der Tiroler Gebietskrankenkasse (TGKK) wenigstens der laut Datenschutzgesetz (DSG) zuständige Auftraggeber feststeht, tappen die Behörden bezüglich des ins Netz gelangten Polizistenverzeichnisses immer noch im Dunklen.
Innenministerium und TGKK haben nun rund zwei Wochen Zeit, um auf die Anfragen der Datenschutzkommission zu antworten. Die Behörde wird diese Schreiben dann auswerten und eventuell eine Empfehlung aussprechen, die nicht veröffentlicht werden muss. Dieser Empfehlung können die angeschriebenen Institutionen dann folgen - oder nicht. Sanktionen kann die DSK nicht verhängen, sie kann die Datensünder nur an den Pranger stellen oder eine Feststellungsklage einreichen. In anderen Ländern wie Frankreich oder Spanien dürfen die Aufsichtsbehörden auch Bußgelder verhängen. Wäre das auch in Österreich sinnvoll? „Mehr Respekt hätte man dann vor uns schon“, so Souhrada-Kirchmair.
„Erhebliche Defizite“
Im aktuellsten Datenschutzbericht der DSK, dem des Jahres 2009, schreibt die Behörde, dass sie die im EU-Recht vorgeschriebenen Aufgaben einer Datenschutzkontrollstelle mangels Personal „nur mit geringer Intensität“ wahrnehmen könne. Vor-Ort-Kontrollen könnten kaum vorgenommen werden, auch in der zunehmend wichtigen internationalen Zusammenarbeit mit den Partnerbehörden in den anderen EU-Staaten bestünden „erhebliche Defizite“.
Die Geschäftsstelle der DSK verfügt über 20 Planstellen, 11,5 davon sind allerdings für die Pflege des Datenverarbeitungsregisters zuständig. Seit 2009 hat sich an der personellen Ausstattung der DSK nichts geändert. Das mag auch daran liegen, dass ohnehin geplant ist, die Behörde abzuschaffen und ihre Kompetenzen im Rahmen der Verwaltungsreform an ein Gericht zu übertragen - irgendwann.
Aufsichtsbehörde kann nicht strafen
Bei der nach EU-Recht vorgeschriebenen Einrichtung einer unabhängigen Datenschutzbehörde hat es Österreich nämlich - anders als bei Einführung der Vorratsdatenspeicherung - auf ein Vertragsverletzungsverfahren der EU-Kommission ankommen lassen. Eingereicht wurde die entsprechende Klage durch die Datenschutzorganisation ARGE Daten bereits 2004. Der Europäische Gerichtshof wird sich darum kümmern. Ein Termin für den Verhandlungsbeginn steht noch nicht fest.
„Wir haben eine Aufsichtsbehörde, die nicht sanktionieren kann, und eine Strafbehörde, die keine Aufsicht ausüben kann“, fasst ARGE-Daten-Obmann Hans Zeger auf Anfrage von ORF.at die Situation zusammen. Institutionelle Datensünder haben eine Verwaltungsstrafe in Höhe von bis zu 10.000 Euro zu erwarten. Zuständig dafür sind die Bezirkshauptmannschaften, die aber, so Zeger, oft gar nicht wüssten, dass sie für die Ahndung von Verstößen gegen das Datenschutzrecht zuständig seien.
Sicherheit weggespart
Die Anonymous-Aktionen kommen für den Datenschutzexperten nicht überraschend. „Wir haben uns schon bei den Sony-Hacks im Frühjahr überlegt, ob wir darauf hinweisen sollten, dass dieser Trend auch nach Österreich überschwappen könnte“, so Zeger. Die Datenlecks gehörten schon zur „neuen Normalität“ der Informationsgesellschaft: „Die Systeme werden immer komplexer, lebenswichtige Funktionen werden in vernetzte Datenverarbeitungsanlagen ausgelagert.“
Der entscheidende Denkfehler der Verantwortlichen in Politik und Management bestehe aber darin, die EDV immer noch als Instrument der Rationalisierung zu betrachten. „Bei kleineren Datenanwendungen ist der Spareffekt gering, wenn man sie sicher konstruiert“, sagt Zeger. Der Spardruck führe dazu, dass die Sicherheitsvorkehrungen gerne vernachlässigt würden.
Zentrale Anlaufstelle gefordert
Zeger spricht sich dafür aus, eine wirksame Aufsichts- und Strafbehörde zu installieren. Derzeit herrsche Kompetenzwirrwarr, der auch verhindere, dass die Bürger sich bei der richtigen Stelle, etwa bei der DSK, beschwerten. Als weitere Sicherungsmaßnahme sollten die Betriebe Datenschutzbeauftragte ernennen müssen. Das sollte mit der letzten DSG-Novelle umgesetzt werden, fiel aber dann heraus. Zudem sollten sich Betriebe und Behörden, die mit sensiblen Daten umgehen, verpflichtenden Datenschutzprüfungen unterziehen müssen.
Auch bei der unmittelbaren technischen Analyse und Abwehr von Bedrohungen für die IT-Infrastruktur könnte Österreich - abseits der großen Institutionen und Unternehmen - besser aufgestellt sein. Die IT-Sicherheitsorganisation CERT.at ist mit vier Vollzeit- und zwei Teilzeitkräften in der Technik nicht unbedingt üppig ausgestattet.
Abwehr und Analyse stärken
CERT.at engagiert sich auch in GovCERT, der Sicherheitsgruppe für das Netz der Regierung. „Dort arbeiten auch Angestellte des Bundeskanzleramts mit, die aber auch noch andere Agenden haben“, so Otmar Lendl, technischer Leiter von CERT.at, gegenüber ORF.at, „im Krisenfall stoßen auch die Sicherheitsbeauftragten der Ministerien und Landesregierungen dazu.“
Der IT-Sicherheitsexperte hält es für „definitiv sinnvoll“, diese Kapazitäten systematisch auszubauen. „Wollte man in Österreich gezielt gegen Bot-Netze, Spionage und andere Bedrohungen vorgehen, wären deutlich höhere Investitionen in die IT-Sicherheit nötig“, so Lendl.
Dass sich an der verfahrenen Situation schnell etwas ändern wird, bezweifelt Datenschützer Zeger. Im Gegensatz zu Umwelt- und Tierschutzproblemen seien die Gefahren im Netz zu abstrakt: „Der Leidensdruck ist auch mit Anonymous noch nicht hoch genug.“
Günter Hack, ORF.at
Links:
Publiziert am 29.09.2011