Dick und Doof: Behörden-IT in Österreich

Als wäre die Situation mit Covid-19 nicht schon schlimm genug, stolpert die österreichische IT derzeit wie in einem Buster Keaton oder Laurel & Hardy Slapstick-Film von einem IT-Fettnäpfchen ins nächste. Und da denke ich über Geldvernichtungsaktionen wie Shöpping oder „Kaufhaus Österreich” noch nicht einmal nach.

Das Desaster beginnt ja damit, dass anscheinend viele „Rechenzentren” in den Bundesländern, aber auch im Bundesumfeld von der DSGVO und der Tatsache, dass diese auch für Behörden gilt (auch wenn diese sich straffrei halten können), offensichtlich überrascht wurden. Ich mein, von der Verabschiedung weg gab ja NUR eine zweijährige Übergangsphase, bis sie 25. Mai 2018 in Kraft trat. DAMIT KONNTE DOCH NIEMAND RECHNEN !!!!!

Ebenfalls nicht durchgesprochen hat es sich anscheinend in den Rechenzentren des Bundes und der Länder, dass eine IP-Adresse eines Users zu den personenbezogenen Daten gehört. Die Interpretation, dass nach Art. 2 der DSGVO ein Datum personenbezogen ist, wenn der Betroffene „direkt oder indirekt identifiziert werden kann”, wurde auch vom EuGH in der Rechtssache C‑582/14 mittlerweile bestätigt.

Anders lässt sich die Ignoranz der diversen behördlichen IT-Dienstleister nicht erklären, mit der sie fast frei Jahre nach Inkrafttreten der DSGVO deren Vorschriften hinsicht Datenweitergabe (im Gesundheitsbereich) ignorieren.

Sowohl bei den Anmeldeseiten zu den Covid-19 Massentests, als auch bei den Anmeldeseiten für die Covid-19 Impfungen werden hier fröhlich Schriftarten, User-Tracking und Benutzungsanlyse-Tools von Drittanbietern eingebunden, die zum Großteil sogar außerhalb der EU beheimatet sind. Dass diese Drittanbieter, die oft alle Daten, die sie bekommen weiterverkaufen, damit erfahren, dass die aufrufende Person (die für diese Dienstleister über IP-Adresse, Cookies, …meist eindeutig identifizierbar ist) eine Website im Gesundheitskontext aufruft, wird hier geflissentlich ignoriert.

Es kommt für die ganzen EDV-Organisationen und ihre EntwicklerInnen natürlich völlig überraschend, dass es eventuell keine gute Idee (DSGVO, siehe oben) ist, Ressourcen wie Schriftarten, JavaScript-Libraries, etc. von US-basierten Cloud-Providern zu laden, anstatt diese lokal vorzuhalten, was technisch trivial umzusetzen ist.

Dass all diese Rechenzentren bei der Einbindung von Googles reCaptcha eigentlich eine Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO mit Google abschließen müssten, weil Googles „data processing terms” zwar für Google Ads und diverse andere „Angebote” angeboten wird, aber nicht für reCaptacha, ist ein Detail, das nur deswegen ingnoriert werden kann, weil die österreichische Datenschutzbehörde weiterhin von der Bundesregierung als lästiger, zahnloser Tiger behandelt und entsprechend personell ausgestattet wird.

Auch wenn Google „verspricht”, diese Daten nicht weiterzuverwenden (hahahahaha) entbindet das nicht von den Vorschriften der DSGVO. Und apropos, das wird bei der Verwendung von reCaptcha offiziell an Daten gesammelt.

Wenn Euch fad ist, schaut mal welche dieser Covid-19 bezogenen Websites mit reCaptcha auch eine eigene „Privacy Policy” online haben – etwas, das Google verpflichtend bei der Verwendung von reCaptcha vorschreibt.

Es kommt aber auch wie gesagt VÖLLIG ÜBERRASCHEND, dass ein EDV-Anbieter seine Formulare vor Bots schützen möchte und Googles reCaptcha ev. DSGVO Probleme aufwirft. Es gibt ja auch überhaupt keine Alternativen, die mensch in den letzten drei Jahren in den Bundes- und Länderrechenzentren implementieren hätte können.

Völlig überraschend kam auch auch das Problem für das Rote Kreuz und deren IT-Dienstleister in Salzburg auf, dass bei Testanmeldungen auch IDs vergeben werden müssen und diese ev. nicht fortlaufend sein sollten. Ein Problem, dass in der IT mit einem „Cryptographic PRNG” – der für einen IT-Dienstleister kein Problem darstellen sollte – als gelöst betrachtet werden könnte.

Auf das IT-Desaster bei den Teststraßen der Stadt-Wien oder die „Migration” der Bürgerkartenfunktion/Handy-Signatur in Richtung „ID Austria” will ich gar nicht genau hinschauen, so viel Alkohol verträgt meine Leber nicht.

In den letzten Monaten wurden Fehler gemacht, die ich bei Schulprojekten noch akzeptieren würde – aber hier arbeiten Personen, deren einzige Aufgabe es wäre, sichere, stabile, datenschutzkonforme Anwendungen für die österreichischen Bürgerinnen und Bürger zu bauen. Es ist zum Verzweifeln ….

Tagged as: , , , | Author:
[Mittwoch, 20210203, 18:36 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist