Das österr. Rote Kreuz und die falsch verstandene Datensparsamkeit

Aus dem Satz

Der Zustand jeder Sicherung ist unbekannt, bis eine Wiederherstellung versucht wird.

folgt das Korollar:

Der Zustand jedes Dokumentscans ist unbekannt, bis versucht wurde, diesen zu lesen.

Aktuelles Beispiel: Das österreichische Rote Kreuz, bei dem 147.000 gescannte Dokumentationsbögen der CoV-Impfstraßen nicht mehr auffindbar sind. Eins könnte meinen, dass der ehemalige Finanzminister Blümel nun beim Roten Kreuz eine Heimat gefunden und seinen Kompetenzen gemäß eingesetzt wird:

„Wir sind jedoch überzeugt, dass wir die externe Festplatte und den dazugehörigen Laptop noch finden”, sagte Landesrettungskommandant Anton Holzer.

147.000 Dokumente, die bestätigen, dass ärztliches Personal 147.000 Personen die Gebrauchsinformation zum genannten Impfstoff ausreichend erklärt hatten, über mögliche Nebenwirkungen und Umstände, die gegen eine Impfung sprechen, informierten, Nutzen und Risiko der Impfung dadurch ausreichend erlärten und mit der Durchführung der kostenlosen Schutzimpfung einverstanden seien.

Baghdad Bob or Comical Ali are two nicknames that were given to former Iraqi Information Minister Mohammed Saeed al-Sahhaf due to his colorful manner of speech and demeanor in his daily briefings during the Second Gulf War. The briefings were marked with propaganda or misinformation in order to boost the morale of Iraqi troops, which drew the attention of international media. Obwohl auf diese Weise 147.000 der rund 300.000 handschriftlich ausgefüllten Dokumentationsbögen nicht mehr auffindbar sind, seien die praktischen Auswirkungen gering, sagt Landesrettungskommandant Anton Holzer.

Die Dokumentation darüber ist für 147.000 Personen futsch. Aber für den Landesrettungskommandanten Holzer ist das kein Problem:

Obwohl auf diese Weise 147.000 der rund 300.000 handschriftlich ausgefüllten Dokumentationsbögen nicht mehr auffindbar sind, seien die praktischen Auswirkungen gering, sagt Holzer.

Wir wissen genau, wann jemand in welcher Impfstraße von welchem Arzt, mit welchem Impfstoff und mit welcher Chargennummer geimpft wurde. Allerdings fehlt uns diese ergänzende Dokumentation – nämlich der Dokumentationsbogen.

Eventuell sollter Hr. Holzer einmal mit seiner Rechtsabteilung sprechen, weil in den Kommentaren zur Presse redet er sich um Kopf und Kragen:

„Wir sind jedoch überzeugt, dass wir die externe Festplatte und den dazugehörigen Laptop noch finden”, sagte Landesrettungskommandant Anton Holzer.

Auch das Rote Kreuz hat Verpflichtungen, wenn es um – in diesem Fall sogar „besonders schutzwürdige” – personenbezogene Daten aka. Gesundheitsdaten geht. So etwa die Meldepflicht gemäß Artikel 33 DSGVO, „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde”:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Wobei es sicherlich spannend wäre, ob Wir sind jedoch überzeugt, dass wir die externe Festplatte und den dazugehörigen Laptop noch finden … argumentativ als … es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt durchgeht. Wobei, bei unserer, derzeit führungslosen Datenschutzbehörde wahrscheinlich schon. Aber zumindest ist die Meldung bei der DSB laut Presse erfolgt – auch wenn sie, wie immer in Österreich, ziemlich sicher konsequenzlos bleiben wird.

Aber lasst uns nochmal auf die externe Festplatte und den dazugehörigen Laptop zurückkommen. Da gibts § 37 Abs 1 Z 6 DSG:

§ 37. (1) Personenbezogene Daten

6. müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Ein Laptop und eine externe Festplatte (auf der die Daten hoffentlich verschlüsselt abgelegt wurden – LOL), die dann auch noch verloren gehen, würde ich jetzt nicht als „geeignete technische und organisatorische Maßnahme” ansehen. YMMV. Auch hier wäre eine Prüfung durch die DSB angebracht, aber … siehe oben.

Und müssen wir im Jahre 2023 noch darüber diskutieren, warum die Daten nur auf Laptop/(hoffentlich verschlüsselten) externen Festplatte und nicht darüber hinaus zumindest noch auf einem Server abgelegt wurden? Selbst eine popelige Nextcloud-Installation oder ein schickes SyncThing-Setup wäre da eine bessere Lösung. Und an der Konnektivität kann es ja auch nicht mehr liegen - wir haben ja „Glasfaser aus der Luft” quasi flächendeckend in Österreich (*hust*).

Und das alles wurde nur bekannt, weil eine Privatperson von ihrem Recht auf Auskunft (§ 1. Abs 3 Z 1 DSG/Art. 15 DSGVO) gebraucht gemacht hat. Was zwei Schlüsse zulässt:

  1. Personenbezogene Daten wurden NICHT in einer Weise verarbeitet, die eine angemessene Sicherheit vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewähleistete und es müsste die DSB eigentlich aktiv werden.
  2. Die Nutzung des Rechts auf Auskunft auch durch Einzelne kann etwas bewegen. Macht mehr Gebrauch davon!!!

P.S.: Wir brauchen einen besserern (IT) Journalismus, besonders in den Bundesländern. Die Aussagen, mit denen die SprecherInnen der Unternehmen durchkommen, ohne dass hier hinterfragt wird, sind eine Katastrophe. Ich untertütze derzeit tag eins in der Hoffnung, dass sie diese Themen öfter aufgriefen. Aber es gibt noch zahlreiche andere unabhängige, gute Medien, wie Tagebuch oder Datum, die unsere Unterstützung brauchen.

P.P.S: Selbst wenn das österr. Rote Kreuz alle Dokument sauber eingescannt und verfügbar hätte, wäre das noch kein Garant für korrekte Daten gewesen, wie David Kriesel 2014 in seinem Talk „Traue keinem Scan, den du nicht selbst gefälscht hast” am Chaos Communicaton Congress gezeigt hat.

Update 2023-10-17

Die bösen Wiener ermitteln: Nach der Datenpanne mit rund 147.000 nicht mehr auffindbaren Dokumentationsbögen aus den CoV-Impfstraßen des Roten Kreuzes Salzburg ermittelt jetzt die Datenschutzbehörde in Wien.

Und auch dieses Update unterstreicht, dass vor allem die Regionalmedien und ORF Landesstudios „Digitale Grundbildung” dringen nötig hätten: Datenschutz will klären, „ob Maßnahmen zu ergreifen sind“. Der Datenschutz klärt gar nix. Oder, um einen bekannten Wiener Major zu zitieren: „Datenschutz” gibts kan.

Und aus dem beliebten Kapitel „Eine Krähe hackt der anderen kein Auge aus” berichtet der ORF Salzburg:

Das Land Salzburg werde aus der Datenpanne dagegen keine rechtlichen Konsequenzen ziehen, hieß es auf ORF-Anfrage.

Werter ORF, das ist keine „Panne”-

Quellen

Tagged as: , , , | Author:
[Montag, 20231016, 22:45 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.
Impressum / Offenlegung gemäß § 25 Mediengesetz

Search

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, at, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalisierung, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, Lotus, lotus, Lotus Notes, lotus notes, LotusNotes, lotusnotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, vim, Vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, Web20, web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist