Das System mag schon so sein, aber da geht' s um personenbezogene Daten / beinhalten auch Daten zum Gesundheitszustand / Stichwort besondere Kategorie mit eigenen Regelungen.kuni hat geschrieben: ↑Fr 14. Jan 2022, 09:40Vorweg, er hat nicht seinen Job verloren, sondern den Auftrag durch diese Apotheke. Er darf ein nicht legales Webinterface nicht weiter betreiben.Django hat geschrieben: ↑Do 13. Jan 2022, 23:46https://oesterreich.orf.at/stories/3138418Unsauberer Zugriff auf Apotheken-Testdaten
Ein IT-Experte und die Datenschutz-NGO epicenter.works sehen erhebliche Mängel bei „Österreich testet“: Über das System, das den Apotheken zum Eintragen der Tests dient, sollen monatelang nicht nur Ergebnisse der eigenen Kunden, sondern sämtliche österreichische Testergebnisse und zugehörige persönliche Daten abrufbar gewesen sein. Das Ministerium weist Kritik zurück, der Experte verlor seinen Job.
Kritik von epicenter.works
Thomas Lohninger, Geschäftsführer der Datenschutz-NGO epicenter.works, kritisierte das Vorgehen des Ministeriums. Der Entwickler habe sich „absolut richtig“ verhalten – statt Dankbarkeit habe die Reaktion des Ministeriums dazu geführt, dass der Mann seinen Job verloren habe. Er forderte eine Entschuldigung Mücksteins bei dem Mann – und eine Erhöhung der IT-Kompetenz in dem Ministerium.
Ich liebe die Bananenrepublik jeden Tag mehr.
Weiters haben alle Apotheken den Zugriff wissentlich gehabt und auch unterschrieben, dass Sie nur auf relevante Daten Ihrer Kunden zugreifen, welche sich mit Ausweis ausgewiesen haben. Euer Sachbearbeiter bei der BH hat auch Zugriff auf alle Österreicher, darf aber nicht einfach mal so durch die Gegend schauen wer welche Waffen hat. Die Apotheken haben damit hoheitliche Aufgaben übernommen und mit Unterschrift bestätigt, dies auch nach den entsprechenden Vorgaben durchzuführen. Dies ist für Apotheken auch bei anderen Vorgängen so geregelt.
Vorteil: ich kann auch zu einer anderen Apotheke gehen und meine Ergebnisse abholen. Ist vor allem bei Apotheken mit mehreren Filialen notwendig. Wenn jetzt die Apotheke
1) einen Fremden Zugriff auf das System lässt (es ist genau geregelt, wer Zugriff hat - Betriebsfremde Programmierer stehen da nicht drauf)
2) dieser noch ein Script erstelle um möglichst große Datenmengen abzugreifen (es ging nur am Apotheken PC mit personalisierten Zugang)
Dann verliert diese das Apotheke unverzüglich das Recht des Datenzugriffes. Das tut der Apotheke weh, weil die verdienen sehr gut mit dem ganzen Corona
Aber: viel Lustiger ist ja, wenn man irgendwo draufhauen kann - auch wenn man selbst keinen Plan hat. Passt halt genau zur Zeitung Österreich und deren Leser.
Artikel 5 der DSGVO z. B.:
https://www.jusline.at/gesetz/dsgvo/paragraf/5
Grundsätze der Verarbeitung ...
f)
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Da kann jeder Teilnehmer im System auf alles zugreifen und eine nette Verpflichtung vom Teilnehmer ... eh liab. Macht das ein Privater, es kommt raus ... schwupps kommt die Datenschutzbehörde ins Haus und dreht dir das ab.
Steht auch zusätzlich im österreichischen Datenschutzgesetzt bei §37 bzwq. §54:
https://www.ris.bka.gv.at/GeltendeFassu ... r=10001597
Datensicherheitsmaßnahmen
§ 54. (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, unter Berücksichtigung der unterschiedlichen Kategorien gemäß § 37, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß § 39.
(2) Der Verantwortliche und der Auftragsverarbeiter haben im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen zu ergreifen, um folgende Zwecke zu erreichen:
....
2.
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);
3.
...
Datenschutzfolgeabschätzung oder etwas in der Richtung bei dem System ist wohl ebenso Fehlanzeige.
Stimmt schon & OE24 bzw. das WC-Papier ist nicht ernst zu nehmen, aber komplett erstunken dürfte das wohl nicht sein.
https://futurezone.at/netzpolitik/siche ... /401870441
Ist aber eh Makulatur, weil gegen Behörden ja gemäß §30 österreichischem Datenschutzgesetz keine Strafen verhängt werden können:
(5) Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden.
ots. They will bring you down to their level and beat you with experience
