Wer für das Durchsickern der 600.475 Datensätze der TGKK gesorgt hat, wird maximal mit 10.000 Euro belangt. IT-Sicherheit sei in Österreich nur schlecht ausgeprägt, kritisieren Datenschützer.
Wer auch immer dafür gesorgt hat, dass die Gruppierung Anonymous Austria an die Datenbank der Tiroler Gebietskrankenkasse gekommen ist, könnte sich hohen Geldstrafen gegenüber sehen. Wegen gröblicher Verletzung von Sicherheitsvorkehrungen drohe eine Verwaltungsstrafe von bis zu 10.000 Euro, sagt Hans Zeger von der ARGE Daten. Sollten entgegen dem aktuellen Informationsstand doch auch Krankengeschichten in den 600.475 Datensätzen vorhanden sein, die Anonymous besitzt, könnte es noch teurer werden. Würde eine ansteckende Krankheit publik werden, könnte das bis zu 20.000 Euro pro Fall kosten, sagt Zeger.
Betroffene müssen informiert werden
Nach Angaben des Datenschützers müsse die TGKK alle Betroffenen über den Datenklau informieren. Diese beteuert nach wie vor, dass die Daten bei einem Vertragspartner durchgesickert sind. Die eigenen Server seien nicht attackiert worden, versicherte TGKK-Obmann Michael Huber im Gespräch mit DiePresse.com. Anonymous, die diesmal von einer Veröffentlichung ihre Beute absahen, dürfte (zumindest für diesen Fall) keine Strafe drohen. Dass die Gruppe, wenn ihre Behauptungen stimmen, nur zufällig auf die Daten gestoßen ist, vergleicht Zeger etwa damit, wie wenn jemand eine nicht abgesperrte Autotür öffnet.
Provider wird nicht belangt
Ebenfalls ungeschoren davonkommen dürfte der Provider, auf dem die Datenbank, angeblich als gezippte Textdatei, gelegen ist. "Dieser ist von der Haftung für rechtswidrige Inhalte ausdrücklich ausgenommen", sagt Zeger. Wird er aber darauf hingewiesen und sind die bei ihm gelagerten Dateien wirklich rechtswidrig, muss er sie vom Netz holen - tut er das nicht, kann er wegen der missbräuchlichen Verwendung von Daten belangt werden.
Jauche statt IT-Sicherheit
Problematisch sieht Zeger die Strafzuständigkeiten. In Österreich sei der Strafreferent der Bezirkshauptmannschaften zuständig, sagt Zeger gegenüber der Futurezone. Dieser sei sonst "mit Verstößen wie dem unsachgemäßen Aufbringen von Jauche auf Feldern beschäftigt." Diese Stellen könnten gar nicht beurteilen, ob ein IT-System sicher sei oder nicht. Das Datenschutzgesetz schreibt vor, dass private Unternehmen und öffentliche Einrichtungen verpflichtende Maßnahmen zur Wahrung der Datensicherheit treffen müssen. Die Bestimmung sei aber recht zahnlos, kritisiert Eva Souhrada-Kirchmayer von der Datenschutzkommission.
(APA/db)