Datendiebstahl von mehr als der Hälfte der griechischen Bürger
Daten von mindestens der Hälfte der griechischen
Steuerzahler ist in die Hände gerissener Unternehmer gefallen. Es handelt sich
um den grössten Diebstahl steuerlicher und persönlicher Daten, der jemals in Griechenland
verzeichnet wurde, wie aus den monatelangen Ermittlungen der
Datenschutzbehörde, der griechischen Polizei (ELAS) aber auch der Zentrale für
Informationssysteme (GGPS) hervorgeht.
Die „Entwendung“ erfolgte in der GGPS, die dem Finanzministerium
untersteht. Dabei handelt es sich um die primäre Datenbank des Landes, in welcher
die Steuererklärungen und viele andere Daten aller griechischen
Steuerpflichtigen gespeichert sind.
Hinweise bestanden
bereits schon seit 2010
Beeindruckend ist, dass obwohl die ersten Hinweise von
Massenentwendungen steuerlicher Daten bereits schon seit 2010 vorlagen, die
Ermittlungen der zuständigen Behörden erst nach zwei Jahren – seit Ende 2012 und
Anfang 2013– angefangen haben, Früchte zu tragen. Bis heute sind diese jedoch
noch nicht abgeschlossen, so dass auch die Schuldigen noch nicht bestraft werden konnten.
Es ist typisch, dass die Datenschutzbehörde gesamte drei
Jahre gebraucht hat, um die Ermittlungen abzuschliessen und ihre
Schlussfolgerungen zu ziehen und es wird geschätzt, dass es weitere zwei Monate
dauern wird, um die Anklagen gegen „Handel mit Personendaten betreibende
Unternehmen“ zu belegen und ihre Namen zu veröffentlichen. All dies hatte zum
Ergebnis, dass diese Kreise sogar bis vergangenen September ihre Aktivitäten
fortsetzten und Daten vom GGPS entwenden konnten.
Geldstrafe gegen GGPS
Die Enthüllung dieser enormen Datenentwendung brachte
kürzlich die Datenschutzbehörde (APPD) ans Tageslicht, die nun der GGPS die von
Gesetzes wegen höchste vorgesehene Geldstrafe von 150‘000€ auferlegt hat.
Aus den Ermittlungen der APPD und der ELAS ist ersichtlich,
dass mindestens fünf Unternehmen, die „im Bereich des Handels von Personendaten
mit persönlichem Charakter tätig sind“, die Empfänger dieses offensichtlich
enormen Datenumfangs waren.
Die ermittelten persönlichen (steuerlichen) Daten betreffen
mindestens die Jahre von 2000 bis 2012. Zusammenfassend beinhalten diese:
a) Daten des Formulars E1 betr. die Finanzjahre von 2003 bis 2009 und teilweise 2012
b) Daten des Formulars E2 betr. das Finanzjahr 2006
c) Daten des Formulars E9
d) Daten betr. der einheitlichen Immobiliensteuer (ETAK)
e) Daten betr. der Sonderabgabe nach N. 3986/2011 betr. das Finanzjahr 2011
f) Daten des Zentralregisters der Steuerzahler
g) Daten der Bescheide des Jahres 2010 betr. Selbstveranlagung
h) Daten der Fahrzeugabgaben für die Jahre 2006 bis 2012
Welche Massnahmen
werden von der Datenschutzbehörde verlangt
Mit Beschluss der Datenschutzbehörde wird die GGPS grundsätzlich
aufgefordert, die zugelassene Sicherheitspolitik vollständig anzuwenden, d.h.
auf allen unter ihrer Verantwortung stehenden Informationssystemen. Nach einer
umfassenden Risiko- und Sicherheitsanalyse müssen auch die bestehenden Sicherheitsrichtlinien,
Umsetzung und Anwendung neu überarbeitet und teilweise die Sicherheitspläne neu
bewertet werden.
Im Rahmen oben genannter Aktionen ist, gemäss der
Datenschutzbehörde, auch folgendes vorzukehren:
a) Die schrittweise Ermittlung eventueller Download-Zertifizierung bezüglich
Sicherheitsverfahrens.
b) Die Kontrolle durch unabhängige Organisationen in regelmässigen Abständen -
mindestens jährlich -, der Systemsicherheit und –verfahren, einschliesslich der
Bewertung der umgesetzten Sicherheitsmassnahmen. Die Ergebnisse sind der
Datenschutzbehörde mitzuteilen.
c) Die periodische Kontrolle durch die GGPS - mindestens jährlich – der den Prozess
Ausführenden bezüglich der Ergreifung geeigneter Sicherheitsmassnahmen.
Die GGPS hat innerhalb zwei Monaten einen entsprechenden
Zeitplan zu erstellen, mit welchem die Verfahren der Organisation, Überwachung
und Aktualisierung oben Genanntem festgelegt wird und die Zeitrahmen ihrer
Ausführung. Ebenfalls hat die GGPS die Datenschutzbehörde alle drei Monate über
die Ausführung Bericht zu erstatten.
Zur Vermeidung, Ermittlung und Aufdeckung von Vorfällen
bezüglich Verletzung des persönlichen Datenschutzes sollten folgende Massnahmen
vorgesehen und umgesetzt werden, betont die Datenschutzbehörde in ihrem
Beschluss:
a) Kontrollierte Verfahren zum Datenaustausch, mittels einer geeigneten
Bevollmächtigung, von der Endstelle, die zur Verarbeitung personenbezogener Daten
genutzt wird oder/und die Verwendung oder Ausschluss von Wechselmedien und die
Internetverbindung von bestimmten Endstellen.
b) Massnahmen zum Schutz der Dateien, die Kontrolle des Fernzugriffs und die Aktivierung
systematischer Verfahren zur Nutzung von Passwörtern auf jedem System.
c) Überprüfung des Datenverarbeitungsprozesses (SELECT) in Datenbanktabellen oder
Systemen, die persönliche Daten verarbeiten und Ergreifung von Massnahmen zur
automatisierten, präventiven Kontrolle der Datenarchive.
Quelle: in.gr / marketbeast.gr
siehe hierzu relevante Artikel unter "Datenschutz"
Kommentare
Kommentar veröffentlichen
Besten Dank für Ihren Kommentar.