Yes We Scan

In der Kategorie "Behörden und Verwaltung" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

Das pfeifen die Spatzen von den Dächern: Verpfeift den Whistleblower

Beatrix Karl, ÖVP

  • Nicht erst seit Edward Snowden ist bekannt, dass Whistleblower gefährlich leben, versuchen doch die Enttarnten das Verraten ihrer Geheimnisse mit allen Mitteln zu verhindern. Der Schutz von Informanten vor allem im privaten Sektor müsse gewährleistet werden, sagt Franz Fiedler, ehemaliger Präsident des Rechnungshofes. Ein Heilversprechen das Justizministerin Beatrix Karl bei der Vorstellung des hoheitlichen "Wikileaks" gibt, denn das neue "eingesetzte Hinweisgebersystem garantiert die absolute Anonymität der User und kann auf der Justizhomepage unter "Quicklinks" aufgerufen werden."
    "Zu Risiken und Nebenwirkungen lesen Sie ..." sei einem potentiellen Whistleblower geraten, bevor man sich auf diese Garantie blindlings einläßt. In diesem Fall sind zwar keine Skripte von Google oder Facebook eingebaut, doch dafür steht der Server bei einem Cloud-Anbieter in Deutschland auf den kein österreichisches Ministerium hoheitlichen Zugriff hat. Neben der österreichischen Seite werden auch die Hinweissysteme deutscher Behörden und Firmen über den selben Webservicedienst abgewickelt. Das BKSM- System der Berliner Business Keeper AG [http://www.business-keeper.com/whistleblowing-compliance.html] verwenden in der selben Form u.a. auch Nestle, die Deutsche Bahn oder die Commerzbank.
    Eine solche Zentralisierung aller Informationsgeber in einem Service spart auch bei der Suche nach unliebsamen Whistleblowern viel Aufwand und auch die generellen Risiken privater Firmen bei der Speicherung sensibler Daten sind wohlbekannt.

  • Quellen:
    • bkms-system: Folgende weitere Whistleblower Subseiten laufen auch auf dem Server:

      * Landeskriminalamt Niedersachsen
      * Einstieg in den Meldeprozess der ICPC
      * Einstieg in den Meldeprozess der Kenya Anti-Corruption Commission
      * Einstieg in den Meldeprozess der Bertelsmann Gruppe
      * Einstieg in den Meldeprozess der Commerzbank AG
      * Einstieg in den Meldeprozess der Deutschen Telekom AG
      * Einstieg in den Meldeprozess der T-Mobile Polska S.A.
      * Einstieg in den Meldeprozess der Fraport AG
      * Einstieg in den Meldeprozess der MAN Gruppe
      * Einstieg in den Meldeprozess der Reisebank AG
      * Einstieg in den Meldeprozess der Kaufmännische Krankenkasse - KKH
      * Sollten Sie keines der aufgelisteten BKMS® Systeme auswählen, werden Sie in wenigen Sekunden automatisch auf die Webseite der Business Keeper AG weitergeleitet.
    • BM.J BEATRIX KARL: "WHISTLEBLOWER-HOMEPAGE ALS NEUER ANSATZ IM KAMPF GEGEN KORRUPTION"
      Bevölkerung kann über anonymes Hinweisgebersystem aktiv an Aufklärung von Korruptionsfällen und Wirtschaftskriminalität mitwirken
    • Wienerzeitung: Korruption: Online-Plattform ermöglicht anonymes Whistleblowing
      Laut Justizministerium bedarf es keiner speziellen gesetzlichen Whistleblower-Regelung, Fiedler sieht das anders. Denn der Schutz von Informanten vor allem im privaten Sektor müsse gewährleistet werden, sagt er. So würden viele Unternehmen ihre Mitarbeiter zwar dazu aufrufen, korruptionsverdächtige Vorgänge zu melden. Allerdings würde die Identität der Tippgeber oft bekannt - woraufhin diese mit Repressionen am Arbeitsplatz bis hin zur Kündigung rechnen müssten. Zuletzt wurde zwar im Beamtendienstrecht der Satz aufgenommen, dass den Betreffenden keine Nachteile erwachsen dürfen, auch dieser Passus ist laut Fiedler aber nicht ausreichend.
    • News: Justiz setzt auf anonyme Hinweise um besser an Insiderinformationen zu gelangen
      An erster Stelle Sachbeweise Unabsichtlich verraten könnten sich Zeugen allerdings, wenn sie ein Firmen-Intranet nutzen oder (mit Metadaten versehene) Beilagen mitschicken. Man wolle in erster Linie zu Sachbeweisen kommen und nicht Identitäten offenlegen, betonte Vrabl-Sanda. Eine Strafverfolgung eines möglicherweise involvierten Zeugen konnte sie aber nicht ausschließen.
    • Wienerzeitung: Denn über die Metadaten, also die Informationen, die unsichtbar im Dokument enthalten sind, kann der Verfasser meist relativ problemlos ausgeforscht werden, die Anonymität geht verloren.
      Anonymität nur dann, wenn der Tippgeber es will
      Macht der Tippgeber einen solchen "Fehler", dann muss er damit rechnen, dass er zumindest als Zeuge vorgeladen wird, sagte Vrabl-Sanda. Prinzipiell sei es aber nicht das Ziel, Zeugen zu finden, sondern viel eher, Hinweise für Sachbeweise zu bekommen.
    • Wienerzeitung: Unabsichtlich verraten könnten sich Zeugen allerdings, wenn sie ein Firmen-Intranet nutzen oder (mit Metadaten versehene) Beilagen mitschicken. Man wolle in erster Linie zu Sachbeweisen kommen und nicht Identitäten offenlegen, betonte Vrabl-Sanda. Eine Strafverfolgung eines möglicherweise involvierten Zeugen konnte sie aber nicht ausschließen.
    • BM.J Im Gegensatz zur anonymen Anzeige, können Ermittler über die whistleblower-Homepage direkt mit den Hinweisgebern in Kontakt treten und Nachfragen stellen. So wird Mitwissern oder Beteiligten ein Anreiz geboten, mit den Behörden zu kooperieren. Das in Deutschland bereits erfolgreich eingesetzte Hinweisgebersystem garantiert die absolute Anonymität der User und kann auf der Justizhomepage unter "Quicklinks" aufgerufen werden.

Austro Control und die Entmündigung der Experten

Dr. Heinz Sommerbauer, Mag. Johann Zemsky, Austro Control GesmbH

  • Im Rahmen der Diskussionen um die Einführung von ELGA ist immer wieder die Sorge aufgetaucht, dass Befunde beim Arbeitgeber landen könnten - für Arbeitgeber, Betriebsärzte, Behörden, Versicherungen und Kassen-Chefärzte sollen die Daten tabu sein und der Zugriff soll auch technisch nicht möglich sein versichern die Verantwortlichen.
    Eine Firma, die in einem Teilbereich als Aufsichtsbehörde fungiert, definiert sich da eigenen Spielregeln. Nur Ärzte mit Zertifizierung als flugmedizinische Sachverständige dürfen Tauglichkeitsuntersuchungen des Luftfahrtpersonals durchführen und somit die Flugtauglichkeit der 12.000 österreichischen Privat- und Linienpiloten sowie der Lotsen überprüfen.
    Die Austro Control versucht nun diese Ärzte zu zwingen, auch gegen den Willen der Betroffenen Befunde an die Austro Control weiter zu leiten. Jenen Ärzten, die das auf datenschutzrechtliche Bedenken hin verweigert haben, wurde der Verlust ihrer Lizenz angedroht.
    Gegenüber einer Gruppe von Flugärzten, die zwar das Tauglichkeitsattest weitergeben, sich aber bei den Details auf den Datenschutz und das Arztgeheimnis berufen, legt die Austro Control die seit 8. April 2013 gültige EU-Verordnung der European Aviation Safety Agency (EASA) extensiv aus und pocht darauf, dass der Arzt bei jedem Check die gesamte detaillierte Dokumentation übermitteln müsse.
    Der Datenschutzrat hat hingegen festgestellt, dass eine generelle Übermittlung der detaillierten Untersuchungsberichte nicht mit dem Grundsatz der Erforderlichkeit nach 6 Abs. 1 lit c. der EU-Datenschutzrichtlinie vereinbar ist.
    Wenn Ärzte die Entscheidung über die Flugtauglichkeit aufgrund von Untersuchungen und Befunden treffen und verantworten müssen, stellt sich die Frage wofür eine Aufsichtsbehörde die Befunde haben müsse. Könnte die Austro Control ihrer Aufsichtsfunktion im Sinn einer Qualitätskontrolle über die flugmedizinischen Stellen nicht auch nachkommen, ohne das Arztgeheimnis aussetzen zu müssen?

  • Quellen:
    • Flugmedizin.Net: Flugmedizinische Untersuchungen mit Beachtung des Datenschutzes
      Aufgrund datenschutzrechtlicher Bedenken gegen die routinemäßige Übermittlung von intimen Gesundheitsdaten von Luftfahrtpersonal an die zuständige Behörde (ACG) wird empfohlen, von der Verwendung des Systems „EMPIC“ Abstand zu nehmen. Folgende Ärzte stellen fliegerärztliche Gutachten unter Berücksichtigung der diesbezüglichen Bedenken des Datenschutzrates und ohne „EMPIC“ aus (alphabetisch nach Bundesland geordnet).
      An die zuständige Behörde ACG werden nur eine Kopie des Medicals und der med. Bericht* lt. EU-Verordnung übermittelt.
      * Bericht gem. MED.A.025(b)(4)
      Name:
      Geb.
      Datum:
      Untersuchungstag:
      Durchgeführt(Nichtzutreffendes streichen): vollständige klinische Untersuchung inkl. Harnbefund, EKG, Labor, Sonographie, Ergometrie Ergebnis
      (Nichtzutreffendes streichen): Tauglich -­‐ untauglich – bedingt tauglich
      Datum:
    • Bundeskanzleramt: Der Datenschutzrat hat in seiner 216. Sitzung am 23. April 2013 einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:
      III. Schlussfolgerung

      Der Datenschutzrat
      • bekräftigt seine Rechtsüberzeugung, wonach eine generelle Übermittlung der flugmedizinischen detaillierten Untersuchungsberichte an die Austro Control GesmbH nicht mit dem Grundsatz der Erforderlichkeit nach 6 Abs. 1 lit c. der EU-Datenschutzrichtlinie vereinbar ist,
      • fordert die Austro Control GmbH mit Nachdruck auf, unverzüglich von ihrer Befugnis zur Einrichtung eines alternativen Nachweisverfahrens Gebrauch zu machen, welches ohne Übermittlung von Detaildaten aus flugmedizinischen Untersuchungen auskommt und
      • regt an, die Datenschutzkommission möge 1. eine amtswegige Überprüfung der Registrierung des Systems EMPIC vornehmen und 2. in diesem Zuge eine Vorlage der Frage der Vereinbarkeit der von der EASA angeordneten Übermittlung flugmedizinischer Detaildaten aus Untersuchungen an die nationalen Aufsichtsbehörden mit Art. 6 Abs. 1 lit. c der RL 95/46/EG an den Gerichtshof der EU erwägen.
    • Die Presse: Ärzte: Front gegen Austro Control
      Die Ärzte sprechen indes von bürokratischen Schikanen. „Kein Arzt würde die Vorschriften missachten, da wir ja auch für die Bescheinigung der Tauglichkeit haften“, sagt etwa der Wiener Arzt Josef Lawitschka zur „Presse“. Es sei selbstverständlich, im Fall von medizinischen Problemen eines Piloten Alarm zu geben. „Aber der Bluthochdruck der Großmutter ist für die Flugtauglichkeit nicht relevant.“ Lawitschka hat am Montag bei der Staatsanwaltschaft Wien eine Anzeige gegen die AC wegen Missbrauchs der Amtsgewalt eingebracht. Der Mediziner verweist zudem auf ein heikles arbeitsrechtliches Problem: Auch die Daten der Fluglotsen verlangt die Austro Control – die ist aber deren Arbeitgeber.

Vorsorgliche Chefs für gesündere Mitarbeiter

Dr. Arno Melitopulos, TGKK

  • Schon 2011 ist die Tiroler Gebietskrankenkasse durch ihr naives Vertrauen in ihre Partner aufgefallen, als die Datensätze von TGKK-Versicherten im Internet aufgetaucht sind, "die die Krankenkasse monatlich an Vertragspartner wie zum Beispiel Ärzte oder das Rote Kreuz weitergebe." Nicht enthalten seien dabei Aufzeichnungen über Erkrankungen der 550.000 Versicherten.
    Wie es scheint, war das auch nicht nötig, wurden doch die Diagnosen der jeweiligen Arbeitnehmer direkt an interessierte Betriebe übermittelt. Die einzige Bedingung um die Krankenstandsdaten (Anzahl Tage, Geschlecht und Diagnose) zu erhalten war, dass der Betrieb zumindest 50 Mitarbeiter vorzuweisen hat.
    Nicht erst in Zeiten von Big Data ist bekannt, wie einfach aus pseudoanonymisierten Daten die Person identifiziert werden kann.
    In Krisenzeiten gehen Krankenstände aus Angst um den Job schon ohne weitere Bedrohung zurück. Um wieviel mehr ängstigt dann das Wissen, das nach einem Krankenstand die Anzahl der Krankentage, das Geschlecht und die Diagnose an den Betrieb gemeldet werden und es für diesen einfach ist, den oder die Betroffene/n zu identifizieren. Prävention und betrieblicher Gesundheitsschutz schauen anders aus.

  • Quellen:
    • TGKK: Wir, die Tiroler Gebietskrankenkasse als Regionalstelle für Tirol des „Österreichischen Netzwerkes Betrieblicher Gesundheitsförderung“, sehen uns als Servicestelle für Betriebe. Wir helfen und unterstützen alle Unternehmen, die sich mit BGF auseinandersetzen bzw. BGF in ihrem Betrieb einführen wollen.
    • Tirol.ORF.at: TGKK gibt Mitarbeiterdiagnosen an Betriebe
      Die TGKK hat an interessierte Betriebe mit mehr als 50 Mitarbeitern eine Auswertung der Krankenstandstage ihrer Arbeitnehmer geschickt, inklusive der Diagnosedaten. Daraus lassen sich im Einzelfall ohne weiteres Informationen über die Leiden der Mitarbeiter ablesen, kritisierte die Ärztekammer schon vor einiger Zeit - und hat jetzt die Datenschutzkommission eingeschaltet.
      Identifizierbar über Geschlecht und Dauer Wenn etwa in einem Betrieb eine Frau 21 Tage lang krank ist und dann in der Statistik unter „Krankheiten der weiblichen Geschlechtsorgane“ eine einzige Frau mit 21 Krankenstandstagen angeführt ist, lasse das durchaus Rückschlüsse zu, so die Ärztekammer in einem Beispiel. Die Daten gibt die Gebietskrankenkasse im Rahmen der betrieblichen Gesundheitsförderung an interessierte Arbeitgeber von Betrieben mit mehr als 50 Mitarbeitern weiter.
    • Der Standard: Statistik für betriebliche Vorsorge verletzt Datenschutz
      Laut Tiroler Ärztekammer könnten Arbeitgeber aus den Daten Rückschlüsse auf die Krankheiten ihrer Mitarbeiter ziehen Es war offenbar üblich bei der Tiroler Gebietskrankenkasse (TGKK): Im Rahmen der betrieblichen Gesundheitsförderung wurden seit 2006 auch Diagnosedaten an interessierte Arbeitgeber mit mehr als 50 Mitarbeitern weitergegeben. Mit einer Auswertungen der Krankenstandstage - statistisch ausgewertet nach Frauen und Männern - seien auch 50 bis 60 Diagnosen (etwa "Erkrankung des Ohres", "Fehlgeburten") mitgeschickt worden. "Daraus kann der Arbeitgeber durchaus Rückschlüsse auf die Krankheiten seiner Mitarbeitern ziehen", kritisierte Günther Atzl von der Tiroler Ärztekammer.