Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Die Ignoranz der jeweiligen Firmen und die mangelnde Sensibilität für das Thema Datenschutz sowie Informationssicherheit ist fast unerträglich. Der investigative Journalismus leistet einen wichtigen Beitrag zur Aufklärung und erhöht den Druck auf diejenigen, welche solche Vorfälle möglichst leise vergessen wollen. Vielen Dank Adrienne Fichter 👍🏼.
Mit dem neuen Datenschutzgesetz, dass ab September ohne Übergangsfristen gilt, könnte es spannend werden:
Im Gegensatz zur DSGVO in der EU haften für Verstösse nämlich bei uns nicht die Firmen, sondern die Verantwortlichen persönlich. Da kann ein Geschäftsführer Strafen nicht via Portokasse abwickeln, sondern wandert u.U. höchstselbst in den Bau. Ob dann monetäre Strafen via Spesen abgerechnet werden bleibt abzuwarten.
Ich kenne auch einen Fall, wo eine Firma aufgrund krass misachteter Sicherheitsmassnahmen Opfer einer Ransomwareattacke war, gezahlt hat (es blieb keine andere Wahl, auch die Datensicherungen waren verloren, also kein existentes Cold Storage) und ..... danach weitergemacht hat wie vorher. Offenbar war die Lösegeldforderung zu gering.
Danke Herrn F. für die ermutigenden Worte und Frau T. für die Namenskorrektur ;-) (I am used to it)
Ich wünsche mir von der Republik eine Reaktion auf den Datenklau bei XPlain, auf die Zusammenarbeit Bundesstellen und XPlain. Die Entsorgung von Datenträgern ab 2006 beim Kanton Zürich, die Entwendung von Abonnenten- und Angestelltendaten bei NZZ und CH Media - was sind sie im Vergleich zu dem, was jetzt auf Bundesebene bekannt wird?
Kommt, liebe Christina, kommt...:-)
Neben der schändlichen Nicht-Informationspolitik war der eigentliche Skandal für mich aber der Versuch, die Recherchen zu dem Vorfall gerichtlich unterbinden zu wollen.
Die Betroffenen nicht zu informieren war dann irgendwie eine logische Schlussfolgerung dieses Denkens. Ganz nach dem Vorbild eines Kindes, das denkt "ich sehe Dich nicht, also siehst Du mich auch nicht".
Da bin ich ganz bei Ihnen, Herr Wilhelm. Es ist bedenklich, wenn Medien selber versuchen, die Medienfreiheit einzuschränken.
Frau Fiechter ist für mich eine Robin Hood des Blätterwalds...
*Datenwalds 😉
Nein, das Kompliment ist grösser als nur dieser Artikel. Darum der Blätterwald.
Oh ja! Entschuldigen Sie, Frau Fichter! Doch was mit Bäumen zu tun...
Es ärgert mich, dass die Schweiz - wie immer! - europäischen Regelungen (in diesem Falle der Datenschutzgrundverordnung DSGVo) hinterher rennt. Und dann natürlich nur - dank Intervention der Wirtschaftsverbände - in einer Schmalspurversion. Es kann doch nicht sein, dass ein Datenverarbeiter von der Nutzung profitiert, doch wenn er die Daten „verliert“ darf sich der Betroffene selbst und „Aufwischen“ kümmern? (Auch wenn das bei unveränderlichen Daten wie AHV-Nummern und - schlimmer - biometrische Daten gar nicht möglich ist!)
Aber leider wie so häufig bei diesem Thema: Den Normalverbraucher und -Wähler interessiert es nicht, wenn diese im Parlament behandelt werden. Daher einen grossen Dank für diesen Artikel an Frau Fichter!
Aha: Die NZZ als publizistische Hochburg des Neo-Liberalismus, welcher doch das Wahrnehmen der 'Selbstverantwortung' wie eine Monstranz vor sich her trägt, nimmt diese selber in keinster Weise wahr.
Wie scheinheilig und dermassen entlarvend...
Dieses Betonen der Selbstverantwortung ist etwa gleich glaubwürdig, wie das ebenso oft zitierte Märchen des 'Trickle-Down-Effekts'.
Sorry für den gaannz leichten Thread-Drift 😉
Der verantwortungslose Umgang mit persönlichen Daten beginnt ja lange vor einem Hackerangriff. Gesammelt wird erst mal alles, was zu kriegen ist. Meist in der Absicht, es kommerziell auszubeuten oder einfach weil es kann. Gelangen Daten in ein Netzwerk oder Cloud-Server, schwindet die Kontrolle. Warum werden Daten von ehemaligen Mitarbeitenden nicht einfach gelöscht? Arbeitszeugnisse, Mailverkehr oder Bewertungen bilden bald mal einen Pool, in dem gefischt werden kann. Aus dem Kontext gerissene Daten können sehr F. interpretiert werden. Mailverkehr Lauber/Berset wirft Fragen auf. Edward Snowden fand sich in einer Liste von Terrorverdächtigen, Quelle war der Chatverlauf eines Online-Games. Unqualifiziertes Sammeln und Speichern erschafft erst das Problem.
Das frage ich mich seit langem auch. Es wird viel zu fahrlässig und naiv auf die Datensammlerei geschaut. Es scheint, dass sowohl die Mehrheit des Parlaments wie auch die Verwaltung viel zu wenig Ahnung haben, wie technisch und rechtlich mit vorhandenen Daten umgegangen werden soll.
Ein Key-Sentence: "Unqualifiziertes Sammeln und Speichern erschafft erst das Problem."
Danke!
In diesem Fall ist es etwas anders: Bei der NZZ/CH Media wurde ein ganzes Laufwerk abgegriffen. Ich hatte mich gefragt warum alle diese Mitarbeiterdaten aus den letzten Dekaden überhaupt noch gespeichert waren. Aber das muss offenbar aus personalrechtlichen, buchhalterischen Gründen so sein.
Es gab aber ganze Emailkorrespondenzen und Ferienerinnerungen, bei denen die Speicherung doch etwas fragwürdig war.
Wie lange müssen bzw dürfen solche Daten gespeichert werden? Mindestens mal eine Revisionsperiode (was meist nur ein Jahr ist), Steuerrechtlich eventuell 10 Jahre, aber mehr?
Konkret:
Ich bekam letztens Post von einem Modelabel wegen Namenswechsel/Übernahme der Geschäftstätigkeiten einer übernommenen Firme etc zu Händen der Ehefrau des ehemaligen Hauseigentümers. Ich wohne da seit 13 Jahren, die Ehefrau ist 5 Jahre vorher verstorben. Da wurden also von der alten Firma beim Verkauf locker 18 Jahre alte Kundendaten, die nachweislich inaktiv sind, zum neuen Eigentümer verschoben. Seitdem frage ich mich, wie lange inaktive Kundendaten gespeichert werden müssen/dürfen und ob ein Recht auf Löschung besteht bzw wie man dies durchsetzen könnte. Mit DSVGO kein Problem, bei uns offenbar nicht.
Habe den Fall an den Datenschutzbeauftragten gemeldet, aber (wie erwartet) keine Reaktion bekommen.
Wir hatten kürzlich diese Diskussion in der Firma inkl. unserem Legal-Departement. Mir ist einfach unverständlich wieso sich Firmen unter dem Deckmantel des eigenen Schutzes so viele Daten über ihre Mitarbeiter und Kunden sammeln, wenn dieses Sammeln die Firmen doch auch verwundbar macht.
Bei uns geht das weit über ein paar Eckdaten aus, die für Buchhaltung und Personalabteilung nötig ist. Aber offenbar mit einer externen Anwaltskanzlei abgeklärt.. shrug
@AdrienneFichter: Danke für die Arbeit! Noch eine Frage. Können Mitarbeitende Forderungen bezl. Schadensersatz geltend machen? Gerade bei journalist*innen stelle ich mir die Veröffentlichung der Daten als äusserst problematisch vor.
Welche Kosten trägt die NZZ und Co am Ende dieses Falls? Wenn die Schadenskosten auf die Personen abgewälzt werden, gibt es für NZZ und Co gar keine Anreize um in die IT-Sicherheiten zu investieren. Dann sagt man sich „Dumm gelaufen“, das Spiel beginnt irgendwann wieder von vorne und die Verlierer sind wieder die Personen.
Lieber Janik von Rotz, danke für die Frage! Es ist leider frustrierend, es bleibt "nur" der zivilrechtliche Weg den man bestreiten kann als Einzelperson. Artikel 28 ZGB, Schadenersatz aus Persönlichkeitsrechtsverletzung. Man könnte also privatrechtlich gegen die NZZ vorgehen und muss den Schaden aber zuerst beweisen. Und hier wirds schwierig: die betroffene Person muss beweisen weshalb sie wegen dieser Veröffentlichung im Darknet einen Schaden erlitten hat (Der notabene wahrscheinlich erst in Zukunft noch bei potenziellem Identitätsdiebstahl eintreten wird). Alles in allem also: sehr frustrierend.
Vielen Dank für die ausführliche Antwort! Hoffe demnach dass mit dem neuen Datenschutzgesetz etwas passiert.
Sind in den geleakten Daten auch Informationen zu eigentlich geschützten Informanten enthalten? Wenn u.U. problematische E-Mails veröffentlicht wurden, ist es bis zur Aufdeckung von Informanten nicht mehr weit.
Daten schützen kostet. Viele Unternehmen sind zu geizig dazu. Und gefährden die Privatsphäre ihrer Angestellten. Zu Gunsten der Aktionäre. Passt so zur NZZ. Profitgier über alles. Und das passt wiederum in gewisse dominante Teile der Schweiz.
in diesem Fall wurde aber nicht nur die privaten Daten der Angestellten abgezogen, sondern auch die von Geschäftspartnern und den Kunden.
Könnte man nicht persönliche und heikle Daten auf einer Festplatte speichern und dann im Computer löschen, so dass Hacker keinen Zugriff haben?
Was Sie meinen nennt sich "Tertiärspeicher" und wird für Backups und Archivierung eingesetzt. Diese Daten sind dann nicht (mehr) online verfügbar sondern irgendwo auf Festplatten/Bändern/DVDs geschrieben und eingelagert und man muss dann physischen Zugriff auf das Medium haben, um die Daten lesen zu können. Das Problem ist, dass dies a) für die häufig gebrauchten Daten selten gemacht wird (Ausnahme: cold storage bei Crypto ;) ) und b) dass von den allermeisten Daten mehrere Kopien irgendwo herumschwirren und es somit fast unmöglich ist bereits einmal veröffentlichte Daten wieder aus der Welt zu tilgen.
Am ehesten lässt sich das tatsächlich mit den persönlichen Daten umsetzen, wenn man auf Cloud-Speicher und dergleichen verzichtet. Aber sobald es ein öffentlich zugänglicher Dienst ist (Medienplattform, Steuerverwaltung, Krankenhaus, ...) geht das fast nicht mehr.
Die Festplatte ist im Computer. Daten werden immer auf Festplatten gespeichert. Entscheidend ist wer oder was Zugriff hat.
Ich meinte eine externe Festplatte und dann auf derjenigen im Computer löschen.
Und wenn man sie doch wieder braucht (darum bewahrt man sie ja auf) sucht man im dunklen Keller die verstaubten Festplatten durch. Und noch besser druckt man es auf Papier, statt es digital zu machen. Und wir führen analoge Tastaturen mit Tinte ein..
Die ganze Digitalisierung und das Internet bringt den hauptsächlichen Vorteil, dass Daten überall schnell verfügbar und schnell verarbeitbar sind. Ich verstehe Ihren Ansatz und man könnte schon versuchen, gewisse Teile dieser Entwicklung rückgängig zu machen, aber die wenigsten (mich eingeschlossen) sind bereit, diesen angewöhnten Komfort aufzugeben.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz