Aktuelles

Zurück zur Übersicht

02.02.2012

Datenschutz aktuell

Hier finden Sie in chronologischer Reihenfolge die Informationen zum Thema "Datenzugriff und -missbrauch":

02.02.2012
Externer Datenschutzbeauftragter bestellt

Die Brücke Rendsburg-Eckernförde hat ab 1. Februar 2012 Dr. Andreas Höpken zum externen Datenschutzbeauftragten nach §4f Bundesdatenschutzgesetz bestellt. Er berät und unterstützt die Brücke bei der Ausführung des Bundesdatenschutzgesetzes und sonstiger relevanter datenschutzrechtlicher Vorschriften. Dr. Andreas Höpken wird darüber hinaus die vollständige Umsetzung des neu projektierten Datenschutzkonzeptes begleiten.

18.12.2011
Information der Nutzerinnen und Nutzer

In einem gemeinsam verfassten Brief von dem Gesamtbeirat der Mitwirkungsgremien und dem Vorstand der Brücke wurden die Nutzerinnen und Nutzer im Bereich der Eingliederungshilfe der Brücke Rendsburg-Eckernförde e.V., der Brücke gGmbH und der new start gGmbH über den aktuellen Sachstand der aufgetretenen Probleme bei der Betreuungsdokumentation sozial@web informiert.
Seit dem 03.11.2011 wissen wir, dass es datenschutzrechtliche Probleme beim Einsatz der Software sozial@web gegeben hat. Personenbezogene Dokumente, die im Rahmen der Betreuung in diesem Programm hochgeladen wurden, sind offensichtlich in einem nicht ausreichend geschützten Programmteil abgelegt worden. Nicht befugte Zugriffe waren damit ungeschützt, die Zugänge zu diesen Dateien waren jedoch für normale Internetanwender ohne Probleme nicht erreichbar. Mit den Möglichkeiten der von uns beauftragten Unternehmen sind keine weiteren unbefugten Zugriffe festgestellt worden. Wir können dies jedoch für die Vergangenheit, da das Programm seit 2001 im Einsatz war, nicht völlig ausschließen. Die Mitwirkungsgremien und der Vorstand hatten frühzeitig verabredet, dass eine individuelle Information für alle Betroffenen zeitnah erfolgen soll.
Wir haben die Software auf einem Einzelplatzrechner installiert und seit kurzem sind auch wieder geschützte Zugänge zu den Dateien möglich. Damit verbunden ist unser Angebot, dass jede Nutzerin und jeder Nutzer der Brücke sich über die in diesem Programm gespeicherten Daten persönlich informieren kann. Dies ist grundsätzlich auch möglich unter Begleitung von gewählten Beiratsvertreterinnen und -vertretern sowie Mitgliedern des Beschwerderates. Bei Bedarf können Bezugsbetreuerinnen und -betreuer und eine fachärztliche Begleitung hinzugezogen werden.
In der Brücke sind seit Bekanntwerden dieses Problems umfangreiche Sicherungsmaßnahmen erfolgt. Das Programm wird nicht mehr von uns eingesetzt. Wir werden die rechtliche Bewertung des Vorganges durch die Datenschutzbehörde des Landes Schleswig-Holstein abwarten und dann ggf. weitere Maßnahmen ergreifen.

30.11.2011
Nachdem wir dem
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mittlerweile nahezu alle erbetenen Auskünfte, Unterlagen und dergleichen zu dessen rechtlicher Stellungnahme übermittelt haben, steht parallel weiterhin an vorderster Stelle, unsere Aufstellung in Bezug auf die Datensicherheit insgesamt in unserer Firmengruppe zu analysieren und dort, wo Verbesserungsbedarfe erkannt werden, entsprechende Maßnahmen kurzfristig umzusetzen und den Prozess langfristig fortzuschreiben.

Einige Maßnahmen wurden bereits umgesetzt, andere Prozesse wurden angeschoben; die überwiegende Zahl der Mitarbeiterinnen und Mitarbeiter ist sensibilisiert und tragen zum Gelingen des Gesamtprozesses bei. Zusätzlich zu den intern begonnenen Schritten, bedienen wir uns – wie auch dem ULD gegenüber zu Beginn der Untersuchung angekündigt – zusätzlich externer Kompetenzen.

Begleiten wird uns in diesem Qualitätsprozess die Fa. Vasgard von der Mission 100-Gruppe. Geplanter Kickoff ist der 15.12.2011.

23.11.11
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat uns am 22.11.2011 eine Darstellung des Sachverhalts aus seiner Sicht übersendet. Eine rechtliche Bewertung wird die ULD in den nächsten Tagen vornehmen.

Am 23.11.2011 haben wir zu den von der ULD getroffenen Aussagen ergänzende Informationen und Erläuterungen gegeben.

Innerhalb der Organisation sind als Ergebnis der Untersuchungen erste Umstrukturierungen und Personalmaßnahmen umgesetzt worden.

Mit dem Landesverband Psychiatrie-Erfahrener ist für den 21. Januar 2012 ein Informationsgespräch verabredet worden.

18.11.2011
Information der Mitwirkungsgremien durch Brücke-Vorstand
Am Donnerstag, den 17.11.2011, hat Vorstand Klaus Magesching die Brücke-Mitwirkungsgremien in einer Sondersitzung über die aktuelle Entwicklung und die bisherigen Ergebnisse der Untersuchungen und Analysen zur Datenpanne informiert.
Neben einer Darstellung der Chronologie der Ereignisse betonte er, weiterhin offen mit dem Thema umgehen zu wollen und auch über Fehler zu sprechen.
Es liegen noch nicht alle Untersuchungsergebnisse vor. Die mit der Untersuchung der wieder herstellbaren Daten beauftragte Firma datenschutz nord gmbH hat bisher festgestellt, dass rückwirkend bis zum 20. Oktober 2011 kein Zugriff Unbefugter feststellbar gewesen sei. Alle ermittelten Zugriffe erfolgten über die verschlüsselte Anwendungssoftware.
Zurzeit wird noch ermittelt, welche und wie viele Dokumente gespeichert waren und welchen Personen sie zugeordnet werden können. Klaus Magesching betonte, dass wenn diese Daten vorliegen, in Abstimmung mit dem Unabhängigen Landeszentrum für Datenschutz die Betroffenen informiert werden und dieser Vorgang auch bekannt gemacht wird.

17.11.2011
Updates zur Kuratoriumssitzung der Brücke und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein
Das Kuratorium der Brücke hat sich in seiner Sitzung am 16.11.11 ausführlich mit den vorliegenden Untersuchungsergebnissen befasst.
Vorstand Klaus Magesching informierte über die inzwischen bekannten Ergebnisse des Prüfberichts der beauftragten Firma datenschutz nord gmbH, die eingeleiteten Sofortprogramme im Datenschutz, die weitergehenden Untersuchungsoptionen und die Aktivitäten, um Aufklärung und Transparenz zu gewährleisten.
Das Kuratorium stimmte überein, daß vor allem die Einbindung und die Information der betroffenen Menschen vorrangig ist. Und vor allem den gewählten Weg der Aufklärung und Transparenz fortzusetzen.
Heute, am 17.11.11 wurden bei uns von dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein noch weitergehende Angaben angefordert und insbesondere um die Erläuterung noch ausstehender technischer Fragen und um die Konkretisierung der Auftragsverhältnisse gebeten. Ebenso wurden Nachfragen zu den bestehenden Zugriffsrechten und -beschränkungen am Betriebssystem und am Internetportal gestellt. Wir haben diese Fragen an die mit der Untersuchung befassten Firma datenschutz nord GmbH weitergeleitet mit der Bitte um Beantwortung.

15.11.2011
Kein Hinweis auf illegalen Zugriff bei den wiederhergestellten Dateien
Prüfbericht bereits an den Datenschützer weitergegeben
Weitere Untersuchungen zum Datenleck in der Rendsburger Firma REBUS sind abgeschlossen. Die mit der Ermittlung des Sachverhalts beauftragte Firma datenschutz nord hat ihren Prüfbericht am Montag, den 14. November 2011 vorgelegt. Dabei wurde festgestellt, dass bei den wiederherstellbaren Daten rückwirkend bis zum 20. Oktober 2011 kein Zugriff Unbefugter erfolgt ist. Alle gewollten, planmäßigen und legalen Zugriffe erfolgten über die verschlüsselte Anwendungssoftware. Der Bericht liegt dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein bereits vor.

Die Brücke Rendsburg-Eckernförde e.V., Mutterunternehmen der Firma REBUS, hatte am Donnerstagabend, den 3. November 2011 von der Zeitung „Lübecker Nachrichten“ die Mitteilung erhalten, dass unbefugte Zugriffe auf Daten von Klientinnen und Klienten im internen Dokumentationssystem möglich sind. Bei der Lübecker Lokalzeitung war zuvor ein anonymer Brief zu dem offensichtlichen „Datenleck“ eingegangen. Die Verantwortlichen haben sofort alle Prüfmaßnahmen in Auftrag gegeben und seither die Öffentlichkeit zeitgleich über alle Schritte informiert.

12.11.2011
Prüfbericht liegt Montag, den 14.11.2011 vor
Der Aufsichtsrat der Brücke hat sich am Freitag, dem 11.11.2011 in seiner Sondersitzung ausführlich mit der aktuellen Datenproblematik und dem Stand der Untersuchungen und der Ursachenanalyse befasst.
Der Prüfbericht mit den Untersuchungs­ergebnissen der Sicherheits­lücke bei sozial@web wird am Montag, den 14.11.2011 vorliegen.
Am Mittwoch, den 16.11.11 wird sich das Kuratorium der Brücke in seiner Sitzung mit der Datenpanne und den vorliegenden Ergebnissen und Analysen befassen.
Am Donnerstag, den 17.11.2011 wird der Vorstand die Brücke-Mitwirkungsgremien in einer Sondersitzung über die aktuelle Entwicklung und die Ergebnisse der Untersuchungen und Analysen zur Datenpanne informieren.

11.11.2011
Untersuchungen abgeschlossen
Die mit der Ermittlung des Sachverhalts beauftragte Firma datenschutz nord hat inzwischen ihre Untersuchungen zur Ursachenanalyse der Sicherheitslücke bei sozial@web abgeschlossen.
Es wurden die Datenbanken, Verzeichnisse und die Datensicherungen untersucht. 

Die Firma datenschutz nord wird bereits am Montag ihren Bericht abschliessen und uns zur Verfügung stellen. Wir werden den Bericht dann umgehend an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein weiterleiten.

09.11.2011
Datenleck- Aktuelle Informationen zur Datenpanne
Den Brücke-Beiräten ist zum letzten Wochenende hin angeboten worden, unseren Mitwirkungsbeauftragten  bei Bedarf um aktuelle Informationen zu kontaktieren. Allerdings hat sich keiner bei ihm gemeldet. Insgesamt sind bislang von unseren Nutzerinnen und Nutzern 7 Anfragen zum Datenleck eingegangen, die ausführlich beantwortet wurden. Es sind auch Karten mit Guten Wünschen von ehemaligen Brücke-Nutzern eingegangen.

Einen Tag nach dem Gespräch mit der ULD wurden von der Brücke am 8.11.2011, wie verabredet, der ULD die ersten Dokumente zu Software und Dokumentation übersendet. 

Das beauftragte, unabhängige Datensicherheitsunternehmen „datenschutz nord GmbH“ hat heute im Rechenzentrum in Düsseldorf die kompletten Datenbestände des seit dem 3.11.11 nicht mehr aktiven Web-Servers gesichert. Derzeit werden die Datenträger nach Bremen in die Räume der Fa. datenschutz nord GmbH gebracht, wo morgen, Donnerstag, den 10.11.11 die Untersuchung beginnen wird.

Am Freitag, den 11.11.2011 wird sich der Aufsichtsrat der Brücke in einer Sondersitzung mit der aktuellen Datenproblematik befassen.

08.11.2011
Gefahr gebannt, alle Maßnahmen auf dem Weg
Von dem stillgelegten Server geht keinerlei Gefahr aus – dies hat die externe Prüfung am Montag, den 7. November 2011 vom Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) bestätigt.
Hauptursache des Datenlecks sehen die Prüfer in organisatorischen Mängeln durch die Beteiligung unterschiedlicher Geschäftsbereiche sowie einer unzulänglich geprüften Software. Diese ersten Begutachtungen münden nun umgehend in zielführende Prozesse.

So gilt es ab sofort, die Überprüfung und die Neuorganisation  für ein funktionsfähiges Datenschutzmanagement zu schaffen, dazu haben wir bereits heute zwei externe Unternehmen gewinnen können: 

Für die Rückübertragung der S@w-Daten und Auswertung von Schadensumfang ist dies die Bremer Firma datenschutz nord GmbH und für die Analyse der IT-Organisation der gesamten Brücke-Gruppe unter Datenschutzgesichtspunkten die TÜV Informationstechnik GmbH aus Essen.

„Zuvorderst ist uns die Datensicherung auf dem abgestellten Server sehr wichtig, weil wir damit feststellen können, wer wann auf die Daten der entsprechenden Ordner zugegriffen hat und eine Liste der betroffenen Nutzerinnen und Nutzer vorlegen können“, so Vorstandsvorsitzender Klaus Magesching. 

Die weiteren Schritte der Neuorganisation des Datenmanagements werden regelmäßig bekanntgeben, in der Zwischenzeit sollen alle Fragen und Unsicherheiten an die Geschäftstelle der Brücke gerichtet werden.

04.11.2011
Datenleck - Wichtige Information für alle Nutzerinnen und Nutzer der Brücke
Liebe Nutzerinnen, liebe Nutzer,

wie einige von Ihnen/euch vielleicht aus der Presse erfahren haben, gab es im Dokumentationssystem der Brücke unbefugte Zugriffe auf Daten von KlientInnen.

Wir haben diese Information am Donnerstagabend von der Zeitung „Lübecker Nachrichten“ erhalten, dort war zuvor ein anonymer Brief zu dem offensichtlichen „Datenleck“ eingegangen.

Die Geschäftsführung der Brücke Rendsburg-Eckernförde hat darauf sofort reagiert und die komplette Abschaltung des Datenservers veranlasst. Damit ist sicher gestellt, dass kein weiterer Zugriff in das Dokumentationssystem erfolgen kann!
Zurzeit erfolgen intensive Prüfungen, um die Sicherheitslücke ausfindig zu machen und Art und Umfang der unberechtigten Zugriffe zu recherchieren.
Aktuell gilt als gesichert, dass der direkte Zugriff in die Daten des social@web (persönliche Daten der Betreuten, Dokumentation von Betreuungskontakten etc.) nicht erfolgen konnte, es war aber offensichtlich möglich, besondere Dokumente und Schreiben (z.B. ärztliche Notwendigkeitsbescheinigungen), die an die Datenbank übermittelt und dort abgelegt wurden, unbefugt einzusehen.

In einer heute umgehend einberufenen Konferenz mit den Beiräten der Einrichtungen haben wir über den Stand der Prüfungen und Ermittlungen informiert und uns mit den Beiräten darauf verständigt, bis zur vollständigen Aufklärung der Situation sehr engen Kontakt zwischen der Geschäftsführung und den Beiräten herzustellen, so dass neue Erkenntnisse zu dem Datenleck möglichst zeitnah an die Beiräte und NutzerInnen übermittelt werden können. Michael Roggentin hat sich bereit erklärt, über das Wochenende für die Beiräte erreichbar zu sein und im engen Austausch mit der Geschäftsführung zu bleiben, um aktuelle Informationen bei Bedarf an die Beiräte geben zu können.

Wir möchten Sie/euch dazu ermutigen, bei Fragen und Unsicherheiten, die durch noch erfolgende Berichterstattung in den Medien, auftreten können, jederzeit den Beirat oder auch die MitarbeiterInnen und/oder die TeamleiterInnen der Betreuungsteams anzusprechen.

Auf unserer Homepage www.bruecke.org werden wir Neuigkeiten zu dem Datenleck zeitnah veröffentlichen, um eine möglichst gute Information unserer NutzerInnen zu erreichen.

Wir bedauern zutiefst, dass es zu einem Datenzugriff und –missbrauch kommen konnte und sichern zu, mit Unterstützung von Datenschutzbeauftragten und einer von uns hinzu gezogenen externen Prüfstelle für eine lückenlose Aufklärung der Situation zu sorgen. 

Vorstand & Geschäftsführung