Am 27. Dezember 2017 veröffentlichte die Süddeutsche Zeitung Details zum vermutlich letzten Hackerangriff des Jahres. Betroffen ist das Inkasso-Unternehmen EOS, genauer gesagt dessen Schweizer Tochter, dem hochsensible Daten von Zehntausenden von Personen vorwiegend in der Schweiz abhandengekommen sind. EOS wird von Behörden und Firmen, darunter auch Arztpraxen, beauftragt, ausstehende Forderungen von Schuldnern einzutreiben. Neben kompletten Adressdaten wurden eingescannte Ausweise und Pässe, Kreditkartenabrechnungen und ganze Krankenakten gestohlen.
Der Vorfall zeigt, dass Hacker nur eine Seite der Medaille sind. Ja, sie sind in ein Firmennetz eingedrungen und haben personenbezogene Daten gestohlen. Wobei nicht ganz klar ist, ob tatsächlich ein Angriff von außen stattgefunden oder ob nicht doch ein Mitarbeiter die Daten mitgenommen hat. Dass wem auch immer dabei Daten in diesem Umfang und dieser Sensibilität in die Hände fallen konnten, ist die andere Seite. Und dafür sind die Firmen verantwortlich, für die EOS das Inkasso betreibt. Sie müssen ihrem Dienstleister Informationen weit über das für seine Tätigkeit hinaus Notwendige zur Verfügung gestellt haben. Weil EOS diese Daten angefordert hat? Aus Unkenntnis? Schlamperei? Allerdings wird die Mittäterschaft von Unternehmen an Datenvorfällen nicht so gerne erwähnt, während es ziemlich einfach ist, mit dem Finger auf die bösen Hacker zu zeigen. Aber sie sind nicht die einzigen, die an den Pranger gehören, was die Neue Züricher Zeitung im Fall EOS recht deutlich tut.
Unter den Regeln der DSGVO wären im beschriebenen Fall nicht nur EOS dran, sondern auch die Firmen, die die sensiblen Daten weitergegeben haben. Ihnen würde die Datenschutzbehörde ein ganzes Bündel von Verstößen zur Last legen, beispielsweise gegen Artikel 9 der DSGVO, der die Verarbeitung besonderer Kategorien personenbezogener Daten regelt, zu denen auch Gesundheitsdaten und biometrische Informationen gehören, oder gegen Artikel 25, demzufolge Kreditkartenabrechnungen oder Krankenakten nicht hätten weitergegeben werden dürfen, weil sie nicht notwendig sind, um Mahnungen zu schreiben. Die Liste lässt sich fortsetzen.
Datenvorfälle dieser Art sind in Deutschland nicht ausgeschlossen. Auch hier arbeiten Firmen mit externen Dienstleistern, wenn es um Rechnungsstellung oder Inkasso geht, um den Versand von Newslettern, um Kundenakquise und vieles andere, und stellen ihnen dafür Daten zur Verfügung. Dass Fälle wie EOS verhindert werden, lässt sich mit technischen Maßnahmen bewerkstelligen. Lösungen für Data Loss Prevention blockieren mit passenden, für die hier genannten Datentypen sogar bereits voreingestellten Richtlinien die Übermittlung von allen Informationen, die aus Datenschutzgründen ein Unternehmen oder eine Arztpraxis nicht verlassen dürfen. Und in dem Fall, dass nicht ein Hacker, sondern ein EOS-Mitarbeiter die Daten gestohlen hat: Auch das unterbinden sie.
