Datendiebstahl von mehr als der Hälfte der griechischen Bürger



Daten von mindestens der Hälfte der griechischen Steuerzahler ist in die Hände gerissener Unternehmer gefallen. Es handelt sich um den grössten Diebstahl steuerlicher und persönlicher Daten, der jemals in Griechenland verzeichnet wurde, wie aus den monatelangen Ermittlungen der Datenschutzbehörde, der griechischen Polizei (ELAS) aber auch der Zentrale für Informationssysteme (GGPS) hervorgeht. 

Die „Entwendung“ erfolgte in der GGPS, die dem Finanzministerium untersteht. Dabei handelt es sich um die primäre Datenbank des Landes, in welcher die Steuererklärungen und viele andere Daten aller griechischen Steuerpflichtigen gespeichert sind. 

Hinweise bestanden bereits schon seit 2010

Beeindruckend ist, dass obwohl die ersten Hinweise von Massenentwendungen steuerlicher Daten bereits schon seit 2010 vorlagen, die Ermittlungen der zuständigen Behörden erst nach zwei Jahren – seit Ende 2012 und Anfang 2013– angefangen haben, Früchte zu tragen. Bis heute sind diese jedoch noch nicht abgeschlossen, so dass auch die Schuldigen noch nicht bestraft werden konnten. 

Es ist typisch, dass die Datenschutzbehörde gesamte drei Jahre gebraucht hat, um die Ermittlungen abzuschliessen und ihre Schlussfolgerungen zu ziehen und es wird geschätzt, dass es weitere zwei Monate dauern wird, um die Anklagen gegen „Handel mit Personendaten betreibende Unternehmen“ zu belegen und ihre Namen zu veröffentlichen. All dies hatte zum Ergebnis, dass diese Kreise sogar bis vergangenen September ihre Aktivitäten fortsetzten und Daten vom GGPS entwenden konnten. 

Geldstrafe gegen GGPS 

Die Enthüllung dieser enormen Datenentwendung brachte kürzlich die Datenschutzbehörde (APPD) ans Tageslicht, die nun der GGPS die von Gesetzes wegen höchste vorgesehene Geldstrafe von 150‘000€ auferlegt hat. 

Aus den Ermittlungen der APPD und der ELAS ist ersichtlich, dass mindestens fünf Unternehmen, die „im Bereich des Handels von Personendaten mit persönlichem Charakter tätig sind“, die Empfänger dieses offensichtlich enormen Datenumfangs waren. 

Die ermittelten persönlichen (steuerlichen) Daten betreffen mindestens die Jahre von 2000 bis 2012. Zusammenfassend beinhalten diese: 


a)        Daten des Formulars E1 betr. die Finanzjahre von 2003 bis 2009 und teilweise 2012
b)        Daten des Formulars E2 betr. das Finanzjahr 2006
c)         Daten des Formulars E9
d)        Daten betr. der einheitlichen Immobiliensteuer (ETAK)
e)        Daten betr. der Sonderabgabe nach N. 3986/2011 betr. das Finanzjahr 2011
f)         Daten des Zentralregisters der Steuerzahler
g)        Daten der Bescheide des Jahres 2010 betr. Selbstveranlagung
h)        Daten der Fahrzeugabgaben für die Jahre 2006 bis 2012


Welche Massnahmen werden von der Datenschutzbehörde verlangt

Mit Beschluss der Datenschutzbehörde wird die GGPS grundsätzlich aufgefordert, die zugelassene Sicherheitspolitik vollständig anzuwenden, d.h. auf allen unter ihrer Verantwortung stehenden Informationssystemen. Nach einer umfassenden Risiko- und Sicherheitsanalyse müssen auch die bestehenden Sicherheitsrichtlinien, Umsetzung und Anwendung neu überarbeitet und teilweise die Sicherheitspläne neu bewertet werden.
Im Rahmen oben genannter Aktionen ist, gemäss der Datenschutzbehörde, auch folgendes vorzukehren: 


a)        Die schrittweise Ermittlung eventueller Download-Zertifizierung bezüglich 
            Sicherheitsverfahrens.
b)        Die Kontrolle durch unabhängige Organisationen in regelmässigen Abständen - 
            mindestens jährlich -, der Systemsicherheit und –verfahren, einschliesslich der 
            Bewertung der umgesetzten Sicherheitsmassnahmen. Die Ergebnisse sind der 
            Datenschutzbehörde mitzuteilen.
c)         Die periodische Kontrolle durch die GGPS - mindestens jährlich – der den Prozess 
            Ausführenden bezüglich der Ergreifung geeigneter Sicherheitsmassnahmen. 


Die GGPS hat innerhalb zwei Monaten einen entsprechenden Zeitplan zu erstellen, mit welchem die Verfahren der Organisation, Überwachung und Aktualisierung oben Genanntem festgelegt wird und die Zeitrahmen ihrer Ausführung. Ebenfalls hat die GGPS die Datenschutzbehörde alle drei Monate über die Ausführung Bericht zu erstatten. 

Zur Vermeidung, Ermittlung und Aufdeckung von Vorfällen bezüglich Verletzung des persönlichen Datenschutzes sollten folgende Massnahmen vorgesehen und umgesetzt werden, betont die Datenschutzbehörde in ihrem Beschluss: 


a)        Kontrollierte Verfahren zum Datenaustausch, mittels einer geeigneten 
           Bevollmächtigung, von der Endstelle, die zur Verarbeitung personenbezogener Daten 
           genutzt wird oder/und die Verwendung oder Ausschluss von Wechselmedien und die  
           Internetverbindung von bestimmten Endstellen.
b)       Massnahmen zum Schutz der Dateien, die Kontrolle des Fernzugriffs und die Aktivierung
           systematischer Verfahren zur Nutzung von Passwörtern auf jedem System.
c)        Überprüfung des Datenverarbeitungsprozesses (SELECT) in Datenbanktabellen oder 
           Systemen, die persönliche Daten verarbeiten und Ergreifung von Massnahmen zur 
           automatisierten, präventiven Kontrolle der Datenarchive.




siehe hierzu relevante Artikel unter "Datenschutz" 

Kommentare

Beliebte Posts aus diesem Blog

A.F.M. – Wer braucht eine Steuernummer in Griechenland

Rentner mit Wohnsitz im Ausland – Information des IKA-E.T.A.M.

Wie wurden im Antiken Griechenland Steuern erhoben? - Kurzer Exkurs