4414/AB XXII. GP
Eingelangt am 21.08.2006
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
BM für Gesundheit und Frauen
Anfragebeantwortung
Herrn
Präsidenten des Nationalrates
Dr. Andreas Khol
Parlament
1017 Wien
GZ: BMGF-11001/65-I/3/06
Sehr geehrter Herr Präsident!
Ich beantworte die an mich gerichtete schriftliche parlamentarische
Anfrage Nr. 4400/J der Abgeordneten Mag. Johann Maier und GenossInnen wie folgt:
Zu den Fragen 1 bis 9 teilte mir der Hauptverband der Sozailversicherungsträger Folgendes mit:
Allgemein darf dazu festgehalten werden, dass nach der bestehenden EDV-Organisation personenbezogene Daten vorrangig auf zentralen Rechnern (Großrechnern, Servern) gelagert sind. Diese Anlagen verwenden nicht die marktüblichen PC-Programme, sondern spezielle, auf diese Rechnerarten zugeschnittene Programme. Solche „Großrechner/Serverprogramme“ können von den üblichen PCs nicht ohne weiteres verwendet werden, sodass schon dadurch allein ein hoher technisch-organisatorischer Schutz besteht.
Weiters darf darauf hingewiesen werden, dass das Thema grundlegend in der SV-Datenschutzverordnung 2001, www.avsv.at Nr. 1/2002 behandelt ist (§ 7).
Da über dieses Thema keine laufenden Statistiken zu führen sind, beruhen die mitgeteilten Daten auf ad-hoc Erhebungen bei den betroffenen Stellen in den letzen Wochen.
Die folgenden Ausführungen umfassen mit Absicht die einschlägigen Textteile der einzelnen Versicherungsträger, um Ihnen einen Überblick über die vorhandenen Möglichkeiten sicherer Datenentsorgung zu bieten.
Ein „absolut sicheres und auf alle Fälle anwendbares System“ wäre in Bereichen wie dem vorliegenden, in denen sehr unterschiedliche Organisationsformen und Anstaltsgrößen (BKK – AUVA, PVA!) zu berücksichtigen sind, nicht sinnvoll bzw. überhaupt wirtschaftlich untragbar.
Frage 1:
Wiener Gebietskrankenkasse
Für die Entsorgung von Datenträgern gibt es eine IT-interne Arbeitsanweisung.
a) Personal Computer: alle Platten werden bei Ausscheiden von Geräten vor der Weitergabe physisch zerstört.
b) Server: Platten und Bänder würden zur Entsorgung an den Lieferanten bzw. an eine Entsorgungsfirma weitergegeben, die sich zur Zerstörung der Datenträger verpflichtet haben.
c) CDs und DVDs werden hausweit gesammelt und mit einem CD Shredder unlesbar gemacht.
Niederösterreichische Gebietskrankenkasse
Grundsätzlich ist festzuhalten, dass in der NÖGKK die Vorgehensweise für die Entsorgung von Datenträgern in der internen Dienstanweisung „Rechenzentrumsordnung“ sowie in der „Datenschutz-Betriebsordnung“ geregelt ist.
Burgenländische Gebietskrankenkasse
Für die Entsorgung von PCs existiert bei der BGKK die Richtlinie, dass der Inhalt der Festplatten mit Hilfe eines Tools gelöscht wird. Dabei wird ein Verfahren nach den Richtlinien des US-Verteidigungsministeriums angewendet.
Die Dateien werden dabei vor dem Löschen mit einem bestimmten Datenmuster überschrieben und der ursprüngliche Inhalt dadurch zunichte gemacht, sodass auch bei teuren Untersuchungen der magnetischen Struktur des Datenträgers in einem Speziallabor keine Daten wiederhergestellt werden können.
Oberösterreichische Gebietskrankenkasse
Bei Rückgabe von Alt-PCs müssen Daten von den Magnetplatten entsprechend den Datenschutzbestimmungen entfernt werden.
Über die Anzahl der Alt-PCs oder von Magnetplatten aus diesen PCs und die datenschutzgerechte Weitergabe bzw. Entsorgung muss eine rechtsverbindliche schriftliche Erklärung an den Auftraggeber übergeben werden.
Steiermärkische Gebietskrankenkasse
Ja, im Betriebshandbuch der IT.
Daten auf Datenträgern, die entsorgt werden, sind entweder durch die Mitarbeiter der IT-Abteilung unleserlich zu machen oder von einem externen Entsorgungspartner nachweislich löschen zu lassen.
Kärntner Gebietskrankenkasse
Es gibt eine interne Anweisung, dass defekte Festplatten von PCs mechanisch zu zerstören sind und Festplatten auf ausgeschiedenen Geräten durch Low-Level Format und Überschreiben mit Leerzeichen gelöscht werden müssen.
Im Allgemeinen ist festzuhalten, dass auf Grund der technischen und organisatorischen Gegebenheiten bei der Kärntner Gebietskrankenkasse relevante Daten und Schriftstücke nur auf zentralen Speichersubsystemen des Rechenzentrums (Dokumentenverwaltung) gespeichert werden, deren Festplatten verschlüsselt und durch normale Personalcomputer technisch nicht lesbar sind.
Auf den einzelnen Festplatten der Arbeitsplätze erfolgt keine Speicherung derartiger Schriftstücke. Die Festplatten der Arbeitsplätze enthalten nur die Betriebssystemsoftware und die Anwendersoftware.
Salzburger Gebietskrankenkasse
In § 7 Abs. 5 Z 8 der SV-Datenschutzverordnung 2001 wird als Datensicherheitsmaßnahme normiert, dass Datenträger (Festplatten, Bänder, Disketten) vor einer Veräußerung oder Entsorgung zu löschen oder sicher unlesbar zu machen sind.
Die Dienstanweisung 3/2004 „Sicherheitsvorkehrungen und -maßnahmen, Zutrittsberechtigungen für den Bereich der Abteilung EDV einschließlich des Rechenzentrums“ enthält unter Pkt. 1.10.2.16. Datenlöschung und Datenvernichtung die Regelung, dass Datenträger, die nicht mehr verwendet werden können, vom Operating so zu vernichten sind, dass eine spätere Verwertung des Dateninhaltes auszuschließen ist.
Tiroler Gebietskrankenkasse
Es gibt keine konkrete Regelung zur Entsorgung von Festplatten. Nachdem das Datenschutzgesetz hinsichtlich des Schutzes von Daten eindeutig ist, wären unseres Erachtens weitere konkrete Regelungen nur Ausdruck einer überzogenen Regelungswut. Individueller Missbrauch kann auch durch solche weitere Regelungen nicht verhindert werden.
Vorarlberger Gebietskrankenkasse
Zusätzlich zu den im Datenschutzgesetz vorgesehenen Regelungen gibt es eine kasseninterne Anweisung, wonach Datenträger vor der Entsorgung zu löschen bzw. mechanisch zu zerstören sind. Dies hängt davon ab, ob beispielsweise PCs zurückgegeben werden oder nicht mehr verwendbar sind.
CDs, DVDs, Disketten werden vor der Entsorgung mechanisch zerstört. Die Mitarbeiter sind angehalten, Daten nicht auf der lokalen Festplatte des PCs zu speichern.
Externe Partner (z. B. Servicepersonal) haben vor Arbeiten im Datennetz der Vorarlberger Gebietskrankenkasse eine Vereinbarung zu unterzeichnen, in der sie sich verpflichten, eventuell gespeicherte Daten nach Projektschluss zu löschen.
Betriebskrankenkasse Mondi Business Paper
Sämtliche Leistungsdaten liegen auf einem Großrechner und nicht auf einzelnen PC-Festplatten. Dieser Rechner wurde bis jetzt einmal getauscht und dabei die Daten des getauschten Rechners mit einer Spezialsoftware für die Nachwelt unbrauchbar gemacht.
Die in der. Anfrage dargestellte Problematik ergibt sich daher nicht.
Betriebskrankenkasse Donawitz
Es gibt keine Richtlinien, da keine sensiblen Daten auf PCs gespeichert werden.
Betriebskrankenkasse Zeltweg
Es gibt keine speziellen Richtlinien für die Entsorgung von Datenträgern. Die Entsorgung obliegt im Kassenbereich lediglich einer einzigen Person (EDV-Beauftragter), welche den Auftrag hat, Datenträger mit sensiblen Daten so zu entsorgen, dass ein Missbrauch ausgeschlossen werden kann.
Versicherungsanstalt öffentlich Bediensteter:
In der BVA werden generell alle relevanten Daten auf HOST/Serversystemen gespeichert. Diese Datenspeicherung erfolgt technisch in einem RAID 5 System, welches den gesamten Datenbestand in einem Verbund von Festplatten nach technischen Kriterien stark segmentiert verteilt. Somit sind die Daten einer einzelnen Festplatte nutzlos bzw. nur unter sehr hohem Aufwand auswertbar.
Clientsysteme (PC mit dessen Festplatte) werden nur für die Speicherung der eigentlichen Betriebssysteme und der Programme verwendet. Für Backuplösungen werden Bandsicherungen und für besondere Zwecke zusätzlich noch Datenspeicherungen auf Disketten und CD / DVD-Medien vorgenommen.
Die Entsorgung von Datenträgern erfolgt über die EDV-Abteilung sowie die Haus- und Liegenschaftsverwaltung. Im Zusammenwirken der Dienststellen mit diesen beiden Abteilungen werden geeignete Vorgangsweisen zum Zweck der Erfüllung von Datensicherheit und Datenschutz angewendet.
Somit sind besonders geeignete und geschulte interne MitarbeiterInnen (EDV, Abfallbeauftragte) der BVA mit diesem Thema befasst, denen die Sensibilität dieses Themas bewusst ist.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Datenträger werden durch die SVD (Tochtergesellschaft für Bürodienstleistungen) mit dem Hinweis auf „Datenschutzrechtskonforme Entsorgung" entsorgt.
Sozialversicherungsanstalt der Bauern
Grundsätzlich ist anzumerken, dass aus Sicht der Sozialversicherungsanstalt der Bauern bei Verstößen von Partnern (wie beispielsweise Käufern/Entsorgern von PC-Systemen oder auch Wartungspartnern für EDV-Hardware) gegen vertragliche Verpflichtungen zur Einhaltung von Datenschutzbestimmungen der Vertragspartner und nicht der Sozialversicherungsträger zur Verantwortung zu ziehen ist.
· Verkauf an gewerbliche Unternehmen: Mit Käufern wurden Vereinbarungen getroffen, nach denen der Vertragspartner für die Löschung von Daten verpflichtet ist.
· Verkauf an Mitarbeiter: Die Datenträger wurden vor Abgabe der Geräte an die Mitarbeiter formatiert.
Versicherungsanstalt für Eisenbahnen und Bergbau
Es gilt die Datenschutzrichtlinie, die vom Hauptverband erstellt wird. Trägerintern gibt es keine.
Allgemeine Unfallversicherungsanstalt
Die Entsorgung von Datenträgern wie beispielsweise Festplatten ist in der AUVA über eine interne Dienstanweisung geregelt, deren Einhaltung über die Kontroll- und Prüfinstrumente der Betriebshierarchie gewährleistet ist.
Nach dieser Dienstanweisung ist im Falle eines einschlägigen Entsorgungsbedarfs vor einer Weitergabe an eine allfälligen externen Entsorger eine totale Löschung aller auf den betreffenden Datenträgern gespeicherten Daten sicherzustellen sowie eine physische Unbrauchbarmachung von Wechselmedien wie etwa Disketten vorzunehmen.
Dies bedeutet insbesondere bei auszuscheidenden PCs, Notebooks und Servern, dass die Festplatte entweder mechanisch zerstört wird oder die Daten mittels eines Löschgerätes durch Magnetfeld ausradiert werden.
In diesem Zusammenhang darf mitgeteilt werden, dass die AUVA hiefür über eine Datenlöschgerät der neuesten Generation verfügt, mit dem AUVA-weit alle auszuscheidenden und in Folge zu entsorgenden Festplatten behandelt werden.
Pensionsversicherungsanstalt
Seit der Fusion der Pensionsversicherungsanstalt der Arbeiter und der Pensionsversicherungsanstalt der Angestellten zur Pensionsversicherungsanstalt im Jahre 2003 betreiben wir unsere PCs mit einem flächendeckenden Thin-Client-Konzept.
Daraus ergibt sich, dass einerseits die Endgeräte bis zur absoluten Endverwertung im Einsatz sind (dzt. z. B. noch PCs mit 133 Mhz) und das andererseits auf den Festplatten keine Anwenderdaten gespeichert sind. Die wenigen Fat-Clients werden nach Ablauf ihres technischen Lebenszyklus als Thin-Client weiterhin verwendet.
Aus diesem Blickwinkel muss die Beantwortung Ihrer Anfrage gesehen werden: Es gibt derzeit keine normativen Bestimmungen über die Entsorgung von Endgeräten. Im Zuge der Einführung von ISMS (Information Security Management System) in der PVA ist dies aber geplant.
Frage 2:
Wiener Gebietskrankenkasse
Entsorgte PCs pro Jahr:
2000 – 661 PC (inkl. Festplatten)
2001 – 3 PC (inkl. Festplatten)
2002 – 22 PC (inkl. Festplatten)
2003 – 101 PC (inkl. Festplatten)
2004 – 50 PC (inkl. Festplatten)
2005 – 496 PC (inkl. Festplatten)
In Summe: 1.333 PC
Im Beobachtungszeitraum wurden keine Serverplatten bzw. Datenträger entsorgt. Die Entsorgung von CD erfolgt laufend ohne konkrete Zählung.
Niederösterreichische Gebietskrankenkasse
In den Jahren 2000 bis 2005 wurden keine PC-Systeme und Festplatten entsorgt.
Der generelle Austausch aller PC wird im Jahr 2006 durchgeführt, wobei ausdrücklich festgehalten wird, dass auf Grund der organisatorischen Struktur der NÖGKK sämtliche unternehmens- und gesundheitsrelevanten Daten auf Servern gespeichert werden und sich auf den PC keine solche Datenspeicherungen befinden.
Oberösterreichische Gebietskrankenkasse
PC: insgesamt etwa 1600 PCs.
Festplatten: Nur in Verbindung mit einem PC.
Steiermärkische Gebietskrankenkasse
Durchschnittlich 250 pro Jahr.
Salzburger Gebietskrankenkasse
Auflistung der ausgeschiedenen Computer:
Jahr: 2000 Anzahl: 151
Jahr: 2001 Anzahl: 7
Jahr: 2002 Anzahl: 108
Jahr: 2003 Anzahl: 22
Jahr: 2004 Anzahl: 2
Jahr: 2005 Anzahl: 133
Gesamt: 423
Tiroler Gebietskrankenkasse
Die Kasse entsorgt jährlich durchschnittlich zwischen 30 und 50 PC. Fast alle dieser PC wurden an soziale Organisationen bzw. Schulen übergeben, wobei die Platten gelöscht wurden.
Vorarlberger Gebietskrankenkasse
Die Zahl der entsorgten Datenträgern wie CDs, DVDs, Disketten wurde in der Vergangenheit nicht aufgezeichnet.
|
Jahr |
Datenträgertausch |
|
2000 |
Austausch der SSA-Platten gegen ein zentrales Plattenspeichersystem, 50 PCs ausgetauscht |
|
2003 |
neuer Fileserver beschafft, 20 PCs getauscht |
|
2004 |
190 PCs ausgetauscht |
|
2005 |
Austausch des zentralen Plattenspeichers |
Kärntner Gebietskrankenkasse
In den Jahren 2000 bis 2005 wurden folgende Stückzahlen entsorgt:
PCs und Laptops:
2000 70
2001 40
2002 275
2003 37
2004 19
2005 55
Festplatten:
2000 0
2001 21
2002 21
2003 8
2004 0
2005 0
Burgenländische Gebietskrankenkasse
Bei der BGKK wurden in folgen Jahren folgende PCs mit Festplatten entsorgt:
Im Jahr 2000: keine
Im Jahr 2001: keine
Im Jahr 2002: 93 PCs
Im Jahr 2003: 65 PCs
Im Jahr 2004: 70 PCs
Im Jahr 2005: keine
Betriebskrankenkasse Zeltweg
In den Jahren 2000-2005 wurden im Kassenbereich lediglich 4 PCs entsorgt.
Hinweis : Auf den lokalen PCs werden nur Betriebssystem und Applikationen installiert, jedoch keine Daten gespeichert; diese werden zentral auf einen Server abgelegt.
Versicherungsanstalt öffentlich Bediensteter:
Seit dem Jahr 2000 wurden einige hundert PCs, teilweise ohne Festplatten, teilweise mit gelöschten Festplatten entsorgt bzw. verwertet. In der BVA wurden in den Jahren 2000 bis 2006 im Bereich der Clientsysteme im Rahmen der Wartungsverträge folgende Stückzahlen an defekten Einzelfestplatten getauscht:
2001: 2 Stück
2002: 18 Stück
2003: 39 Stück
2004: 35 Stück
2005: 20 Stück
2006: 5 Stück
Im Bereich des zentralen Storagesystems wurde im Jahr 2005 ein Austausch des Speichersystems „IBM Shark” vorgenommen: Sämtliche Daten wurden auf das neue zentrale Storagesystem migriert und alle Platten im alten System neu formatiert bzw. von der IBM mit Softwaretools zerstört. Das Storagesystem mit den Festplatten befindet sich immer noch in der BVA.
Das neue Plattensystem steht wiederum unter Wartung. Im Servicefall werden die Platten von der Wartungsfirma IBM gelöscht und die „defekten" Platten seitens der Firma IBM mitgenommen. Aufgrund der Vertragsbedingungen ist die IBM verpflichtet, z. B. nur MitarbeiterInnen mit Geheimhaltungsverpflichtungen lt. Datenschutzgesetz zu beschäftigen.
Im Bereich Business-Server wurden von IBM in der BVA folgende Festplatten getauscht:
2001: 5 Stück
2002: 6 Stück
2003: 4 Stück
2004: 8 Stück
2005: 1 Stück
2006: 1 Stück
Datensicherungen auf Disketten, Kassetten, DLT/LTO-Bändern und CD/DVD-Medien werden entsprechend den Skartierfristen aufbewahrt. Nach Ablauf dieser Fristen werden diese mechanisch von EDV-Mitarbeitern der BVA zerstört bzw. bis zur Findung einer generellen Entsorgungslösung in der BVA aufbewahrt.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Im Jahr 2004 wurden ca. 1.400 PC abgegeben. Auf PC der SVA befinden sich keine Daten im datenschutzrechtlichen Sinn.
Versicherungsanstalt für Eisenbahnen und Bergbau
Da VADÖB und VAE in Fusion getreten sind und ab 2005 VAEB sind, war zuvor der Umgang hinsichtlich der Entsorgung ein etwas anderer.
VADÖB: hat in den Jahren 2000 bis 2005 insgesamt 200 Datenträger entsorgt.
VAE: die Festplatten wurden aufgehoben.
Allgemeine Unfallversicherungsanstalt
Die im Bereich der Allgemeinen Unfallversicherungsanstalt in den Jahren 2002 bis 2005 entsorgten PC und Notebooks sowie die gesondert davon entsorgten Festplatten sind nachstehender Tabelle zu entnehmen:
|
Jahr |
PC bzw. Notebooks |
Festplatten |
|
2002 |
280 |
19 |
|
2003 |
545 |
5 |
|
2004 |
481 |
6 |
|
2005 |
672 |
22 |
Pensionsversicherungsanstalt
Für die Jahre 2000 bis 2002 gibt es keine entsprechenden Aufzeichnungen.
2003: 31 Stück
2004: 47 Stück
2005: 133 Stück
2006: 514 Stück
Frage 3:
Wiener Gebietskrankenkasse
a) Personal Computer: Löschung durch physische Zerstörung.
b) Server-Platten und Bänder wurden im Beobachtungszeitraum nicht entsorgt, es würde der Lieferant verpflichtet bzw. ein staatlich autorisierter Entsorger mit der gesetzeskonformen Entsorgung beauftragt.
Niederösterreichische Gebietskrankenkasse
Die Löschung der Festplatten erfolgt mittels Formatierung durch die externe Firma, welche in einer Bestbietersuche den Zuschlag zum Rückkauf der Geräte erhalten hat.
Oberösterreichische Gebietskrankenkasse
Nein. Zuständig ist die Auftragsfirma.
Steiermärkische Gebietskrankenkasse
Nein, zuständig ist die Auftragsfirma.
Salzburger Gebietskrankenkasse
Die Löschung ausgeschiedener Datenträger erfolgt intern durch die EDV-Abteilung. Festplatten werden mittels Software nach dem Standard US DoD 5220.22-M (8-306/E,C und E) 7-fach überschrieben.
Tiroler Gebietskrankenkasse
Die Entsorgung erfolgt nicht durch eine Firma, sondern durch die Abteilung Informatik. Weiteres siehe dazu zu Frage 5.
Vorarlberger Gebietskrankenkasse
Ja.
Kärntner Gebietskrankenkasse
Festplatten auf ausgeschiedenen Geräten werden vom eigenen Personal durch Low-Level Format und Überschreiben mit Leerzeichen gelöscht (keine Auftragsfirma).
Burgenländische Gebietskrankenkasse
Die Datenträger werden durch die BGKK mit einer Spezialsoftware gelöscht.
Betriebskrankenkasse Donawitz
Nein, da keine sensiblen Daten auf PCs gespeichert werden.
Betriebskrankenkasse Zeltweg
Die zu entsorgenden Datenträger werden nicht durch eine Auftragsfirma über eine Spezialsoftware gelöscht.
Die zu entsorgenden Datenträger werden, so sie sensible Daten enthalten, vom beauftragten Mitarbeiter der Kasse mechanisch zerstört.
Versicherungsanstalt öffentlich Bediensteter:
Die ausgeschiedenen EDV-Geräte werden nur zum Teil über Firmen entsorgt, erhebliche Mengen werden verwertet.
Funktionsfähige Festplatten werden zu diesem Zweck seit 2004 mit einer Spezialsoftware „KillDisk” mehrfach überschrieben und damit wird der Aufwand für eine Wiederherstellung von Daten durch darauf spezialisierte Wiederherstellungsfirmen sehr stark angehoben.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Datenträger, bei welchen das technisch möglich ist (wiederbeschreibbar) und die relevanten Inhaltes im datenschutzrechtlichen Sinn sind, werden vor der Entsorgung inhaltlich mittels Betriebssystems (keine Spezialsoftware) gelöscht. Andere Datenträger werden nicht gelöscht.
Versicherungsanstalt für Eisenbahnen und Bergbau
VADÖB – ja; VAE war nicht notwendig siehe Frage 2.
Allgemeine Unfallversicherungsanstalt
Siehe Frage 1.
Pensionsversicherungsanstalt
Es erfolgt eine mechanische Zerstörung der Festplatte.
Frage 4:
Wiener Gebietskrankenkasse
Im Beobachtungszeitraum wurden keine derartigen Aufträge erteilt.
Niederösterreichische Gebietskrankenkasse
Diese Löschung [der Festplatten] ist vertraglich festgelegt, wird protokolliert und ist daher für jedes Gerät nachvollziehbar.
Oberösterreichische Gebietskrankenkasse
Es wurden noch nie Festplatten alleine entsorgt.
Steiermärkische Gebietskrankenkasse
Es gab bisher noch keinen Auftrag, Festplatten zu entsorgen, nur Magnetbänder.
Salzburger Gebietskrankenkasse
Es werden keine Aufträge an Entsorgungsfirmen erteilt. Die Wirtschaftsabteilung der Salzburger Gebietskrankenkasse übernimmt die nicht mehr benötigten Geräte, deren Daten zuvor gelöscht wurden (siehe Frage 3) und verkauft diese an Mitarbeiter bzw. andere Interessenten. Gegebenenfalls wurden solche elektronischen Geräte auch der Höheren Technischen Bundeslehranstalt Salzburg zur Verfügung gestellt. Wenn keine Verwendung der Geräte möglich ist, erfolgt eine Vernichtung in Sickerwiesen.
Tiroler Gebietskrankenkasse
Die Beantwortung erübrigt sich aufgrund der Beantwortung zu Frage 3.
Vorarlberger Gebietskrankenkasse
Das Löschen oder Zerstören wird intern im Hause durchgeführt.
Kärntner Gebietskrankenkasse
Die Entsorgung der Geräte erfolgt durch keine Fremdfirma sondern durch die eigene Wirtschaftsabteilung.
Burgenländische Gebietskrankenkasse
Der Auftrag an die Entsorgungsfirma lautet Rücknahme, Rückkauf oder Entsorgung.
Betriebskrankenkasse Donawitz
Es gibt keine Entsorgungsfirma.
Betriebskrankenkasse Zeltweg
Siehe Frage 3 der Anfrage.
Versicherungsanstalt öffentlich Bediensteter:
Derartige Aufträge erfolgen nur selten und sind abhängig vom Einzelfall.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Für die Entsorgung von Datenträgern wird seitens der SVA die Sozialversicherungsdienstleistungs-GmbH (SVD) beauftragt, welche auf „fachgerechte Entsorgung" angewiesen wird.
Versicherungsanstalt für Eisenbahnen und Bergbau
Bei VADÖB lautete der Auftrag zur Entsorgung (unter Einhaltung der Elektrogeräte VO/Abfallbehandlungspflichten-VO). Bei VAE war dies nicht notwendig.
Allgemeine Unfallversicherungsanstalt
Die konkreten Aufträge an die Entsorgungsunternehmen lauten schlicht auf Entsorgung, da die jeweiligen Daten wie erwähnt von der AUVA selbst zuvor unwiederbringlich gelöscht werden.
Pensionsversicherungsanstalt
Festplattenzerstörung und Entsorgung.
Frage 5:
Wiener Gebietskrankenkasse
Siehe Frage 1.
Niederösterreichische Gebietskrankenkasse
Siehe Fragen 3 und 4.
Oberösterreichische Gebietskrankenkasse
Extern.
Kam es jeweils zu einer Ausschreibung bei einer externen Entsorgung? Nur im Rahmen von Neuanschaffungen. Wenn nein, warum nicht? Bisher kein Bedarf.
Steiermärkische Gebietskrankenkasse
Die Datenlöschung bzw. Festplattenzerstörung erfolgt intern.
Salzburger Gebietskrankenkasse
Die Datenlöschung erfolgt intern. Die Geräte werden, wie unter Frage 4 dargelegt, verkauft, sodass keine Ausschreibungen für externe Entsorgungen erfolgen. Nicht mehr verwendbare Geräte werden zur Entsorgung nach Sickerwiesen gebracht.
Tiroler Gebietskrankenkasse
Die Platten werden durch mehrmalige Prepps gelöscht und neu formatiert. Anschließend wird die alte Systemsoftware darauf installiert. Die Daten sind damit gelöscht und der ursprüngliche Benutzer ist nicht mehr feststellbar. Auf den Schrottplatz kommen nur mechanisch kaputte Platten, die in keinem Falle mehr lesbar sind.
Vorarlberger Gebietskrankenkasse
Die Datenlöschung bzw. Zerstörung erfolgt intern.
Bisher bestand keine Notwendigkeit eine externe Entsorgung im Bereich Datenträger auszuschreiben.
Kärntner Gebietskrankenkasse
Datenlöschung und Zerstörung defekter Geräte erfolgt intern.
Burgenländische Gebietskrankenkasse
Die Datenlöschung erfolgte intern.
Betriebskrankenkasse Zeltweg
Festplatten werden durch eine kleine Bohrung zerstört, Bänder zerschnitten und sonstige Datenträger wie CD oder Disketten durch Knicken unbrauchbar gemacht.
Versicherungsanstalt öffentlich Bediensteter:
Die Daten werden durch interne MitarbeiterInnen mittels einer Spezialsoftware gelöscht. In Einzelfällen werden Festplatten, die nicht Teil eines RAID-Systems sind durch BVA-MitarbeiterInnen mechanisch zerstört.
Die Altgeräterücknahme wird teilweise im Zuge der Neubeschaffung von Geräten mit vergeben, allerdings trifft dies kaum auf Geräte mit Speicherfunktion zu, da z. B. die BVA-Server entweder keine Festplatten beinhalten oder diese Festplatten weiterverwendet oder in der BVA eingelagert werden. Mobile Endgeräte werden durch Spezialsoftware laufend verschlüsselt.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Vor der Abgabe bzw. Entsorgung von Festplatten mit Daten im datenschutzrechtlichen Sinn werden diese von der IT-Abteilung gelöscht (Low Level Formatierung) und danach an die SVD zur fachgerechten weiteren Entsorgung übergeben.
Bei Festplatten mit Systemdaten werden diese auch ohne Löschung an die SVD zur fachgerechten Entsorgung übergeben.
Zu einer Ausschreibung für die Entsorgung von Festplatten ist es aufgrund der Auftragswerte im Rahmen des BVG noch nicht gekommen.
Versicherungsanstalt für Eisenbahnen und Bergbau
VADÖB: Die Datenlöschung erfolgt mittels einer speziellen Software-intern.
· Nach der Schadstoffentfrachtung werden die Festplatten bzw. die Elektrokleingeräte mechanisch zerkleinert und in die diversen Fraktionen der Verwertung zugeführt. (Eisen/Schrott bzw. Nichtschrott) – extern.
· Keine Ausschreibung. Wenig bis gar keine kompetenten/gleichwertigen Entsorgungsunternehmen und gute Erfahrungen mit dem bisherigen Vertragspartner.
VAE: keine weder intern noch extern.
Allgemeine Unfallversicherungsanstalt
Siehe Frage 1.
Pensionsversicherungsanstalt
Die mechanische Zerstörung und Entsorgung erfolgt extern durch die Fa. COMPAREX. Aufgrund der geringen Stückzahlen erfolgte eine Direktvergabe an einen, von der PVA als verlässlich und kostengünstig eingestuften Partner.
Frage 6:
Wiener Gebietskrankenkasse
Siehe Fragen 1, 3b, 4.
Oberösterreichische Gebietskrankenkasse
Siehe Frage 1 bzw. bei Magnetbänder durch ein Datenträgervernichtungs-zertifikat.
Steiermärkische Gebietskrankenkasse
Es gab bisher noch keinen Auftrag, Festplatten zu entsorgen, nur Magnetbänder. Bei der Entsorgung der Magnetbänder wurde ein Zertifikat einer neutralen Prüfstelle eingefordert.
Salzburger Gebietskrankenkasse
Von der Salzburger Gebietskrankenkasse wurden keine Aufträge an Entsorgungsfirmen erteilt.
Tiroler Gebietskrankenkasse
Siehe Frage 3.
Vorarlberger Gebietskrankenkasse
Nicht relevant.
Kärntner Gebietskrankenkasse
Keine Fremdvergabe.
Burgenländische Gebietskrankenkasse
Die Entsorgung wird von der Entsorgungsfirma bestätigt. Kontrolliert wird dies nicht, da die Datenträger, wie bereits in Frage 1 beschrieben, durch die BGKK mit einer Spezialsoftware gelöscht wurden.
Betriebskrankenkasse Zeltweg
Verweis auf Frage 3.
Versicherungsanstalt öffentlich Bediensteter:
Die BVA beauftragt üblicherweise keine Fremdfirmen mit der Entsorgung von Festplatten, da wir diese entweder mit Spezialsoftware löschen und verwerten oder selbst mechanisch zerstören oder zwischenlagern.
Die Entsorgung von anderen Datenträgern erfolgt teilweise mit Fremdfirmen. Dabei erfolgt die Entsorgung teilweise im Beisein der BVA aufgrund vertraglicher Verpflichtung der Firmen.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Wird durch Stichproben seitens der SVD kontrolliert.
Versicherungsanstalt für Eisenbahnen und Bergbau
VADÖB: Dies erfolgt unter vertraglicher Verpflichtung zur Einhaltung der Elektroaltgeräte VO bzw. Abfallbehandlungspflichten VO die in diesem Bereich den einzuhaltenden Stand der Technik festschreiben.
VAE: Zur Kontrolle bei Entsorgung von diversen Produkten wird ein Protokoll angefordert werden.
Allgemeine Unfallversicherungsanstalt
Da auf den zu entsorgenden Datenträgern bei Übergabe an den externen Entsorger keine Daten mehr gespeichert sind, erübrigt sich eine besondere Kontrolle des Vertragspartners.
Pensionsversicherungsanstalt
Entsorgungsbestätigungen und stichprobenartige Kontrollen.
Frage 7:
Wiener Gebietskrankenkasse
Nein.
Oberösterreichische Gebietskrankenkasse
Bisher nicht.
Steiermärkische Gebietskrankenkasse
Bisher war kein Bedarf für derartige Regelungen gegeben.
Salzburger Gebietskrankenkasse
Von der Salzburger Gebietskrankenkasse wurden keine Aufträge an Entsorgungsfirmen erteilt.
Tiroler Gebietskrankenkasse
Siehe Frage 3.
Vorarlberger Gebietskrankenkasse
Nicht relevant.
Kärntner Gebietskrankenkasse
Keine Fremdvergabe.
Burgenländische Gebietskrankenkasse
Es sind keine Sanktionen vorgesehen, da die Datenträger, wie bereits in Frage 1 beschrieben, durch die BGKK mit einer Spezialsoftware gelöscht wurden.
Betriebskrankenkasse Zeltweg
Verweis auf Frage 3
Versicherungsanstalt öffentlich Bediensteter:
Es bestehen mangels gegenwärtigem Bedarf nur wenige Verträge mit Entsorgungsfirmen. Diese betreffen die nach Möglichkeit ÖNORM-gerechte Entsorgung von Disketten, welche vor allem zur Übermittlung von Abrechnungsdaten der Vertragspartner der BVA dienten. Diese Disketten werden in den föderalen Dienststellen der BVA gesammelt und jeweils einer lokalen Entsorgungsfirma übergeben.
Die Regelungen in den Aufträgen richten sich dabei nach den jeweiligen Möglichkeiten in den Bundesländern und der Auswahl an verfügbaren Auftragnehmern. Naturgemäß bestehen hier am Standort Wien, Niederösterreich und Burgenland die umfangreichsten Möglichkeiten.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Es werden nur Entsorgungsunternehmen herangezogen, deren Zuverlässigkeit erwiesen ist und außer Frage steht, eventuell würde auf gesetzliche Gewährleistungs- und Haftungsbestimmungen zurückgegriffen werden.
Versicherungsanstalt für Eisenbahnen und Bergbau
VADÖB: Unsere Partner sind verpflichtet, sich an die Elektroaltgeräte VO bzw. an die Abfallbehandlungspflichten VO zu halten und garantieren damit die ordnungsgemäße Entsorgung der Elektrokleingeräte. Sanktionen, wenn nicht ordnungsgemäß entsorgt wird, bestehen aus dem Vertragsverhältnis nach ABGB.
VAE: wie VADÖB.
Allgemeine Unfallversicherungsanstalt
Siehe Frage 6.
Pensionsversicherungsanstalt
Es sind keine Sanktionen vorgesehen, da auf den Festplatten keine Unternehmensdaten gespeichert sind („Thin-Client“).
Frage 8:
Wiener Gebietskrankenkasse
Nein.
Oberösterreichische Gebietskrankenkasse
Nein.
Steiermärkische Gebietskrankenkasse
Nein.
Salzburger Gebietskrankenkasse
Von der Salzburger Gebietskrankenkasse wurden keine Aufträge an Entsorgungsfirmen erteilt und sind uns dementsprechend auch keine Probleme bekannt.
Tiroler Gebietskrankenkasse
Siehe Frage 3.
Vorarlberger Gebietskrankenkasse
Nicht relevant.
Kärntner Gebietskrankenkasse
Keine Fremdvergabe.
Burgenländische Gebietskrankenkasse
Nein, es sind uns bis dato keine derartigen Probleme bekannt geworden.
Betriebskrankenkasse Zeltweg
Verweis auf Frage 3.
Versicherungsanstalt öffentlich Bediensteter:
Nein.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Nein.
Versicherungsanstalt für Eisenbahnen und Bergbau
Weder bei VADÖB noch bei VAE sind Probleme aufgetreten.
Allgemeine Unfallversicherungsanstalt
Siehe Frage 6.
Pensionsversicherungsanstalt
Bis dato gab es keinerlei Probleme mit der genannten Entsorgungsfirma.
Frage 9:
Zu dieser Frage ist allgemein zu bemerken, dass vorsätzliche Straftaten nie völlig, sondern nur nach bestem Wissen und Gewissen durch geeignete Maßnahmen, somit weitestgehend, ausgeschlossen werden können.
Wiener Gebietskrankenkasse
Die unter Frage 1 angeführte Arbeitsanweisung für die IT existiert seit 2003. Weder davor noch danach ist uns ein Fall missbräuchlicher Weitergabe (-verkauf, Versteigerung) bekannt geworden.
Niederösterreichische Gebietskrankenkasse
Eine Weitergabe „unter der Hand“ ist nicht möglich.
Oberösterreichische Gebietskrankenkasse
Für den Bereich der OÖGKK: ja.
Steiermärkische Gebietskrankenkasse
Für den Bereich der GKK: ja.
Salzburger Gebietskrankenkasse
Jedes Gerät ist mit einer Seriennummer versehen und es liegen für jeden Verkauf die entsprechenden Belege vor, sodass die Nachvollziehbarkeit über die Bestandsbewegungen grundsätzlich gewährleistet ist.
Tiroler Gebietskrankenkasse
Eine Weitergabe erfolgt ausschließlich nach der unter Frage 5 aufgezeigten Methode und an unter Frage 2 genannte Organisationen.
Was von diesen Organisationen weiter damit geschieht, wissen wir nicht, spielt aufgrund unserer Vorgehensweise gemäß Frage 5 auch keine Rolle.
Vorarlberger Gebietskrankenkasse
Seitens der Kasse wurden und werden alle möglichen technischen und organisatorischen Maßnahmen getroffen, die eine Weitergabe, einen Weiterverkauf oder eine Versteigerung der uns ausgeschiedenen Datenträger verhindern.
Kärntner Gebietskrankenkasse
Es werden keine ausgeschiedenen Datenträger unter der Hand weitergegeben oder verkauft.
Von Lieferfirmen zurückgekaufte, funktionierende Altgeräte werden vorher durch das interne Personal überprüft und die Daten gelöscht (siehe Frage 3).
Burgenländische Gebietskrankenkasse
Wir können nicht ausschließen, dass ausgeschiedene Datenträger weitergegeben wurden, dies stellt aber aufgrund der in Frage 1 beschriebenen Maßnahmen aus unserer Sicht kein Problem dar.
Betriebskrankenkasse Donawitz
Ja.
Betriebskrankenkasse Zeltweg
JA – soweit die Entsorgung im eigenen Bereich der Kasse gelegen ist – die BKK Zeltweg speichert einen Großteil der Daten auf einem gemeinsamen Hostrechner der VAEB (EDV-Verbund der BKKs), daher wird in diesem Fall auf die Entsorgungsrichtlinien der VAEB verwiesen.
Versicherungsanstalt öffentlich Bediensteter:
Im Fall von defekten Festplatten, die noch einer Garantievereinbarung unterliegen, fordern die üblichen Verträge die Rückgabe der ausgetauschten defekten Festplatte an den Garantiegeber.
Die Lieferfirmen werden im Vergabeverfahren zu einer fachgerechten Rücknahme der Bestandteile verpflichtet. Entsprechende von den Standardverträgen abweichende Regelungen wären neu zu verhandeln oder in zukünftigen Ausschreibungen aufzunehmen, mit Mehrkosten ist in diesem Fall zu rechnen.
Im Fall von funktionsfähigen Festplatten von PCs wird seit dem Jahr 2004 „KillDisk" - eine spezielle Software zur Löschung der Festplatten - eingesetzt. Diese Software KillDisk wird von EDV-MitarbeiterInnen der BVA angewendet, die dadurch gereinigten - veralteten - PCs inklusive Festplatten wurden über die Personalvertretung an BVA-MitarbeiterInnen weitergegeben.
Sozialversicherungsanstalt der gewerblichen Wirtschaft
Aus dem Lauf der Dinge in der Vergangenheit kann dies ausgeschlossen werden, allerdings kann ein nicht rechtskonformes Verhalten nach der allgemeinen Lebenserfahrung niemals zur Gänze ausgeschlossen werden.
Versicherungsanstalt für Eisenbahnen und Bergbau
Ja, bzw. wurden bei VAE keine verkauft.
Allgemeine Unfallversicherungsanstalt
Aus Sicht der AUVA ist mit Sicherheit auszuschließen, dass ausgeschiedene Datenträger der AUVA, auf denen Daten gleich welcher Art gespeichert wären, „unter der Hand“ weitergegeben, weiterverkauft oder versteigert worden sind.
Pensionsversicherungsanstalt
Aufgrund der mechanischen Zerstörung ist dies auszuschließen.
Frage 10:
Eine Notwendigkeit zu besonderen Regelungen für die Entsorgung von Datenträgern im Gesundheitsbereich sehe ich nicht. Zum einen ist eine solche Regelung im § 51 Abs 5 ÄrzteG 1998 ausdrücklich enthalten, zum anderen verweise ich auf die generell und daher auch im gegebenen Zusammenhang beachtlichen Vorgaben des DSG 2000, wonach im Rahmen der Datensicherheit ua dafür zu sorgen ist, dass Daten Unbefugten nicht zugänglich sind (§ 14 Abs 1 DSG 2000), wobei auch noch der in die Zuständigkeit der Strafgerichte fallende Tatbestand des § 52 Abs 2 Z 4 DSG 2000 zu erwähnen ist.
Mit freundlichen Grüßen
Maria Rauch-Kallat
Bundesministerin