Netzpolitik
13.04.2016

Polizisten greifen unkontrolliert auf Sozialversicherungsdaten zu

Rund 30.300 Exekutivbeamte können in Österreich auf Versicherungsdaten ohne echte Kontrolle zugreifen. Zumindest einer davon hat das System bereits missbraucht.

Was vergleichsweise harmlos begonnen hat, könnte zu einem echten Datenskandal werden: Ein Kärntner Verfassungsschutzbeamter hat im Jahr 2014 mutmaßlich widerrechtlich auf einen Versicherungsdatensatz des Ex-Freundes seiner Lebensgefährtin zugegriffen. Der Vorwurf: Er wollte damit Unstimmigkeiten betreffend der Höhe des zu zahlenden Kindesunterhaltes klären und hat die Höhe des Gehalts seines Kontrahenten abgefragt. Das geht aus einer Sachverhaltsdarstellung hervor, die der futurezone anonymisiert vorliegt. (Update und Anmerkung am 1.12.2016: Das Verfahren wurde von der Staatsanwaltschaft Klagenfurt eingestellt.)

Der Fall dieses Beamten löst aber eine Lawine an Ungereimtheiten aus. Der Grüne Nationalratsabgeordnete Peter Pilz stellte eine parlamentarische Anfrage zur Missbrauchsanfälligkeit von Daten, die beim Hauptverband der Sozialversicherungsträger gespeichert sind (PDF). „Eine derartige Abfrage ist höchst bedenklich und unterstreicht die Notwendigkeit einer systematischen Kontrolle“, sagt Pilz. Doch genau diese systematische Kontrolle scheint vollkommen zu fehlen, wie nun aus der Anfragebeantwortung des Bundesministerium für Inneres ( BMI) hervorgeht (PDF).

Alle haben Zugriff

Doch nicht nur das: Zugriff auf die heiklen Daten haben nicht nur Verfassungsschutz-Mitarbeiter: Insgesamt dürfen alle 30.372 Polizisten auf Versicherungsdaten zugreifen. „Eine Einschränkung der Zugriffsrechte an einen individuell eingrenzbaren Bedienstetenkreis ist nicht erfolgt“, heißt es in der Anfragebeantwortung. „Das bedeutet, dass jeder x-beliebige Polizist willkürlich in unseren Sozialversicherungsdaten herumschnüffeln kann“, erklärt Pilz im Gespräch mit der futurezone. „Da sind auch sensible, personenbezogene Daten davon betroffen und dieser Zugriff ist eine gewaltige Sauerei.“

Die futurezone hat beim Hauptverband der Sozialversicherungsträger nachgefragt, um welche Daten es sich genau handelt, auf die Behörden Zugriff haben: „Generell sind es Administrationsdaten, nicht Gesundheitsdaten. Das sind: Personenbezogene Daten wie Vorname, Name, Geburtsdatum und Sozialversicherungsnummer, Dienstgeber-bezogene Daten wie Name und Anschrift des Dienstgebers, Art und Dauer des Dienstverhältnisses, Beitragsgrundlagen, Sozialversicherungsrechtliche Daten wie leistungszuständiger Versicherungsträger, Pensionsbezug (nicht Pensionshöhe), sozialversicherungsrechtliche Angehörigeneigenschaften (Kind, EhepartnerIn).“ Unter „Beitragsgrundlagen“ fallen etwa das Gehalt, wie der futurezone vom Hauptverband der Sozialversicherungsträger mitgeteilt wurde.

Nicht alle Daten betroffen

Laut der Anfragebeantwortung des BMI ist die Abfragemöglichkeit der Exekutive auf die Versicherungsnummer, den Dienstgeber, den leistungszuständigen Versicherungsträger und den Umstand, ob eine bestimmte Person derzeit oder innerhalb der letzten drei Jahre beschäftigt war, begrenzt. "Zu einer Beantwortung der Innenministerin im Parlament gibt es von Seiten des Ministeriums keine Ergänzungen vorzunehmen", heißt es dazu aus dem BMI.

Laut Dieter Holzweber, Pressesprecher des Hauptverbands der Sozialversicherungsträger, gebe es aber „keine generelle Abfrageberechtigung“ aller über „alle über eine Person gespeicherten Daten“. „Es gibt in der Sozialversicherung auch keine Datenspeicherung, in der alle Daten einer Person vorhanden wären. Diese gegliederte Datenverarbeitungsorganisation ist ein Teil der Sicherheitsmaßnahmen.“ Und: „Nicht jede Behörde kann alle Daten erhalten“, so der Pressesprecher.

Mehrere tausend Abfragen

In der Anfragebeantwortung des BMI heißt es dazu: "Die Rechteprofile für die Exekutive werden vom Auftraggeber einer Anwendung, somit in concreto vom Hauptverband der Sozialversicherungsträger, definiert. Auch die Prüfung der Zulässigkeit der Rechtevergabe erfolgt immer beim Auftraggeber." Abfragen gebe es laut Holzweber auf jeden Fall „mehrere Tausend“ pro Monat.

Laut Absatz drei des Sicherheitspolizeigesetzes gilt für das Abfragen von Daten folgende Regel: „Jede Auskunftserteilung muss einer vorherigen Interessensabwägung seitens des Hauptverbandes unterzogen werden, was bei einem direkten Zugriff auf die Datenbank nicht gewährleistet wäre.“

Direkter Zugriff

Doch genau dieser direkte Zugriff der Exekutive wurde seitens des BMI in der parlamentarischen Anfragebeantwortung bestätigt. Denn darin heißt es: „Solche Datenanfragen können durch einen Beamten bzw. eine Beamtin selbstständig durchgeführt werden.“

Ein Zugriff ist allerdings offiziell nur in den Fällen zulässig, für die eine entsprechende Rechtsgrundlage (z.B. § 76 Strafprozessordnung für das Strafrechtswesen, § 53 Abs. 3 Sicherheitspolizeigesetz in Angelegenheiten der Sicherheitspolizei, § 123 Abs. 5 Kraftfahrgesetz im Kraftfahrwesen oder § 106 Fremdenpolizeigesetz und § 37 Abs. 5 Niederlassungs- und Aufenthaltsgesetz im Fremdenwesen) und ein freigeschalteter Abfragecode besteht.

Wer kontrolliert das?

Hier stellt man sich einmal mehr die Frage nach der Kontrolle. Denn, wie der Fall des Verfassungsschutzbeamten zeigt, ist ein Missbrauch des Systems schon - zumindest einmal belegbar - passiert. Laut Holzweber sei es in der Vergangenheit bereits mehrfach zu Missbräuchen gekommen und das Kontrollsystem sei deshalb schon einmal „verschärft“ worden.

Doch wie sieht es nun mit der Kontrolle wirklich aus? Zwar ist das Ministerium verpflichtet, Anfragen zu überprüfen, aber hierfür reichen Stichproben. Hier macht die Antwort des BMI auf die Anfrage des Grünen Parlamentariers, nach der Kontrolle aber äußerst stutzig. „(…) erfolgen stichprobenartige Kontrollen durch den Hauptverband der Sozialversicherungsträger, die zur weiteren Überprüfung übermittelt werden.“

Stichproben, aber keine Überprüfung

Die futurezone fragte beim Hauptverband der Sozialversicherungsträger nach, wie diese „stichprobenartigen Kontrollen“ genau aussehen würden und bekam folgende Antwort: „Alle Anfragen werden entsprechend dem Datenschutzgesetz protokolliert: Aus den Abfrageprotokollen werden für jede anfragende Stelle einmal monatlich Stichproben erstellt und den abfragenden Behörden zur Verfügung gestellt." So weit, so gut. Ein derartiges Protokoll liegt der futurezone im Fall des Verfassungsschutzmitarbeiters vor.

Aber: "Die Häufigkeit der genauen Überprüfung der zur Verfügung gestellten Stichproben obliegt der anfragenden Stelle. Darüber hinaus geht der Hauptverband dann, wenn er eine Rückfrage erhält, der Sache jeweils nach.“ Wenn ein illegaler Zugriff erfolgt ist das laut Hauptverband „das Problem der ermittelnden Behörden“ und nicht das „Problem des Hauptverbandes“.

Das bedeutet: Eine systematische, flächendeckende Kontrolle der Abfragen von personenbezogenen Versicherungsdaten gibt es nicht. Der Hauptverband der Sozialversicherungsträger wird nur bei Rückfragen aktiv, die eigene Behörde - in dem Fall die Exekutive selbst - ist für die Kontrolle zuständig. Dies sorgt nicht auch bei Datenschutzexperten für Verwunderung.

Wer ist für Kontrolle zuständig?

„Der Hauptverband ist für die Daten verantwortlich, auch wenn der Zugriff gesetzlich legitimiert ist. Das bedeutet, dass der Hauptverband für die Überprüfung zuständig ist und nicht die Behörde. Es müsste jeder einzelne Fall auf seine Zulässigkeit überprüft werden, bevor eine Abfrage gestattet wird“, erklärt Datenschutzexperte Andreas Krisch. Für Pilz ist das ein „Datengau“ und „der erste große Datenskandal des Landes“.

Der Hauptverband verweist darauf, dass die „zentrale Auskunftserteilung sowohl für die anfragenden Behörden als auch für die Versicherungsträger "äußerst ökonomisch und vorteilhaft“ sei.

Bisher keine Konsequenzen

Der Missbrauchsfall durch den Mitarbeiter des Verfassungsschutzes hatte übrigens bisher auch keinerlei Konsequenzen, wie aus der parlamentarischen Anfragebeantwortung hervorgeht - und zwar weder für das System, noch für den Mitarbeiter. Die Ermittlungen sind jedoch noch nicht abgeschlossen.

Es wurden zudem keine Maßnahmen ergriffen, um weitere illegale Zugriffe auf Datenabfragen zu verhindern. „Hinsichtlich des internen Kontrollsystems wird auf die Homepage des Hauptverbandes der Sozialversicherungsträger verwiesen“, heißt es seitens des BMI in der Stellungnahme.

Auch für den Beamten gab es keine Konsequenzen – er wurde nicht suspendiert und er hat auch weiterhin die technische Möglichkeit, Datenanfragen an den Hauptverband der Sozialversicherungsträger zu stellen. Peter Pilz will diese Angelegenheit nun am Donnerstag im Innenausschuss diskutieren. „Ich bin gespannt, wie unsere Innenministerin rechtfertigt, dass jeder Polizist ohne Freischaltung auf das System zugreifen zu können.“

Update, 14.4.2016: 15:50 Uhr: Das BMI hat eine Stellungnahme veröffentlicht, wonach die Behauptung, es gäbe keine Konsequenzen für den besagten Beamten, unrichtig sei. "Das BAK ermittelt in diesem Fall, Maßnahmen werden auf Grundlage der Ermittlungsergebnisse erfolgen", heißt es dazu. Der Artikel wurde nun entsprechend ergänzt: Für den betroffenen Beamten gab es bisher keine Konsequenzen, weil die Ermittlungen noch laufen.