© Screenshot

Netzpolitik
05/08/2020

Was wir über den Datenschutzskandal wissen

Daten von Millionen von Österreichern waren öffentlich im Netz zugänglich. Woher die Daten stammen, ist nicht restlos geklärt.

von Franziska Bechtold

In einer Pressekonferenz mit Neos-Abgeordnetem Douglas Hoyos und Thomas Lohninger von epicenter.works am Freitagvormittag war vom "größten Datenschutzskandal der Republik" die Rede. Daten von Millionen Österreicher waren, über das "Ergänzungsregister für sonstige Betroffene", das seit 2004 öffentlich zugänglich war, öffentlich einsehbar.

Aufgefallen war die massive Datensammlung, als nach dem Einrichten des Härtefonds für die Betroffenen der Corona-Krise plötzlich zahlreiche Personen auf die Datenbank zugriffen. Denn um Geld aus dem Fonds zu erhalten, hatten Antragsteller eine die Kennzahl des Unternehmensregisters (KUR) angeben müssen, die nur in diesem Register verzeichnet ist.

Am Donnerstagabend wurde das Register schließlich vom Netz genommen. Zum Beweis, dass die Datenbank existierte, veröffentlichten die Datenschützer von epicenter.works eine geschwärzte Liste an Datensätzen von Personen wie Josef Hader, Wolfgang Sobotka und Thomas Brezina. Diese Daten waren bis gestern öffentlich einsehbar.

Wer ist betroffen?

Im „Ergänzungsregister für sonstige Betroffene“ (ERsB) waren Name, Adresse und Geburtstagsdaten von Kleinunternehmern und Selbstständigen verzeichnet. Da bei vielen dieser Menschen, darunter auch Personen des öffentlichen Lebens, die Firmen- und Privatadressen ident sind, konnten sie öffentlich eingesehen werden. Allerdings gibt Hoyos zu bedenken, dass auch Personen wie Kindergärtner und Friseure verzeichnet waren, die sich nie selbstständig gemeldet hatten. So bleibt derzeit unklar, welche Personen tatsächlich im Register auftauchen.

Wie viele Leute waren in dem Register verzeichnet?

Wie viele Daten tatsächlich online zu finden sind, ist derzeit unklar, so Lohninger. Die eine Million Datensätze wären lediglich eine Konservative Schätzung.  Welche Daten eingepflegt wurden, sei nicht nachvollziehbar, sagte Hoyos.  So habe auch die Wirtschaftskammer Daten eingespeist.

Auf welche Daten konnte zugegriffen werden?

Laut Lohninger konnten Namen, Privatadressen und auch das Geburtsdatum eingesehen werden. Zudem waren Eintragungen ersichtlich, die darauf schließen lassen könnten, wann beispielsweise eine Steuererklärung eingereicht wurde oder ob jemand Beihilfe bezogen habe, so epicenter.works. Vermutet wird auch, dass weitere Steuerdaten verzeichnet waren, ein öffentlicher Zugriff darauf soll allerdings nicht möglich gewesen sein.

Was bedeutet das für Betroffene? 

Laut Lohninger könnten nicht nur Privatadressen eingesehen werden, sondern auch Geburtsdatum, Namen und Adresse könnte es zu kriminellen Handlungen wie Identitätsdiebstahl kommen, zumal die Daten aus der ganzen Welt aus aufrufbar waren. Kriminelle könnten so Datenhandel betreiben. Gegenüber der futurezone gab ein Sprecher des Bundesministerium für Digitalisierung und Wirtschaft (BMDW) an, man habe seit 2017 durch "technische Blockaden" einem "Absaugen" der Daten vorgebeugt. 

Auch die psychische Sicherheit der Verzeichneten könnte bedroht sein, sagte Datenschützer Lohninger. Da jeweils die aktuelle Wohnadresse hinterlegt ist, hätten Menschen durch die Freitextsuche nach einzelnen Namen suchen können und infolge dessen, diese zu Hause aufsuchen können. So sei das bei Personen wie Psychotherapeuten, die auch mit Personen zu tun haben, die straffällig wurden, besonders heikel.

Welche Rechte haben Betroffene?

Lohninger gibt zu bedenken, dass Menschen grundsätzlich das Recht haben müssen, ihre Adresse zu ändern, beispielsweise wenn die Firmen- von der Privatadresse unterscheide. Allerdings habe das Finanzministerium stets die Privatadresse der Personen in das Register eingetragen, auch wenn diese eine Änderung gewünscht hätten.

Zudem merkt Lohninger an, man hätte, wie beim Melderegister, die Möglichkeit einer Auskunftssperre anbieten müssen. So kann jede Person den Zugriff auf die persönlichen Informationen sperren lassen, wenn man „ein schutzwürdiges Interesse glaubhaft“ machen kann, wie beispielsweise die Sorge vor Racheakten.

Warum war das Register online?

Das sei nicht nachvollziehbar, sagten Hoyos und Lohninger. Spätestens mit dem Einrichten des Härtefallfonds während der Corona-Krise hätte das Ministerium darauf aufmerksam werden müssen, dass die Datenbank nicht mit dem Datenschutz vereinbar sei. So seien auch Privatadressen von Psychotherapeuten online gewesen, was besonders kritisch sei. 

In der Phase 2 des Härtefallfonds ist die Angabe der Kennzahl (KUR), die im Register verzeichnet war, nun nur mehr optional, heißt es auf der Webseite des Unternehmensservice Portal. Nun sind für einen Antrag nur noch die persönliche Sozialversicherung- und Steuernummer erforderlich.

Auf welcher gesetzlichen Grundlage basiert das Register?

Die Führung eines solchen Registers ist unter der Ergänzungsregisterverordnung zusammengefasst. Diese sieht laut Paragraf 14 vor, das ERsB „als öffentliches Register zu führen, das von der das von der Stammzahlenregisterbehörde im Internet verfügbar gehalten wird". Hoyos und Lohninger sehen allerdings keinen Grund, warum die Daten öffentlich einsehbar sein sollen. Eine rechtliche Grundlage gebe es dafür nicht, so Hoyos.

In einer Aussendung kommentierte ÖVP-Klubobmann August Wöginger, zu versuchen, „in künstlicher Aufregung einen Skandal zu basteln“ zeuge von Inkompetenz. Die Verordnung sei unter Werner Faymann (SPÖ) erlassen worden und das Register sei laut Verordnung öffentlich zu führen. Hoyos kommentierte, dem damaligen Bundeskanzler die Schuld in die Schuhe schieben zu wollen, sei "letztklassig".

Gegenüber der futurezone sagte ein Sprecher des BMDW: "Das Ergänzungsregister war ursprünglich bei der Datenschutzkommission, der späteren Datenschutzbehörde, die weisungsfrei und unabhängig ist, angesiedelt. Ende 2018 wurde es dem BMDW übertragen - über ein halbes Jahr nach Inkrafttreten der DSGVO im Mai 2018. Auch die DSGVO hat keinen Änderungsbedarf ausgelöst." Die rechtliche Basis für das Ergänzungsregister sei 2018 in Form des eGovernment-Gesetzes einstimmig vom Nationalrat beschlossen worden. Damals habe es keine Kritik an der Umsetzung gegeben. 

Welche Schritte sollen nun eingeleitet werden? 

Lohninger schlägt vor, dass es zukünftig Strafen, wie bspw. weniger Mittel für Behörden, geben soll, wenn es zu solchen Datenschutz-Verstößen kommt. Zudem soll eine Taskforce der Wirtschaftsministerin Margarete Schramböck (ÖVP) eingerichtet werden, die sich dem Register annehmen soll. Das bestätigte das Wirtschaftsministerium gegenüber der futurezone: "Gemeinsam mit dem Justizministerium wird das Wirtschaftsministerium eine Task Force auf Expertenebene einrichten, um die Register zu durchleuchten sowie Transparenz und Datenschutz zu vereinbaren".  

Die Webseite, die das öffentlich zugängliche Ergänzungsregister enthält, wurde am Donnerstagabend vom Netz genommen, bestätigte das BMDW der futurezone. Die öffentliche Einsicht sei zwar rechtlich gedeckt, allerdings nehme man das öffentliche Interesse ernst und wolle Missbrauch der Daten infolge der medialen Diskussion verhindern. Weiter teilte das BMDW mit, dass man einer "rechtlichen Anpassung und Verbesserung" jederzeit offen gegenüberstehen. 

Die Grünen begrüßten die Initiative der NEOS und von epicenter.works, die nun dazu geführt habe, dass die Website des Ergänzungsregisters ERsB vom Netz genommen worden sei. "In weiterer Folge muss die Verordnung überprüft und geklärt werden, ob und welche Veröffentlichung von Daten für den genannten Zweck überhaupt notwendig ist", so Süleyman Zorba, netzpolitischer Sprecher der Grünen, in einer Aussendung: "Wir haben uns im Regierungsprogramm zu umfassendem Datenschutz bekannt. Die Verordnung muss vom Ministerium unter Einbindung von Expertinnen und Experten so überarbeitet werden, dass die Datenschutzinteressen der Bürgerinnen und Bürger gewahrt sind."