Dass eine Oppositionspartei die Regierung kritisiert, ist nicht weiter unüblich. Die Neos orten nun allerdings den "größten Datenschutzskandal der Republik". Das steht in einer Aussendung zu einer Pressekonferenz, die eigentlich erst am Freitag stattfinden wird. Details dazu wurden aber bereits im Vorhinein bekannt. So war über die Website des Wirtschaftsministeriums ein Register einsehbar, in dem private Daten von – laut Neos – einer Million Bürger gelistet waren. Pikant daran: Nicht nur Namen, persönliche Adressen und Geburtstagsdaten waren darin zu finden, sondern auch einzelne Angaben zum Steuerprozedere. Dabei handelt es sich nicht nur um Firmendaten, sondern um Privatanschriften. Am späten Donnerstagnachmittag wurde die Seite für eine kurze Zeit offline genommen. Das Wirtschaftsministerium ortet jedenfalls kein Datenleck.

Die Datenmenge ist gigantisch. So waren auf der Seite Privatanschriften von Spitzenpolitikern – von Bundespräsident Alexander Van der Bellen abwärts – einsehbar. Laut Iwona Laub von der Grundrechte-NGO Epicenter Works, die an der Aufdeckung beteiligt war, befinden sich Adressen von rund hundert Nationalratsabgeordneten und acht Regierungsmitgliedern in der Datenbank.

Register ist nicht neu

Bei den Neos wollte man am Donnerstag die Erkenntnisse noch nicht im Detail kommentieren und verwies auf die Pressekonferenz am Freitag. Der Neos-Abgeordnete Douglas Hoyos ließ den STANDARD auf Anfrage nur wissen, dass das Ergänzungsregister nicht neu sei, bisher wäre es aber unscheinbar gewesen. Aufgrund der Abwicklung des Härtefallfonds sei es in den Vordergrund getreten. Unter anderem dürfte es vom Finanzamt, vom Finanzministerium und von der Wirtschaftskammer (WKO) benützt werden, sagt Hoyos. Die Zugriffe darauf seien jedenfalls deutlich gestiegen, so der pinke Politiker.

Bei der WKO heißt es, dass es "keine technische Schnittstelle" zwischen dem Register und der Applikation des Härtefallfonds gebe. Das Register liege nicht im Wirkungsbereich der Kammer, heißt es auf Nachfrage. Die eigene Applikation wurde laut einer WKO-Sprecherin von einer externen Sicherheitsfirma vorab geprüft – Lücken wurden keine gefunden. Die Vorgaben des Datenschutzes wurden laut Kammer bei der Applikation eingehalten.

Finanzminister weiß davon nichts, Experte widerspricht

Finanzminister Gernot Blümel (ÖVP) wurde am Donnerstagnachmittag im Rahmen einer Pressekonferenz auf das Register angesprochen. Er höre davon zum ersten Mal, sagte der Minister. Auch sein Sprecher bestätigte, nichts von dem Fall zu wissen, man werde sich die Sache ansehen. Dass Blümel nichts von der Angelegenheit wusste, hält man bei den Neos jedenfalls nicht für glaubwürdig.

Die Regierung und die Wirtschaftskammer hätten ein riesiges Datenleck zu verantworten, so Hoyos weiter. "Hier geht es um höchstpersönliche Daten, und der Finanzminister ist vollkommen ahnungslos."

Datenschützer Thomas Lohninger von epi-center works widersprach in der ZiB2 Blümels Darstellung. Demnach seien Beamte, Kabinette und letztlich auch Finanzminister Blümel sowie Wirtschaftsministerin Margarete Schramböck (ÖVP) über das Datenleck informiert worden. "Das Problem ist bekannt und trotzdem ist das Register heute noch online gewesen", so Lohninger. Deshalb suchte man nun den Weg in die Öffentlichkeit, damit das Problem endlich angegangen werde.

Ministerium: Kein Datenklau

Das Wirtschaftsministerium, auf dessen Homepage das Register zu finden ist, ortet jedenfalls kein Datenleck. "Die gegenwärtige Umsetzung des Ergänzungsregisters ist in einer Verordnung aus dem Jahr 2009 geregelt, welche vom damaligen Bundeskanzler Faymann erlassen wurde und besteht in dieser Form seit elf Jahren unverändert", heißt es aus dem Ministerium. Das Ergänzungsregister sei als öffentliches Register zu führen.

"Es war ursprünglich bei der Datenschutzkommission, der späteren Datenschutzbehörde, die weisungsfrei und unabhängig ist, angesiedelt." Ende 2018 wurde es dem Wirtschaftsministerium übertragen – über ein halbes Jahr nach Inkrafttreten der DSGVO im Mai 2018, heißt es weiter. "Auch die DSGVO hat keinen Änderungsbedarf ausgelöst." Das Ministerium stünde einer rechtlichen Anpassung und Verbesserung "jederzeit offen gegenüber", betonte eine Sprecherin von Margarete Schramböck (ÖVP). "Jedenfalls ist festzuhalten, dass es sich weder um ein Datenleck noch um Datenklau handelt."

Unklar, wer geführt wird

Auf der Homepage heißt es: "In der Regel erfolgt die Eintragung durch eine Behörde, wenn im Zuge der Ausstattung einer Datenverarbeitung mit Stammzahlen eine Eintragung erforderlich ist." Es bestünde auch die Möglichkeit einer freiwilligen Eintragung.

Laut Laub ist nicht ersichtlich, wer genau im Register geführt wird. Einerseits würden Personen, die keiner selbstständigen Tätigkeit nachgehen, als Einzelunternehmen gelistet werden. Andere, die in der Vergangenheit selbstständig tätig waren, würden wiederum nicht aufscheinen.

Das Register selbst dürfte es bereits seit rund 16 Jahren geben, "wir wissen aber nicht, wie sich die Nutzung verändert hat", sagt Laub. Die Theorie der NGO: Die Daten sollen auf eine bequeme Art einer anderen Institution zur Verfügung gestellt werden. Das sei juristisch durchaus nachvollziehbar, nicht aber, wieso die Datensammlung öffentlich einsehbar sein sollte. "Der Zweck ist uns nicht klar", so Laub. (Nora Laufer, 7.5.2020)