Die im Zuge des Datenskandals rund um das "Ergänzungsregister für sonstige Berufe" (ERsB) eingerichtete Taskforce hat dem Wirtschaftsministerium ihre Ergebnisse vorgelegt. Zu den Reparaturvorschlägen zählen die Nichtöffentlichkeit der Datenbank und verpflichtende Informationen für Betroffene. Laut der Datenschutz-NGO Epicenter.works mangelt es dem Ministerium aber weiter an Problembewusstsein.
Wenn über eine Behördendatenbank jahrelang sensible Informationen wie Wohnadressen und Telefonnummern von hunderttausenden Österreichern ohne deren Wissen unverschlüsselt im Internet zu finden sind, stellt sich die Frage nach den Hintergründen. Das Wirtschafts- und Digitalministerium, bei dem das Ergänzungsregister angesiedelt ist, beruft sich auf eine Verordnung aus dem Jahr 2009, wonach dieses qua Gesetz öffentlich geführt werden muss. Trotzdem – und damit rechtswidrig – wurde es Anfang Mai offline gestellt, nachdem die Datenschutzpanne publik geworden war.
Mehrere Forderungen
Thomas Lohninger von Epicente Works wertet das als Schuldeingeständnis – ebenso wie den Umstand, dass das Ministerium daraufhin eine Taskforce einsetzte. In dieser war er selbst Mitglied, kann aber wenig Positives vom Arbeitsprozess berichten. So habe es von Anfang an geheißen, dass nur die Reparatur und nicht die Aufklärung rund um den Datenskandal der Auftrag sei. "Wir sollten uns auch nicht um andere Register kümmern, sondern lediglich um das Ergänzungsregister", sagte Lohninger. Die finalen Vorschläge gerieten dann zu Minimalkompromissen.
Die wichtigste Empfehlung lautet, dass das ERsB entweder in Bezug auf natürliche Personen nicht öffentlich zu führen ist oder ähnlich wie beim Zentralen Melderegister ein abgesicherter Zugang herzustellen ist. Dafür braucht es laut Lohninger eine zentrale Clearingstelle, die bei jedem Antrag einer öffentlichen Institution entscheiden müsste, ob diese einen Zugriff erhält und Datensätze beschreiben darf. "Das Finanzministerium ist zwar der Großkunde des Registers, aber von der Wirtschaftskammer abwärts hat jedes Ministerium, jede Gemeinde, jede Behörde Schreibzugriff. Das sind tausende Stellen", erklärte er.
Zentrale Anlaufstelle
Zweitens sollten die Betroffenen verpflichtend über den Umstand, dass ihre Daten eingetragen werden, informiert werden. Drittens müssten die Daten aktuell und korrekt gehalten werden, viertens bräuchte es Klarheit, welche Stelle die Sorgfaltspflicht für die Datenverarbeitung hat. Lohninger: "Verantwortlich im Sinne der DSGVO ist die Stammzahlenregisterbehörde, die dem Wirtschaftsministerium unterstellt ist. Dort sieht man die Verantwortung aber bei den jeweils eintragenden Stellen."
Eine zentrale Anlaufstelle wäre fünftens auch notwendig, damit Betroffene ihre Rechte einfach geltend machen könnten. Sechstens bräuchte es auch ein Löschungskonzept, wie lange die Daten gespeichert werden dürfen. "Wir unterstützen diese Empfehlungen", sagte Lohninger. "Dieser Auftrag liegt jetzt bei der zuständigen Ministerin Schramböck." Die Umsetzung wäre für Epicenter Works jedoch nur ein erster Schritt.
Gesetzliche Grundlage fehlt
"Der einfachste Weg ist, die Verordnung zu ändern und dort die Öffentlichkeit zu streichen. Der im E-Government-Gesetz festgelegte Adressatenkreis sieht auch keine Öffentlichkeit vor", berichtete Lohninger. "Dann hätte man aber immer noch eine Datenbank, die unsauber reglementiert ist." Langfristig führe daher kein Weg vorbei an einer gesetzlichen Grundlage, die den Zugriff beschränkt und klare Verantwortlichkeiten schafft.
Abgesehen davon gehe es aber auch um Aufklärung. "Das war ein großer Skandal. Wir haben ganz viele Anfragen von Menschen erhalten, die in Sorge sind", sagte Lohninger. Es gelte, in Erfahrung zu bringen, wer die Datenbank zu welchen Zwecken beschrieben hat und welche Interessen möglicherweise dahinterstehen, am Status quo festzuhalten. "Ich sehe im Moment noch nicht die Bereitschaft, diese zwei entscheidenden Fragen zu beantworten. Deswegen habe ich Bauchweh." Mehr Licht ins Dunkel bringen könnten parlamentarische Anfragen der Neos, die noch der Erledigung harren. (APA, 18.06.2020)