Mehr als drei Millionen Menschen zahlen die GIS. Personendaten, allen voran die Adresse, hat das Unternehmen zusätzlich wohl von so gut wie jeder Österreicherin und jedem Österreicher, denn anhand dieser können erst Hausbesuche organisiert werden. Im vergangenen Jahr könnten damit potenziell praktisch alle Bürger im Land von einem Datenvorfall betroffen gewesen sein, der sich ereignet haben soll: Damals gab die Gebühreninfoservice GmbH zwar an, dass es zu einem Datendiebstahl gekommen sein "könnte" – "wobei nicht ausgeschlossen werden kann, dass diese Daten aus dem Einflussbereich der GIS stammen" –, bestätigte aber nie ausdrücklich, dass es zu einem derartigen Abfluss an Informationen gekommen ist.

Stattdessen betonte man, dass es seitens der GIS selbst zu "keinerlei Versäumnissen" gekommen sei. Fragt man heute zu dem Fall nach Details, wird man lediglich mit einem allgemeinen Statement vertröstet: "Wir dürfen Ihnen mitteilen, dass wir unmittelbar nach dem Vorfall die Datenschutzbehörde informiert und gleichzeitig auch eine Anzeige bei der Staatsanwaltschaft eingebracht haben." Die Datenschutzbehörde muss nach der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO) informiert werden, wenn der Verdacht auf die Verletzung des Schutzes von personenbezogenen Daten besteht.

Staatsanwaltschaft bestätigt laufende Ermittlungen

Detailfragen, etwa zu der genauen Zahl der Betroffenen, will man trotzdem nicht beantworten. Die Staatsanwaltschaft bestätigt, dass immer noch zu der Causa ermittelt werde, aktuell laufe ein Auskunftsbegehren im Ausland. Die Datenschutzbehörde will das Thema nicht kommentieren.

Doch fragt man weiter nach, lässt die GIS zahlreiche Fragen unbeantwortet – etwa ob Unbekannte Zugriff auf ihre Daten oder jene eines Partnerunternehmens hatten. Im vergangenen Jahr kursierten parallel zu den Gerüchten eines Datendiebstahls bei dem Unternehmen Angebote im Darknet, die den Verkauf von Daten bewarben. Sie waren auch Anlass für die Ermittlungen. Ihre Zusammensetzung, darunter die Adresse, soll damals auf von der GIS gespeicherte Informationen hingewiesen haben.

Den Verdacht, dass ein Partnerunternehmen der GIS betroffen war, will man auf Nachfrage nicht bestätigen, in der Stellungnahme gegenüber dem STANDARD heißt es nur: "Selbstverständlich sind wir mit unserem Dienstleister ständig in Kontakt und verbessern unsere Sicherheitsmaßnahmen weiter."

Offene Fragen

Unbeantwortet bleibt, ob potenziell Betroffene informiert wurden, wenn nicht, warum das nicht geschehen ist, und ob es überhaupt ein Verfahren bei der Datenschutzbehörde gibt. Außerdem wird nicht beantwortet, warum der potenzielle Datenverlust nie bestätigt oder dementiert wurde. Zudem will die GIS nicht verraten, welche Datensätze konkret betroffen sein könnten. Der Name des Dienstleisters, der offenbar betroffen sein könnte, wird auf Nachfrage ebenso nicht kommuniziert. Ebenso wenig, von welchen Quellen die Daten stammen – schließlich ist die GIS in Kontakt mit Meldebehörden, um sich Adressen für Hausbesuche zu beschaffen.

Die DSGVO sieht bei dem Verdacht auf einen Datenverlust Meldepflichten vor: "In jedem Fall ist die Datenschutzbehörde zu informieren – und bei Verdacht auf ein hohes Risiko für die Betroffenen müssen auch diese proaktiv informiert werden", sagt Thomas Lohninger von der Grundrechts-NGO Epicenter Works. Laut der Einschätzung des bayerischen Landesbeauftragten für den Datenschutz, Thomas Petri, lasse der Verlust von Grunddaten einer Person, die im Rahmen einer einfachen Melderegisterauskunft zu erhalten sind oder manchmal auch frei verfügbar im Internet bereitgestellt werden – etwa Name und Anschrift –, nicht zwangsläufig auf ein hohes Risiko schließen. "Da es aber potenziell um die Daten aller Haushalte in Österreich geht und es dadurch zu massivem Identitätsdiebstahl und Adresshandel kommen könnte, ist das hier kein klarer Fall", sagt Lohninger. Den ersten öffentlichen Hinweis auf einen Datenverlust gab es bereits im Mai 2020. "Und trotzdem wissen wir immer noch nicht, was genau passiert ist. Gerade die GIS, die zwangsweise die Daten aller Menschen im Land hat, hätte hier längst für Aufklärung sorgen müssen", kritisiert er.

Auskunftsbegehren

Eine potenziell betroffene Person hat in einem Auskunftsbegehren nach DSGVO gefragt, ob ihre Daten verloren gegangen sind. Die GIS verwies auf eine APA-Meldung des vergangenen Jahres, der Zitate von GIS-Geschäftsführer Harald Kräuter zum Verdacht eines Vorfalls – ohne ausdrückliche Bestätigung – zu entnehmen sind. Auf weitere Nachfrage, unter anderem zu der Frage, welche personenbezogenen Daten der anfragenden Person potenziell betroffen sind und welcher Auftragsverarbeiter sie verarbeitete, erklärte das Unternehmen, dass aufgrund laufender Ermittlungen keine weitere Beauskunftung gegeben werden könne. Stattdessen wurde die potenziell betroffene Person an die Staatsanwaltschaft weiterverwiesen. Das allerdings ohne Aktenzahl, die notwendig wäre, um Informationen über laufende Ermittlungen einzuholen.

Der Rechtsinformatiker Nikolaus Forgó von der Universität Wien erläutert dazu: Zu beauskunften seien zumindest "Empfänger oder die Kategorien von Empfängern". Empfänger sind etwa Personen oder Institutionen, denen personenbezogene Daten einer Person offengelegt wurden. Das wäre beispielsweise auch ein Partnerunternehmen. "Das kann man meines Erachtens nicht einfach nicht tun", sagt er zum STANDARD.

Nach Artikel 12 der DSGVO sei die GIS auch verpflichtet, die betroffene Person in der Ausübung ihrer Rechte zu unterstützen – darunter etwa das Auskunftsrecht sowie das Recht auf die Berichtigung von Daten oder deren Löschung. "Daraus lässt sich schließen, dass zumindest informiert werden sollte, ob und an wen Daten – auch möglicherweise – abgeflossen sind."

Datenschutzbehörde will sich nicht äußern

Potenziell betroffene Personen sollten also eigentlich bei einem Auskunftsbegehren nach DSGVO aufgeklärt werden. Wenn ein Unternehmen womöglich betroffene Personen nicht über die Verletzung des Schutzes ihrer Daten benachrichtigt hat, sieht die DSGVO außerdem vor, dass die Datenschutzbehörde sie nachträglich dazu verpflichten kann. Dabei muss sie berücksichtigen, wie wahrscheinlich es ist, dass die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt. Alternativ könnte sie mit einem Beschluss feststellen, warum das nicht geschehen muss, etwa weil die Daten bereits sicher sind, weil sie verschlüsselt waren oder weil kein Risiko besteht.

Auf weitere Nachfrage bei der Datenschutzbehörde, ob die GIS zu einer solchen Information verpflichtet wurde – und wenn nicht, warum nicht –, heißt es lediglich: "Wir führen die Verfahren mit den Parteien des Verfahrens." Man ersuche um Verständnis. Die Frage, ob es demnach ein laufendes Prüfverfahren zu der Causa gibt, um Datenschutzverletzungen zu ermitteln, blieb unbeantwortet. (Muzayen Al-Youssef, 20.8.2021)