Ein falscher Knopf, und schon waren mehr als neun Millionen Datensätze futsch. Ungefähr so lässt sich das Datenleck beim Gebühren-Info-Service (GIS) zusammenfassen – jenem Dienstleister, der die Rundfunkgebühr für den ORF abwickelt. Das Unternehmen hat vor zwei Jahren, über Umwege, Adressen, Namen und Geburtsdaten von so ziemlich jedem Menschen in Österreich verschlampt.

Diese Daten hat die GIS an ein Subunternehmen weitergegeben. Die Firma war mit der Neustrukturierung der internen Datenbank der GIS beauftragt worden. Allerdings stellte jemand aus der Belegschaft – so vermutet es zumindest ein Ermittler des Bundeskriminalamts – die Meldedaten bei einem Test versehentlich online. Statt fingierte Daten zu nutzen, verwendete diese Person echte Infos. Dadurch landeten plötzlich zig Datensätze ungeschützt im Netz. Ein Mann aus den Niederlanden griff sie ab – und bot sie im Darknet zum Verkauf an.

Informationsvakuum

Das rief wiederum das Bundeskriminalamt auf den Plan. Vergangene Woche verkündete die Behörde Erfolge bei den Ermittlungen. Der Mann wurde Ende vergangenen Jahres festgenommen.

All diese Ereignisse lassen sich vorwiegend aus den Aussagen der Ermittlerinnen und Ermittler rekonstruieren. Die GIS selbst betonte lediglich, dass man mit den Behörden kooperiert habe und die Ereignisse "ausdrücklich nicht in der Sphäre der GIS lagen". Bis auf eine kurze Bestätigung, die das Unternehmen 2020 über Medien ausrichtete, dass es womöglich zu einem Datenvorfall gekommen sei, hüllte sich das Unternehmen jahrelang in Schweigen.

Details dazu, welche Daten potenziell abhandengekommen sind, blieben bis vor kurzem offen. Auch Anfragen des STANDARD 2021 sowie das Auskunftsbegehren eines Betroffenen blieben mit Hinweis auf die allgemeine Bekanntmachung unbeantwortet.

Eingestelltes Verfahren

Es sei "sehr befremdlich, dass die GIS vor allem bemüht scheint, den Vorfall herunterzuspielen und kleinzuhalten", befindet Marco Blocher von der Datenschutz-NGO Noyb des Juristen Max Schrems. "Unabhängig von Fragen, die womöglich vor Gericht geklärt werden müssen, halte ich eine Entschuldigung bei der österreichischen Bevölkerung für angemessen." Schließlich handle es sich um "einen sehr heftigen Fall", da eine Vielzahl an Daten verlorengingen. Schlimmer wäre aus Blochers Sicht eigentlich nur, wenn es sich um sensible Infos wie Gesundheitsdaten gehandelt hätte.

Rechtlich gesehen war das Vorgehen aus Sicht der Datenschutzbehörde korrekt. Sie stellte Verfahren gegen die GIS ein: Der Vorfall sei entsprechend der Datenschutzgrundverordnung (DSGVO) gemeldet und die Öffentlichkeit per Presseaussendung informiert worden.

Fehlende Kommunikation

"Auf keinen Fall" war die Kommunikation der GIS ausreichend, befindet hingegen Blocher. Eine öffentliche Bekanntmachung sei nur zulässig, wenn eine persönliche Benachrichtigung unverhältnismäßig aufwendig wäre. Das sei nicht der Fall. Schließlich kontaktiere die GIS regelmäßig vermutete Gebührenschuldner.

Anders sieht es der Anwalt Lukas Feiler von Baker McKenzie, dessen Kanzlei unter anderem große IT-Unternehmen vertritt. Von Meldedaten gehe kein allzu großes Risiko aus, diese könne man legal bei Adresshändlern erwerben. Daher sei die GIS nicht zur einer Benachrichtigung verpflichtet gewesen.

Informationsfreiheit gefordert

So oder so, ein rechtliches Nachspiel wird es geben – wenn auch vielleicht ohne Folgen. Am Mittwoch verkündeten die Rechtsanwälte Florian Scheiber und Robert Haupt ein geplantes Sammelverfahren wegen des Datendiebstahls. Sie riefen Betroffene auf, sich anzuschließen, um Schadenersatz zu verlangen. Haupt reichte eine Anzeige bei der Staatsanwaltschaft ein.

Wie erfolgreich sie sein wird, ist offen. Der Rechtsinformatiker Nikolaus Forgó hält sie jedenfalls für "sehr dünn". Blocher hält dem entgegen, dass ein massiver Kontrollverlust in Bezug auf die eigenen Daten vorliege.

Forgó wie auch Blocher bedauern, dass Bescheide der Datenschutzbehörde nicht veröffentlicht werden. Die Problematik liege bei der fehlenden Informationsfreiheit in Österreich. "Solange es keine Gesetze gibt, die vorsehen, dass Entscheidungen von Behörden zu veröffentlichen sind", sagt Forgó, bleibe das eine Entscheidung der Datenschutzbehörde. Sie kann Bescheide veröffentlichen – oder eben nicht. Die Behörde war für weitere Rückfragen zu dem Fall nicht für den STANDARD erreichbar. (Muzayen Al-Youssef, Mickey Manakas, 4.2.2023)