Neun Millionen Meldedaten aus einer Datenbank der GIS waren im Jahr 2020 für ungefähr eine Woche ungesichert im Internet abrufbar. Dies führte Anfang Februar 2023 zu einem Sammelverfahren durch zwei Anwälte, für das sich bereits über 2.000 Menschen angemeldet haben. Die Anwälte sehen Chancen auf Schadenersatz von bis zu 1.000 Euro pro Kopf, was die GIS – sofern keine neuen Kläger dazukommen – bereits rund zwei Millionen Euro kosten könnte.

Beschwerde bereits eingereicht

Namen, Adresse, Geburtsdaten, Geschlecht, Staatsangehörigkeit und noch einiges mehr – es war ein großer Stamm an Daten, die 2020 ungeschützt im Netz abrufbar waren und von einem niederländischen Hacker gestohlen wurden. Passiert soll der Fehler damals einem IT-Subunternehmen der GIS sein, das mit einer Datenbankzusammenlegung beauftragt wurde. Das Datenleck wurde der Datenschutzbehörde damals DSGVO-konform gemeldet, und laut dieser Behörde hatte die GIS die Betroffenen per Presseaussendung über den Vorfall informiert. Damit war die Geschichte eigentlich abgeschlossen.

Dennoch steht der Vorwurf im Raum, dass die GIS das Recht auf die Geheimhaltung der Meldedaten der Bürger verletzt hat. Dies ist zumindest der Vorwurf eines Klienten der beiden Anwälte, die in einer offiziellen Beschwerde an die Datenschutzbehörde von "Nachlässigkeit" sprechen. So habe man es dem Hacker, der sich die Daten damals sicherte, zu leicht gemacht. Außerdem gelte es die Frage zu beantworten, warum auf einem Testsystem echte Daten abgelegt wurden.

Einer der Anwälte, Robert Haupt, ist optimistisch, was die Beschwerde gegen die GIS betrifft. "Ich werfe der GIS vor, dass sie rechtswidrig gehandelt hat. Sie hat im Rundfunkgebührengesetz keine Ermächtigung, Daten an Dritte auszulagern," sagt Haupt dem STANDARD. In ebendiesem Gesetz sei nur ein Hinweis zu finden, dass Inkasso-Dienstleistungen an Dritte ausgelagert werden dürfen. Weitere Dienste, so hat man den Eindruck, würden "inhouse" bearbeitet werden.

Haupt vergleicht den Fall mit einem Datenvorfall an einer Schule. Dort hatten sich zwei Kinder auf dem Schulhof gerangelt. Um die Kommunikation zwischen den Streitparteien zu erleichtern, schickte die zuständige Lehrerin die Handynummern der Eltern an die jeweils andere Partei. "Die Datenschutzbehörde schaltete sich umgehend ein, da im Schulgesetz kein Paragraf erwähnt, dass man Handydaten weitergeben darf."

Meldepflicht verletzt

Der zweite Vorwurf betrifft die mangelnde Information der Betroffenen. Zwar wurde eine Presseaussendung verschickt, dies greife "aber zu kurz", sagt Haupt. Die Betroffenen hätten direkt informiert werden müssen, etwa im Rahmen der Vorschreibung der GIS, die regelmäßig ins Haus geflattert kommt.

Die Beschwerde, die musterhaft für den aktuellen Betroffenen verfasst wurde, ist kürzlich an die Datenschutzbehörde weitergeleitet worden. "Normalerweise warten wir Wochen, bis es eine Reaktion gibt, aber diesmal waren es wenige Tage", sagt der Anwalt. 2.000 Menschen haben sich laut Haupt bereits via Online-Formular dem Sammelverfahren angeschlossen. Man erwarte bald Neuigkeiten von der Behörde und würde dann weitere Schritte planen. (Alexander Amon, 20.2.2023)