Bald wird die Gis-Gebühr abgeschafft. In der Zwischenzeit könnte der Datendiebstahl 2020, bei dem Daten fast aller Menschen der Republik gestohlen wurden, für die Gis ein juristisches Nachspiel haben. Der Hacker wurde mittlerweile verurteilt.
Bald wird die GIS-Gebühr abgeschafft. In der Zwischenzeit könnte der Datendiebstahl aus dem Jahr 2020, bei dem Daten fast aller Menschen der Republik gestohlen wurden, für die GIS ein juristisches Nachspiel haben.
IMAGO/CHROMORANGE

Der Datendiebstahl bei der Gebühren Info Service GmbH (GIS) hat erste juristische Folgen: Der niederländische Hacker Erkan S. wurde in Amsterdam zu einer Haftstrafe von drei Jahren verurteilt, davon zwei Jahre bedingt. Bisher war er in Untersuchungshaft. Das Urteil ist noch nicht rechtskräftig, sagt ein Sprecher der Staatsanwaltschaft Amsterdam auf STANDARD-Anfrage.

Die GIS hatte die Meldedaten von fast jeder Person in Österreich an ein Subunternehmen weitergegeben. Sie hatte es damit beauftragt, eine interne Datenbank der GIS neu zu strukturieren. Bei einem Test stellte allerdings jemand versehentlich die Datensätze ungeschützt ins Netz. Damit war der Weg für den wohl größten Datendiebstahl Österreichs – zumindest hinsichtlich der Zahl der Betroffenen – geebnet: S. griff die Daten 2020 ab und bot sie in einem Hackerforum zum Verkauf an. Dort entdeckten sie österreichische Ermittler, die Kaufinteresse vortäuschten und ihn so enttarnten.

Das Urteil berücksichtigt neben dem Diebstahl von Verkauf der österreichischen Meldedaten sowie kolumbianischer Gesundheitsdaten auch Phishing-Angriffe. S. gaukelte via Mail seinen Opfer einen falschen Absender vor, um an Daten zu gelangen. Gegen den Hacker ist zudem ein weiteres Verfahren anhängig. Er soll Daten eines niederländischen Ticketdienstleisters gestohlen und Lösegeld in Form von Bitcoins erpresst haben.

Tausende wollen Schadenersatz

Auch hierzulande könnte der Datendiebstahl bei der GIS noch juristische Konsequenzen nach sich ziehen: So klagt ein Österreicher auf Schadenersatz und sein Anwaltshonorar für eine Beschwerde bei der Datenschutzbehörde. Insgesamt fordert er 400 Euro und die Übernahme der Gerichtskosten. Vertreten wird er von dem Rechtsanwalt Philipp Springer. Das ist nach dem Sammelverfahren des Anwalts Robert Haupt, dem sich über 4.000 Personen angeschlossen haben, bereits die zweite Klage gegen das Unternehmen.

Die GIS habe Springer zufolge gleich eine Reihe an Verstößen gegen die Datenschutzgrundverordnung (DSGVO) begangen, darunter das Onlinestellen der Daten selbst. So wirft der Kläger der ORF-Tochter unter anderem etwa vor, Cloudtechnologie unnötigerweise zu nutzen, Tests mit echten statt fingierten Daten durchzuführen und Infos unbegründet an einen Drittstaat zu exportieren. Der wohl größte Vorwurf: Die GIS habe die Betroffenen 2020 nicht ordentlich über den Vorfall verständigt. Die DSGVO sieht vor, dass Betroffene bei Verdacht auf ein Risiko durch einen Datendiebstahl informiert werden müssen.

"Euphemistische" Stellungnahme der GIS

Nach ersten Gerüchten zu dem Vorfall, über die DER STANDARD damals berichtete, veröffentlichte die GIS auf ihrer Webseite eine Presseaussendung, in der sie einen Bericht der Nachrichtenagentur APA veröffentlichte: Darin hieß es, dass die GIS von einem Datendiebstahl "betroffen sein könnte" und "größere Mengen an Daten" gestohlen sein "dürften". Es könne "nicht ausgeschlossen werden", dass die Daten von dem Unternehmen stammen.

Die Aussendung sei Springer zufolge "euphemistisch formuliert", sagt er dem STANDARD: "Sie sprechen von vielen Daten, die vielleicht von der GIS stammen, und der ganze Vorfall sei womöglich passiert." Die GIS hätte zu diesem Zeitpunkt wissen müssen, dass wohl die Meldedatensätze von sämtlichen Österreicherinnen und Österreichern gestohlen wurden, "und hätte das auch schreiben müssen. Nur so wissen alle, dass sie betroffen sind."

Auch Ärger kann Schaden sein

Springer fordert daher einen Geldersatz für den "immateriellen Schaden", den sein Mandant erlitten habe. So kann auch Ärger aufgrund von Datenschutzverstößen ersatzpflichtig sein. Er verweist auf ein Urteil des EuGH vom Mai gegen die österreichische Post: Demnach würde "ein Schadenersatzanspruch zwar nicht automatisch bloß durch einen DSGVO-Verstoß ausgelöst. Andererseits hängt ein Schadenersatzanspruch gerade nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht."

Das heißt: Auch wenn man aufgrund eines Verstoßes erheblich genervt ist, reicht das für einen immateriellen Schadenersatz. „Wenn diese Klage erfolgreich ist, könnte potenziell jede und jeder Betroffene Schadenersatz einfordern", sagt Springer – und das wären fast alle Menschen in Österreich. Letztlich käme es darauf an, wie das Gericht, sollte es Springer recht geben, sein Urteil begründet. So wirft der Anwalt der GIS etwa auch vor, einen Auskunftsantrag seines Mandanten zu spät und ungenügend beantwortet zu haben. (Muzayen Al-Youssef, 6.7.2023)