Die GIS will gegen den Bescheid der Datenschutzbehörde, der einen Verstoß gegen die Datenschutzgrundverordnung feststellt, Rechtsmittel einlegen. IMAGO/CHROMORANGE

Im Jahr 2020 stahl ein Hacker die Meldedaten von fast jedem Menschen in Österreich. Sie waren der Gebühren Info Service (GIS) über Umwege abhanden gekommen. Nun hat die Datenschutzbehörde (DSB) die ORF-Tochter, die bisher die Rundfunkgebühr abgewickelt hat, in einem Bescheid gerügt: Sie habe nicht ausreichend dafür gesorgt, dass sensible Daten geschützt bleiben. Was könnte das künftig bedeuten? Ein Überblick.

Frage: Was ist geschehen?

Antwort: Vor etwas über drei Jahren tauchte in einem Hackerforum ein Posting auf: Der Verfasser, ein Niederländer, bot die Meldedaten von so ziemlich allen Menschen in Österreich – neun Millionen Datensätze – an. Er betonte, dass darunter auch etwa Adressen von Journalistinnen, Ärzten, Polizistinnen, Regierungsbeamten, Richterinnen und Anwälten zu finden seien. Relativ bald stellte sich heraus, dass diese Informationen von der GIS stammten.

Frage: Wie gelangte der Hacker an die Daten?

Antwort: Diese Meldedaten, die die GIS für Hausbesuche nutzt, hat sie an ein Subunternehmen weitergegeben. Die Firma war mit der Neustrukturierung der internen Datenbank der GIS beauftragt worden. Allerdings stellte jemand aus der Belegschaft die Meldedaten bei einem Test versehentlich online. Statt fingierte Daten zu nutzen, verwendete diese Person echte Infos. Dadurch landeten plötzlich zig Datensätze ungeschützt im Netz.

Frage: Wieso hat die GIS die Daten überhaupt an das Subunternehmen weitergegeben?

Antwort: Das Rundfunkgebührengesetz sieht vor, dass die GIS die Meldedaten nicht aus dem Zentralen Melderegister (ZMR) bezieht, sondern direkt von den Meldebehörden, erläutert der Rechtsanwalt Philipp Springer dem STANDARD. Das sind die 2.093 Gemeinden in Österreich. Zur Vereinfachung erhält die ORF-Tochter sie aber dennoch großteils aus dem ZMR, das im Innenministerium verwaltet wird. Außer in Wien: Dort werden die Informationen weiterhin aus dem Landesmelderegister bezogen, das wiederum eine andere Software nutzt als das ZMR. Daher müssten die Daten monatlich zusammengefügt werden – was wiederum von dem Subunternehmen abgewickelt wird. "Das Ganze wäre also nicht passiert, wenn die GIS einfach – wie etwa das Finanzamt und andere Behörden – die Informationen vom ZMR beziehen würde, mit den entsprechenden Sicherheitsstandards", sagt Springer.

Frage: Apropos Sicherheitsstandards – was sagt die Datenschutzbehörde?

Antwort: Die DSB rügte am Mittwoch die GIS in einem Bescheid – und sieht einen Verstoß gegen die Datenschutzgrundverordnung (DSGV). Die GIS habe gegen das Recht auf Geheimhaltung verstoßen, indem sie nicht ausreichend technisch und organisatorisch dafür gesorgt hatte, dass die personenbezogenen Daten der Betroffenen geschützt bleiben. Die DSB stellte zudem fest, dass es sich insofern um sensible Daten handelt, als diese für Identitätsdiebstähle missbraucht werden könnten. Eine Geldstrafe kann die Datenschutzbehörde nicht verhängen, da dies für die öffentliche Hand rechtlich nicht vorgesehen ist. Der ORF hat bereits angekündigt, Rechtsmittel gegen die Entscheidung einzubringen.

Frage: Welche Folgen könnte das für die GIS haben?

Antwort: Aktuell führen die Rechtsanwälte Robert Haupt und Florian Scheiber ein Sammelverfahren gegen die GIS, dem sich bereits über 4.000 Personen angeschlossen haben. Sie fordern Schadenersatz. "Für den Datendiebstahl musste der Niederländer ja nicht einmal etwas hacken", sagt Haupt zum STANDARD. Die Daten waren offen im Netz. "Wenn ein Museum über Nacht seine Werke im Burggarten ausstellt, und jemand nimmt sie mit, ist das ja auch kein Einbrecher."

Frage: Kann die Klage Erfolg haben?

Antwort: Der EuGH hat im Mai entschieden, dass schon erheblicher Ärger ausreichend ist, um sogenannten immateriellen Schadenersatz einfordern zu können. Haupt und Scheiber sehen mit dem Bescheid ihr Anliegen bestärkt, da die DSB bestätigt hat, dass die gestohlenen Daten missbraucht werden könnten.

Frage: Wenn ganz Österreich betroffen ist – könnte die gesamte Bevölkerung Schadenersatz fordern?

Antwort: Theoretisch ja. Allerdings dürfte das Verfahren noch länger andauern, bis es letztinstanzlich ausjudiziert ist. Die Verjährungsfrist liegt bei drei Jahren. Daher dürfte es, sofern ein Gericht zugunsten der Sammelkläger urteilt, bis dahin für andere Kläger nicht mehr möglich sein, Schadenersatz von der GIS einzufordern. (Muzayen Al-Youssef, 30.11.2023)