In Österreich sind für die öffentliche Hand keine Strafen für Verstöße gegen die Datenschutzgrundverordnung vorgesehen.
Johanna Schlosser / picturedesk.

Man stelle sich vor, ein Unternehmen ist für den größten Datenskandal Österreichs verantwortlich – und es ist ihm schlichtweg egal. So verhält es sich bei der GIS, der ORF-Tochter, die für die Abwicklung der Rundfunkgebühr verantwortlich ist. Ihr kamen 2020 über Umwege die Meldedaten von nahezu allen Menschen Österreichs abhanden. Mit ihrer Sorglosigkeit verstieß sie gegen die Datenschutzgrundverordnung, wie die Datenschutzbehörde nun – noch nicht rechtskräftig – feststellt.

Skandalös ist aber vor allem der Umgang der GIS mit der Causa: Mit keinem Wort hat sie bisher einen Fehler eingestanden. Im Gegenteil. Als 2020 der Fall erstmals bekannt wurde, bestätigte sie das Geschehene nicht klar, sondern beließ es bei Worten wie "könnte", "dürfte" oder "möglich". Nachfragen – etwa des STANDARD im Jahr 2021, als die Sache eigentlich viel klarer hätte sein sollen – ließ sie einfach unbeantwortet.

Straflos, wortlos

Selbst Jahre später hüllte sie sich mehrheitlich in Schweigen: Bekannt sind die Details des Datendiebstahls nur durch den Ermittlungserfolg des Bundeskriminalamts, das den Hacker in den Niederlanden ausfindig machte. Und wie reagierte die GIS darauf, dass sie beinahe beiläufig die Daten ganz Österreichs verschlampt hat? Sie erklärte, dass das Ganze "ausdrücklich nicht in der Sphäre der GIS lag".

Ein Unternehmen aus der Privatwirtschaft hätte für diesen Skandal wohl zu Recht eine Millionenstrafe ausgefasst. Das schätzen Experten auf Grundlage von vergleichbaren Entscheidungen. Aber da solche Geldstrafen für die öffentliche Hand nicht vorgesehen sind, bleibt es lediglich bei einer Rüge – gegen die die GIS nun Rechtsmittel einlegt. Es bleibt zu hoffen, dass zumindest vor Gericht Konsequenzen folgen werden. Aktuell führen tausende Betroffene ein Verfahren.

Gibt es keine, würde das bedeuten, dass Österreichs Datenschutzgesetze zahnlos sind, wenn Behörden sorglos mit den Daten der Bürger umgehen – und die Bevölkerung dem somit machtlos ausgeliefert ist. Schließlich geht es hier um Daten, die, wie die Datenschutzbehörde feststellt, genutzt werden könnten, um Identitäten zu stehlen. Daten, die Betroffene nicht einmal freiwillig an die GIS weitergegeben haben. Zumindest eine Entschuldigung, selbst wenn sie spät kommt, wäre angemessen. (Muzayen Al-Youssef, 30.11.2023)