DSGVO-Datenskandal in Österreich: Behörde stellt private Daten über Jahre ins Netz

Aktuell erschüttert ein Datenskandal Österreich. Die privaten Adressen und weitere Daten wie Termine von eingereichten Steuererklärungen von Bürgern (auch Prominenten) waren Jahre lang von einer Behördenseite frei per Internet einseh- und abrufbar. Trotz Datenschutzgrundverordnung hat das niemanden interessiert – und die Behörde kann nicht zur Verantwortung gezogen werden.

Aufgedeckt haben es Bürgerrechtler von Epicenter.works und Vertreter der österreichischen Oppositionspartei Neos. Laut dieser Epicenter.works-Meldung standen über eine Million Datensätze mit Angaben von Privatadressen komplett ungeschützt im Internet. Vor allem Prominente wie Bundespräsident Alexander Van der Bellen, der ehemalige FPÖ-Politiker Heinz-Christian Strache und der Sänger DJ Ötzi, aber auch Journalisten wurden so von Behörden mit ihren Wohnort-Adressen kompromittiert.

Was ist passiert?

In Österreich gibt es das sogenannte „Ergänzungsregister für sonstige Betroffene“, welches in der jetzigen Form vor elf Jahren vom damaligen Bundeskanzler Werner Faymann erlassen wurde. Das Register wurde Dezember 2018 in das BMDW (Wirtschafts- als auch das Finanzministerium) übernommen, ohne dass dessen Zweck und Inhalt hinterfragt wurde. Es wurden auch keine Schutzmaßnahmen eingerichtet, obwohl 2018 die DSGVO auch in Österreich galt.

Das Register wurde vom Wirtschafts- als auch das Finanzministerium als öffentliches Register geführt. Das Bundes-Finanzministerium (BMF) schickt laufend Daten an Register. Dabei ist unklar, aus welchen Quellen die Daten stammen. In diesem Register sind über 1 Million Adressdaten von Österreichern gesammelt. Das heißt: Persönliche Daten von mindestens einer Million Menschen wurden seit Jahren ohne jede Schutzmaßnahme öffentlich ins Netz gestellt, wie NEOS und epicenter.works in einer gemeinsamen Pressekonferenz am 8. Mai erläuterten.

Aufgefallen ist das Ganze, als Österreicher sich wunderten, dass sie bei Härtefälleanträgen zur Coronakrise ihre Daten ohne Weiteres abrufen konnten. Bereits Ende März 2020 gingen deshalb erste Beschwerden bei Österreichs Ministerien ein. Aber nichts geschah.

Größter Datenskandal in Österreich

Von einem Geschenk der Republik an jeden Datenhändler und Identitätsdieb, spricht der Geschäftsführer der Bürgerrechtler von Epicenter.works. „Es fehlen die technischen und organisatorischen Maßnahmen, um die Rechte der Betroffenen nach DSGVO zu schützen“, so Geschäftsführer Thomas Lohninger. Anders als im Zentralen Melderegister (ZMR) fehlen im „Ergänzungsregister für sonstige Betroffene“ alle Schutzmechanismen, wie die Herausgabe der Daten nur nach Identifikation der abfragenden Person und gegen Gebühr oder die Möglichkeit, die eigenen Daten mit einer Auskunftssperre zu schützen.

„Wir wissen noch gar nicht, wie viele Menschen von diesem Datenskandal betroffen sind und um welche Gruppen es sich genau handelt“, so Lohninger weiter. „Unserer Schätzung nach müsste es ca. eine Million Betroffene geben.“ Aus den Daten könnte sich auch ableiten lassen, wann Steuererklärungen eingereicht oder ob z.B.: Beihilfen bezogen wurden. „Noch viel dramatischer ist, dass die privaten Wohnadressen dieser Menschen öffentlich im Internet einsichtig sind und man sich nicht einmal dagegen wehren kann. Vom Bundespräsidenten abwärts ist fast jeder dort zu finden, der andere Einkünfte als aus nicht-selbstständiger Arbeit hat und hatte“, ergänzt der Datenschutzexperte.

Kein Zweck, keine Auskunftssperre, keine Schutzmaßnahmen

„Der Zweck dieses öffentlichen Registers ist nicht ersichtlich. Öffentliche Register bringen regelmäßig Rechte und Pflichten mit sich, wie z.B.: Eintragungen im ZMR, Firmenbuch oder Vereinsregister. Zwar kann die verwaltungsinterne Bereitstellung von Stammzahlen der Grund für die Erstellung des Ergänzungsregisters sein, das erklärt jedoch nicht seinen jahrelangen öffentlichen und hürdenfreien Zugang“, sagt die Epicenter.works Juristin Lisa Seidl.

Der Umfang der einsehbaren Daten geht in vielen Fällen über die im ZMR abrufbaren Daten hinaus und im Gegensatz dazu gibt es keine Schutzmechanismen wie die Herausgabe der Daten bei Identifikation der abfragenden Person gegen Gebühr oder die Möglichkeit der Einrichtung einer Auskunftssperre. Selbst wenn mit der Verordnung von 2009 eine Rechtsgrundlage für die Veröffentlichung des Registers besteht, könnte diese Verordnung eine Verletzung in das Grundrecht auf Datenschutz darstellen, so Seidl.

Anhand geschwärzter Auszüge aus dieser Datenbank können die Bürgerrechtler darlegen, dass die Daten von Journalist, Politiker und anderen Personen in diesem Register enthalten sind. Das betrifft speziell auch Personengruppe, die besonders auf die Geheimhaltung ihrer privaten Daten achten. Von 183 Nationalratsabgeordneten stehen beispielsweise 100 Abgeordnete mit ihrer privaten Adresse dort darin. Eine entsprechende Liste lässt sich hier abrufen. Auch Journalisten und Journalistinnen des ORF konnten recht einfach gefunden werden.

Auch in Österreich gibt es so etwas wie ein Handelsregister, dort als Firmenbuch bezeichnet. Auskünfte kosten dort aber 12,90 Euro pro Auszug – und die Daten beziehen sich auf eine Firma. Dort stehen aber keine privaten Wohnadressen darin, sondern die Geschäftsadressen der Unternehmen.

Ist die Verordnung gar gesetzes- oder verfassungswidrig?

Die Pointe an der gesamten Geschichte: Da haben die Leute in den Ministerien geschlafen und geschlampt, was das Zeug hält. Seit Mai 2018 musste auch Österreich und seine Behörden die DSGVO einhalten – wobei Behörden aber bei Verstößen nicht bestraft werden können.

Die Bürgerrechtler werfen nun die Frage auf, ob das Register nicht sogar gesetzes- oder verfassungswidrig sei. Wenn Daten, die nicht öffentlich zugänglich sind (z.B. Steuerdaten von Privatpersonen – nicht Unternehmen!), in einem solchen Register erfasst werden, braucht es eigene Rechtsgrundlage, um die Daten laut DSGVO zu verarbeiten. Jedoch ist selbst dann eine Verfassungswidrigkeit möglich (§1 DSG steht im Verfassungsrang).

Es braucht für gerechtfertigte Grundrechtseinschränkungen (was das Register mit der Verarbeitung privater Daten ist) immer ein legitimes Ziel, das notwendig und angemessen im Verhältnis ist. Hier scheitert es, laut Bürgerrechtler, schon am Ziel, da Steuerdaten für die Öffentlichkeit zugänglich gemacht werden. Daher sei die Grundrechtseinschränkung ungerechtfertigt und eine Verletzung des Grundrechts auf Datenschutz. Solange der VfGH die Verordnung nicht als gesetz- oder verfassungswidrig aufgehoben hat, ist sie anzuwenden, schreiben die Bürgerrechtler.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu DSGVO-Datenskandal in Österreich: Behörde stellt private Daten über Jahre ins Netz

  1. Blupp sagt:

    Was ich immer nicht verstehe ist, dass in Nachrichten dieser Art hervorgehoben wird ob Prominente und Politiker betroffen sind. Sind vor dem Gesetz nicht alle gleich?

    • Günter Born sagt:

      Das wird nur ad hoc jemand verstehen, der in einer exponierten Position ist! Möchte mich nicht dazu zählen, aber meine privaten Telefonnummern stehen seit ca. 30 Jahren in keinem öffentlichen Verzeichnis – aus guten Gründen. Und wenn Du dich wegen irgend einer Sache exponierst, aber jeder Spinner deine Privatadresse abrufen kann, wird daraus eine andere Nummer, als wenn Firma XYZ mit ihrer Adresse und Geschäftsführung genannt werden.

      Grundsätzlich gehören private Daten nicht ungeschützt ins Internet – egal von wem. Aber bei Personen des öffentlichen Interesses, die ggf. einen gewissen Aufwand treiben, um Privates und Öffentliches getrennt zu halten, ist das nochmals eine andere Nummer, und das wird in der Berichterstattung (imho mit Recht) hervorgehoben.

      • FoxSayz sagt:

        Das einzige was ich mich Frage wenn ich ins Impressum sehe:
        Hat der Hof wieder einen gescheiten Koch?
        :(

      • Blupp sagt:

        Exponierte Position oder nicht, der Zustand ist nur eine Momentaufnahme des Lebens. Es kann jeden ereilen plötzlich in der Öffentlichkeit zu stehen.
        Und dann ist man plötzlich ein anderer Mensch bzw. es ist erst dann (besonders) wichtig was mit den persönlichen Daten passiert? Oft genug werden Menschen von Tatsachen und seien es harmlose Jugendsünden vergangener Zeit, als sie noch nicht in einer exponierten Position waren, eingeholt.
        Insofern kann ich die Argumentation nicht nachvollziehen und bin der Meinug gleiches Recht für alle.

    • FoxSayz sagt:

      >Sind vor dem Gesetz nicht alle gleich?

      „Alle Tiere sind gleich,
      aber manche sind gleicher.“
      — George Orwell, Farm der Tiere

  2. Udo Berg sagt:

    Also das wäre doch wohl auch ohne DSGVO gesetzwidrig gewesen,oder?
    DSGVO hat doch nur die Auskunftspflicht+Angaben auf der Website ergänzt.

  3. Dekre sagt:

    Es ist schon etwas absurd, wenn Österreich das macht und das von einer Behörde und so wie es wohl aussieht seit (mind) 2004.
    Jedenfalls geht es gerade dort rund. Tatsache ist, dass wohl rechtlich, dass schon vor DSGVO der EU durch nationales Gesetz ein Verstoß darstellt.

    Der STANDARD informiert dazu passend und sachlich. Auch die Kommentare in den Artikeln sind informativ. Ich stelle mal zwei Links ein, den Rest kann man sich dort durchklicken.

    https://www.derstandard.at/story/2000117397751/taskforce-soll-alle-oeffentlichen-register-auf-datenschutz-pruefen

    https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung

    Na ja, da es Behördenversagen ist, wird es keinen Schuldigen geben. Ein tatsächlicher Skandal. Die Einen sind eben gleicher als die anderen Gleichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert