Jahrelang waren die Daten von 1 Mio. Menschen ohne jede Schutzmaßnahme öffentlich ins Netz gestellt. Als größter Datenskandal der Geschichte bezeichnet das der Datenschützer Lohninger: „Das ist ein Geschenk der Republik an jeden Datenhändler und Identitätsdieb“. Zuständig für dieses Register waren seit der Einführung unter Kanzler Schüssel immer Minister der ÖVP.
„Persönliche Daten von mindestens einer Million Menschen wurden seit Jahren ohne jede Schutzmaßnahme öffentlich ins Netz gestellt“ schreibt der Verein „Epicenter.Works“. Der Verein kommt in Österreich dem Kompetenz-Zentrum für Datenschutz gleich: Sie waren an der Aufdeckung des Post-Skandals beteiligt und haben auch bei der Corona-App das Rote Kreuz beraten, um die App sicherer zu machen. In der Datenbank sind alle erfasst, die irgendwann ein selbstständiges Einkommen hatten – wenn auch nur im Nebenerwerb, vermuten die Datenschützer. Wie sich die Datenbank genau füttert, ist allerdings unklar: Sie haben auch Personen gefunden, auf die diese Definition nicht zutrifft.
Und es war auch das Corona-Virus, das sie auf die Datenbank aufmerksam gemacht hat. Zumindest indirekt. Denn wer einen Antrag bei dem Corona-Härtefallfonds einreicht, muss über ein Online-Formular seine persönliche Identifizierungsnummer aus der Datenbank heraussuchen und angeben. Das machte viel Bürger stutzig, denn anders als im Zentralen Melderegister (ZMR) fehlen hier alle Schutzmechanismen, wie etwa die Herausgabe der Daten nur nach Identifikation der abfragenden Person und gegen Gebühr oder die Möglichkeit, die eigenen Daten mit einer Auskunftssperre zu schützen. Selbst ein „Captcha“ oder eine andere Methode, um eine automatisierte Abfrage zu verhindern, fehlt. So können Hacker mit wenigen Zeilen Programm-Code die gesamte Datenbank auslesen.
„Das ist ein Geschenk der Republik an jeden Datenhändler und Identitätsdieb“, schreibt Epicenter.Works.
DSGVO – für den Staat nicht gültig?
Die Unternehmen waren auch deswegen so verwundert, weil viele seit der Einführung der Datenschutz-Novelle selbst mit dem Thema zu tun haben. Mit der sogenannten Datenschutz-Grunderordnung (DSGVO) drohen den Unternehmen hohe Strafen, wenn sie unbegründet Daten sammeln oder sorglos mit privaten Informationen umgehen. Dass das auch gut so ist, findet Thomas Lohninger, Geschäftsführer von Epicenter.Works:
„Wir sind zurecht Stolz, ein gutes Datenschutzgesetz geschaffen zu haben. Doch was für Unternehmen gilt, muss auch für Ministerien gelten.“ Doch die DSGVO ist mit der ministeriellen Verordnung ausgesetzt worden. Ob das verfassungsrechtlich zulässig ist, ist derzeit unklar.
Wer ist betroffen und wie?
Es ist noch nicht bekannt, wieviele Menschen betroffen sind. Konservativ geschätzt handelt es ich um mindestens 1 Mio. Menschen. Aus den Daten könne sich auch ableiten lassen, wann Steuererklärungen eingereicht oder ob z.B. Beihilfen bezogen wurden.
Doch “noch viel dramatischer ist, dass die privaten Wohnadressen dieser Menschen öffentlich im Internet einsichtig sind und man sich nicht einmal dagegen wehren kann. Vom Bundespräsidenten abwärts ist fast jeder dort zu finden, der andere Einkünfte als aus nicht-selbstständiger Arbeit hat und hatte”, ergänzt der Datenschutzexperte.
Das ist ein Sicherheitsrisiko für die Betroffenen.
Von 183 Nationalratsabgeordneten sind 100 Abgeordnete mit ihrer privaten Adresse im Register drin. Aber auch für „normale“ Bürger birgt das Gefahren. So sind beispielsweise Psychotherapeuten besonders exponiert – sie sind überdurchschnittlich oft von Stalking betroffen. Sie lassen oft ihre Adresse aus dem zentralen Melderegister sperren. Das ist hier nicht möglich.
Außerdem birgt das Leck die Gefahr des Identitätsdiebstahls – Verträge könnten anhand der Daten durch Betrüger im Namen von Fremden abgeschlossen werden.
Kein Zweck, keine Auskunftssperre, keine Schutzmaßnahmen
Es gibt andere Register, die öffentlich sein müssen: das Firmenbuch beispielsweise oder Vereinsregister. Der Zweck dieses öffentlichen Registers ist allerdings nicht ersichtlich.
Der Nutzen dieser Datenbank für die Verwaltung ist offensichtlich. „Das erklärt jedoch nicht seinen jahrelangen öffentlichen und hürdenfreien Zugang”, sagt die Epicenter-Works-Juristin Lisa Seidl. Das Ministerium und die WKO argumentieren, sie handeln aufgrund einer Verordnung von 2009, die das Führen einer öffentlich zugänglichen Datenbank vorschreibt. “Selbst wenn mit der Verordnung von 2009 eine Rechtsgrundlage für die Veröffentlichung des Registers besteht, könnte diese Verordnung eine Verletzung des Grundrechts auf Datenschutz darstellen”, so Seidl.
Auch andere Datenbanken müssen öffentlich zugänglich sein. Diese sind aber besser vor Missbrauch geschützt. Das Firmenbuch ist zwar leicht zugänglich, kostet aber recht viel – 12,90 ein Auszug – und hat einen wichtigen Zweck. Man kann sich über das wirtschaftliche Risiko, das man trägt, wenn man mit anderen Unternehmen Verträge abschließt, informieren. Aber dort finden sich keine privaten Wohnadressen, sondern die Geschäftsadressen der Unternehmen.
Finanzministerium, Wirtschaftsministerium und Wirtschaftskammer speisen Daten ein
Auch wenn mittlerweile das Wirtschaftsministerium – und nicht mehr das Finanzministerium – dieses Register verwaltet, speisen trotzdem beide Ministerien Daten ein. Spätestens seit Corona auch die Wirtschaftskammer. Ob die Wirtschaftskammer auf weitere im Hintergrund liegende Daten zugreifen kann, konnten die Datenexperten nicht herausfinden.
Allen Beteiligten musste die Brisanz dieses Datenregisters klar gewesen sein. Es gab mindestens 4 Anlässe, das Register zu evaluieren, bei denen die Alarmglocke schrillen hätten müssen. Zuletzt beim Corona-Härtefallfonds, als die Beamten des Finanz- und Wirtschaftsministeriums die Abwicklung planten und diesen Register als Teil davon definierten.
Als Finanzminister Blümel bei einer Pressekonferenz darauf angesprochen wird, gibt er sich überrascht und unwissend. Dabei gab es bereits seit Wochen Bürgerbeschwerden bei Finanz- und auch Wirtschaftsministerium, wie die NEOS dokumentiert haben. Ob der Minister von seinen Beamten nicht informiert wurde, oder doch schon länger von dem Problem wusste, ist angesichts des Schadens für die Bürger egal. Politisch muss der Vorgesetzte die Verantwortung für einen Skandal dieser Größenordnung übernehmen. Und das waren seit der Einführung des Registers immer ÖVP-Minister.