Millionen Meldedaten veröffentlicht: GIS droht Anspruch auf Schadenersatz
Meldedaten von neun Millionen Menschen in Österreich waren 2020 ungesichert im Netz zu finden. Neue Klage auf Schadenersatz von 2000 Bürgern.
(Bild: ronstik/Shutterstock.com)
Eine Datenbank mit Namen, Adressen, Geburtsdatum und weiteren Informationen zu neun Millionen in Österreich gemeldeten Personen stand 2020 mindestens zwei Wochen lang offen im Netz. Die GIS (Gebühren Info Service) – das Pendant zum ARD, ZDF und Deutschlandradio Beitragsservice – soll ein IT-Unternehmen mit einer Datenzusammenlegung beauftragt haben. Dabei habe es das Datenleck bei einem Testsystem gegeben, das ein Niederländer nutzte. Er stahl die Daten und bot sie im Darknet an. Zunächst schien der Vorfall schnell erledigt zu sein. Nachdem Verfassungsschutz und Bundeskriminalamt ermittelten, konnte die GIS beziehungsweise das Subunternehmen als schuldig ausfindig gemacht werden. Die GIS schickte eine Presseaussendung raus, die reichen sollte, alle Betroffenen zu informieren. Das Problem wurde DSGVO-konform gemeldet.
Nun aber gibt es ein Sammelverfahren zweier Anwälte, dem sich bereits 2000 Menschen angeschlossen haben. Laut der Tageszeitung Der Standard sehen die Anwälte Chancen auf 1000 Euro Schadenersatz pro Person. Zum einen werfen sie der GIS Nachlässigkeit vor. Es geht auch um die Frage, wie und warum die Daten auf einem Testsystem offen zugänglich abgelegt wurden. Zum anderen habe die GIS laut Rundfunkgebührengesetz keine Ermächtigung, Daten an Dritte, also das Subunternehmen weiterzugeben. Dort heißt es nur, dass Inkasso-Dienstleistungen ausgelagert werden dürfen. Die GIS hatte das Unternehmen konkret damit beauftragt, die Meldedaten mit einer Datenbank zu Gebäuden in Österreich zusammenzulegen, um sicherzustellen, dass ihnen kein Bürger entgeht.
Ein weiterer Vorwurf der Anwälte lautet, dass die Presseaussendung nicht ausgereicht hätte, um alle Bürger zu informieren – man hätte dies im Rahmen der Vorschreibung machen müssen, die regulär per Post versendet wird.
Niederländer bot Daten auf krimineller Plattform an
Als die Daten auftauchten, fiel der Verdacht als erstes auf das Innenministerium und das dort angesiedelte Zentrale Melderegister, weil die Daten von allen gemeldeten Bürgern in der Liste stehen. Dieses dementierte sofort. Allerdings soll die GIS auf eben jenes Register zugreifen dürfen. Schnell war denn wohl anhand der Daten ersichtlich, dass diese von der Gebühren-Erhebungsstelle stammten. Das Datenleck wurde entdeckt, weil ein Niederländer die Daten im Darknet anbot, das österreichische Bundeskriminalamt kaufte sie für ihre Ermittlungszwecke für eine mittlere vierstelligen Summe – die in einer Kryptowährung überwiesen worden sein soll. Erst vor Kurzem ist der Mann in Amsterdam festgenommen worden. Es sind nicht die einzigen Daten gewesen, die er auf einer kriminellen Plattform angeboten hat – auch sollen Patientendaten aus Krankenakten dabei gewesen sein. Die niederländische Polizei hat nach eigenen Angaben erhebliche Mengen Hard- und Software sichergestellt.
Lesen Sie auch
Datenschutz braucht auch Kapazitäten - ein Kommentar zur DSGVO
DSGVO-konforme Apps entwickeln: So geht es für das iPhone
Freitag: Meta-KI mit neuem Sprachmodell, Netflix mit Wachstum und weniger Infos
Auslegungssache 107: Datenschutz im Krankenhaus
Donnerstag: EU für Privatsphäre ohne Abo, Bundesregierung mit Whatsapp-Kanal
(emw)