Privatdaten von ÖsterreicherInnen im Netz: Ministerium droht DSGVO-Strafe

Das Ministerium von Wirtschaftsministerin Margarete Schramböck veröffentlichte jahrelang persönliche Daten. [ANGELIKA WARMUTH/EPA]

Den „größten Datenschutzskandal der zweiten Republik“ nennen es die Partei NEOS und die NGO epicenter.works. Auf der Website des Wirtschaftsministeriums waren die Daten österreichischer BürgerInnen öffentlich abrufbar, und zwar seit 2009. Die Partei prüft rechtliche Schritte – und könnte Erfolg haben, sagt ein DSGVO-Experte im Gespräch mit EURACTIV Deutschland.

Man konnte einfach auf die Website gehen, einen Namen in das Suchfeld eingeben und fand Wohnadresse und Geburtsdatum, aber auch das Datum von Steuererklärungen – persönliche, wenn auch keine sensiblen Daten nach DSGVO-Definition.

Wie viele Menschen betroffen sind, ist noch unklar. NEOS und epicenter.works, die bei der Recherche kooperierten, gehen von etwa einer Million Personen aus. Darunter befanden sich unter anderem Bundespräsident Van der Bellen, acht Regierungsmitglieder und etwa hundert Parlamentarier.

Noch ist unklar, wer genau eingetragen wurden, großteils sind es ehemalige Selbstständige. Die Veröffentlichung ist gesetzlich geregelt, laut Verordnung aus dem Jahre 2009. Darauf stützt sich auch das Wirtschaftsministerium, dennoch wurde das Register am Donnerstagabend vom Netz genommen.

Bislang lief das Register unter dem Radar, doch als sich UnternehmerInnen für staatliche Corona-Unterstützungen anmelden wollten und einige bürokratische Daten nicht fanden, empfahl die Wirtschaftskammer, dort nachzusehen. So fiel plötzlich vielen ÖstereicherInnen auf, dass ihre Daten öffentlich abrufbar waren.

„Echtes Versagen der Ministerien“

Die NEOS wollen nun die politische Verantwortung klären. „Die Politik schweigt es zu Tode“, so Douglas Hoyos, NEOS-Digitalsprecher, im Gespräch mit EURACTIV Deutschland. Die geplante Einrichtung einer Regierungs-Task Force sei unzureichend, er sehe „ein echtes Versagen in den Ministerien, wenn sowas einfach passiert und niemand reagiert darauf“. Die NEOS prüfen derzeit rechtliche Schritte auf Basis der DSGVO.

Das könnte Erfolg haben, sagt Christof Tschohl, wissenschaftlicher Direktor des  Research Institute – Digital Human Rights Center, im Gespräch mit EURACTIV Deutschland. Er sieht gleich mehrere mögliche rechtliche Angriffsrouten.

Die Handhabung des Ergänzungsregisters „mag keine Verletzung innerstaatlichen Rechts sein“, weil die 2009-Verordnung die Veröffentlichung tatsächlich vorzuschreiben scheint, wohl aber der DSGVO. Denn diese Verordnung ist für Tschohl eine „unionsrechtlich nicht entsprechend angepasste Rechtsgrundlage“.

Deutsche EVP-Abgeordnete: Sonderbehandlung für App-Nutzer?

Konservative EU-Abgeordnete aus Deutschland sind der Ansicht, man könne gewisse Einschränkungen für Personen lockern, die Tracing-Apps auf ihren Handys installieren.

Experte sieht mehrfachen DSGVO-Bruch

2018 wurde die DSGVO in Österreich nationales Recht. Doch das Ergänzungsregister wurde  nicht angepasst, sondern einfach übernommen, weiter mit Daten gefüttert und war online abrufbar. Dabei war es nicht DSGVO-konform, vermutet Tschohl. Personen wurden nicht informiert, dass ihre Daten öffentlich abrufbar waren. Laut DSGVO ist das aber erforderlich.

Auch wurde in der 2009-Verordnung nicht ausreichend begründet, wieso das Register eigentlich öffentlich sein muss. Auch das hätte spätestens 2018 passieren sollen, denn die DSGVO kennt den Grundsatz der Datenminimierung: Es sind „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“.

Weiters wurde keine Datenschutzfolgeabschätzung angestellt, was aber aufgrund des großen Betroffenenkreises gegeben war. Denn selbst wenn keine sensiblen Daten nach DSGVO-Definition publik wurden, kann schon die Veröffentlichung der Wohnadresse schwerwiegende Konsequenzen haben, beispielsweise für exponierter Personen oder Gewaltopfer.

Ungarn setzt EU-Datenschutzregelungen teilweise aus

Die ungarische Regierung hat angekündigt, man wolle bestimmte in den EU Datenschutzgesetzen festgelegte Maßnahmen aussetzen, bis der Ausnahmezustand aufgehoben ist.

Datenschutzbehörde kann Pionierarbeit leisten

Die verbreitete Ansicht, dass österreichische Behörden von der DSGVO ausgenommen sein, stimmt so nicht, sagt Tschohl. Grundlage für das Gerücht ist, dass Österreich über die DSGVO-Öffnungsklausel seine Behörden vor Verwaltungsstrafen. „Das ist aber auch schon alles“, so Tschohl, „die DSGVO gilt uneingeschränkt“.

Öffentliche Akteure können weiterhin zivil- oder strafrechtlich belangt werden, beispielsweise wenn Amtsmissbrauch festgestellt wird. Allerdings braucht es dafür ein „Erfolgsdelikt“, es muss also nachweislich Schaden entstanden sein. Doch das könnte laut Tschohl in diesem Fall leicht gegeben sein.

Als nächsten Schritt sei es „leicht vorstellbar, dass die Datenschutzbehörde ein Prüfverfahren eröffnet“, das die Rechtswidrigkeit der Veröffentlichung fest – das sei zwar nicht bindend, habe aber „relativ starke Tatbestandswirkung“ und vereinfacht die Klage vorm Zivilgericht, weil dort oft Datenschutz-Expertise fehlt.

Datenschutz vs. Allgemeinwohl?

Die EU-Kommission will die Mitgliedsstaaten mit dem Aufbau von Strukturen beauftragen, die die Nutzung von Daten für das „Gemeinwohl“ erleichtern. Die aktuelle Coronavirus-Krise könnte demnach den allgemeinen Nutzen groß angelegter Datenanalyse demonstrieren.

Datensammlung im Schatten

Vor allzu rascher Verurteilung des Wirtschaftsministeriums warnt – überraschend – ein Datenschutz-Aktivist: Georg Kainz, Präsident der Datenschutz-Organisation quintessenz, im Gespräch mit EURACTIV Deutschland. Für ihn mache es durchaus Sinn, dass solche Register öffentlich einsehbar sind.

Das Problem liegt für Kainz nicht auf der Veröffentlichung, sondern auf der Sammlung der Daten. „Österreich hat eine irrsinnige Sammelwut“, so Kainz. Solange die Register öffentlich sind, wissen BürgerInnen, welche Daten gesammelt werden.

Die jetzige Debatte könnte den Staat veranlassen, seine Datensammlung zu verstecken – so wie es mit dem Ergänzungsregister passiert ist: Es ist offline, aber natürlich nicht gelöscht, so Kainz. Es habe keine Sinn, „schwarzer Peter zu spielen“. Stattdessen wünscht er sich eine differenzierte Debatte: Man solle sich ansehen, ob es nicht vielleicht einen guten Grund gab, wieso 2009 die Veröffentlichung des Registers festgelegt wurde.

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN