Jahrelang hat die Regierung sensible Daten von über einer Million Bürgern im Internet frei zugänglich gemacht. Ohne deren Wissen und Einwilligung. Aufgefallen ist das erst rund um die Abwicklung des Härtefallfonds. Während Unternehmen dafür harte Sanktionen drohen, hat die öffentliche Hand nichts zu befürchten.
Wer in Österreich nach der Privatadresse von André Heller, Alexander van der Bellen oder seinem Psychotherapeuten sucht, hatte bis vor Kurzem leichtes Spiel: Just das Wirtschafts- und Digitalisierungsministerium lieferte Interessierten die persönlichen Daten von über einer Million Selbstständigen per Knopfdruck ins Haus. Ohne deren Wissen oder Zustimmung. „Das ist kein Datenleck, die Regierung hat den Hahn selbst aufgedreht“, sagt Neos-Abgeordneter Douglas Hoyos, der den Fall gemeinsam mit den Datenschützern von Epicenter.works öffentlich gemacht hat. Aufgefallen ist das seit 2004 bestehende Onlineregister erst, weil sich jetzt viele Selbstständige ihre Identifikationsnummer holen mussten, um Corona-Hilfen aus dem Härtefallfonds zu beantragen. Seit Donnerstagnacht ist die Datenbank offline, viele Fragen aber bleiben offen.
Unklar ist etwa, ob und in welchem Ausmaß Datenhändler in der Vergangenheit bereits der Einladung gefolgt sind und automatisiert hunderttausende persönliche Daten abgezogen haben. Seit einer Verordnung aus dem Jahr 2009 ist das sogenannte "Ergänzungsregister für sonstige Betroffene“ ohne jede Sicherungsmaßnahmen öffentlich einsehbar. Eine gesetzliche Notwendigkeit dafür gibt es nach Ansicht des Epicenter-Geschäftsführers Thomas Lohninger nicht. „Wir haben keinen Grund gefunden, warum diese Daten frei zugänglich sein müssten“. Zudem sei Betroffenen ihr Recht verwehrt worden, die Daten löschen zu lassen oder die Privatadresse durch die Unternehmensadresse zu ersetzen. Der Fall zeuge von einem „grundlegenden Fehler im Datenschutzverständnis der Behörden“.
Wer trägt die Verantwortung?
Die Wirtschaftskammer, die mit der Abwicklung des Härtefallfonds beauftragt ist, schiebt jegliche Verantwortung von sich. Es gebe keinerlei technische Schnittstelle zur hauseigenen Software für den Härtefallfonds. Das Register liege im Verantwortungsbereich des Wirtschaftsministeriums. Die Daten selbst kommen vom Finanzministerium. Beide Ministerien seien zumindest seit den letzten Tagen über die Missstände informiert gewesen, betont Hoyos. Passiert sei dennoch nichts. ÖVP-Klubchef August Wöginger ortet darin nicht mehr als einen Skandalisierungsversuch der Opposition. Auch das Wirtschaftsministerium betonte, dass es sich weder um ein Datenleck noch um Datenklau handle und verwies auf die geltende Verordnung aus der Ära Werner Faymanns. Einem „Absaugen“ von Daten sei bereits 2017 durch technische Blockaden vorgebeugt worden. Einer „rechtlichen Anpassung und Verbesserung“ stehe man aber dennoch „jederzeit offen gegenüber“.
Eines zeigt die Affäre jedenfalls deutlich: Beim Datenschutz wird in Österreich mit zweierlei Maß gemessen. Spätestens seit der europäischen Datenschutzgrundverordnung (DSGVO) hätte jedes Unternehmen, jeder Selbstständige und jeder Verein ein gewaltiges Problem, wenn er persönliche Daten seiner Kunden und Mitglieder ungeschützt und öffentlich ins Netz stellen würde. Vorgesehen sind Höchststrafen von 20 Millionen Euro oder vier Prozent des Jahresumsatzes.
Behörden haben freie Hand beim Umgang mit Bürgerdaten
Für die öffentliche Hand gilt das freilich nicht. Bei der Umsetzung der DSGVO in Österreich hat die türkis-blaue Regierung 2018 öffentliche und privatrechtlich agierende Stellen mit gesetzlichem Auftrag von allen Geldbußen gänzlich ausgenommen. Behörden haben also weiter freie Hand im Umgang mit personenbezogenen Daten, ohne eine Bestrafung befürchten zu müssen. Dieser Missstand müsse behoben werden, forderte Lohninger. „Er setzt offensichtlich die falschen Anreize."
