Seit der Nacht sei das betreffende Datenregister im Wirtschaftsministerium nicht mehr zugänglich, sagte NEOS-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz. Thomas Lohninger von der Datenschutz-NGO epicenter.works berichtete, noch am späten Donnerstagabend vom Kabinett von Wirtschaftsministerin Margarete Schramböck (ÖVP) kontaktiert worden zu sein.
Man habe das Angebot erhalten, an einer Taskforce teilzunehmen, um die Sache zu reparieren. Lohninger wertete das als Hinweis, dass im Ressort nun zumindest ein Problembewusstsein für die Sache bestehe. Aus dem Wirtschaftsministerium hieß es am Freitag, 2017 sei dem „Absaugen“ von Daten durch technische Blockaden vorgebeugt worden. Bereits am Vortag hatte sich das Ministerium offen gezeigt, die rechtlichen Rahmenbedingungen für das Register zu verbessern.
Jahrelang erschien es offenbar in den Behörden niemandem als Problem, dass die Datenbank völlig offen zugänglich war. Es konnten nicht nur einzelne Personen – und deren Privatadressen – nachgeschlagen werden. Auch Datenanalyse-Unternehmen konnten theoretisch aufgrund der fehlenden Sicherheitshürden den Inhalt der gesamten Datenbank als Ganzes „absaugen“. Ob das tatsächlich geschah, ist derzeit unklar. Lohninger betonte, man müsse nun die bei der Statistik Austria abgelegten Logfiles analysieren, um herauszubekommen, wie viele Daten tatsächlich abgegriffen worden seien.
Finanzministerium: Anträge an Härtefallfonds möglich
Das Finanzministerium widersprach seinerseits der Vermutung von Hoyos, dass wegen der nun offline genommenen Datenbank Betroffene keine Anträge beim Coronavirus-Härtefallfonds mehr stellen könnten. Laut Auskunft des Finanzministeriums gegenüber ORF.at war die GLN-Nummer nie zwingend vorgeschrieben, weder in der ersten noch in der aktuellen zweiten Phase der Härtefallfonds-Beantragung. Verpflichtend seien aktuell nur Sozialversicherungs- und Steuernummer beim Antragsformular anzugeben, andere Felder – etwa die Unternehmensregisternummer – seien dagegen nicht verpflichtend, wurde betont. Die APA hatte zuvor unter Berufung auf das Ministerium berichtet, dass in der ersten Phase für Nicht-Wirtschaftskammer-Mitglieder eine Nummer aus dem Register benötigt worden sei.
Hoyos: Hätte spätestens mit DSGVO auffallen müssen
NEOS zeigte sich über die Causa jedenfalls höchst alarmiert, Hoyos sprach in der Pressekonferenz vom „größten Datenschutzskandal der Zweiten Republik“. Seit 2009, damals noch in Verantwortung des Bundeskanzleramts und nicht des Wirtschaftsressorts, seien die Daten online öffentlich zugänglich. Jetzt aber dem damaligen Bundeskanzler Werner Faymann (SPÖ) die Schuld zuzuschieben sei „letztklassig“, so Hoyos in Richtung ÖVP.
Immerhin habe es dazwischen eine Reihe anderer Amtsträger gegeben, denen das auffallen hätte müssen. Insbesondere aber mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 hätten in den zuständigen Kabinetten die Alarmglocken schrillen müssen.
Betroffene fanden bei Behörden kein Gehör
Nicht nur Daten prominenter Persönlichkeiten seien öffentlich zugänglich gewesen, sondern etwa auch von Psychotherapeuten, für die es durchaus wichtig sei, dass nicht jedermann deren aktuelle Privatadresse oder Geburtsdatum ohne jede Hürde und auch massenhaft und automatisiert abfragen könne, meinte Hoyos. Er sah die Verantwortung bei Schramböck und Finanzminister Gernot Blümel (ÖVP). Hoyos betonte mehrmals, es sei völlig unverständlich, warum für das Register die Privatadresse verwendet werde.
Hoyos warf Blümel und Schramböck wochenlange Untätigkeit vor. Mehrere Betroffene hätten sich zuvor an die Behörden gewandt. Er selbst sei erst durch das Nichthandeln der Behörden auf den Fall aufmerksam geworden. Denn einzelne Betroffene hätten sich zuerst in den Ministerien beschwert, seien dort aber informiert worden, das sei datenschutzrechtlich in Ordnung. Erst dann hätten sich diese Personen an NEOS gewandt.
Hoyos kündigte eine Reihe parlamentarischer Anfragen an. Zahlreiche Fragen seien noch offen, etwa welche Daten neben Name und Adresse noch abgespeichert seien, ob Daten zwischenzeitlich gelöscht wurden, was die Wirtschaftskammer damit zu tun habe und was das Wirtschaftsministerium nun zu tun gedenke.
Lohninger: „Grundlegender Fehler im Verständnis“
Lohninger sprach von einem „grundlegenden Fehler im Datenschutzverständnis der öffentlichen Einrichtungen“. Wieso dieses Register überhaupt öffentlich geführt wurde, müsse geklärt werden. Man sei heilfroh, dass das Register jetzt vom Netz sei. Rechtliche Schritte können die Betroffenen aus Lohningers Sicht bedauerlicherweise nicht treffen, die Amtshaftung greife hier nicht.
Jahrelang nicht aufgefallen
Bei der Datenbank handelt es sich um das Ergänzungsregister für sonstige Betroffene (ERsB). Darin werden etwa Einpersonenunternehmen (EPUs) geführt, die weder unter dem Vereins- noch unter dem Firmenregister erfasst werden. Es wurde 2009 – unter SPÖ-Kanzler Faymann – novelliert und war bis Ende 2018 in der Datenschutzbehörde im Bundeskanzleramt angesiedelt. Damals wechselte die Stammzahlenregisterbehörde ins Digital- und Wirtschaftsministerium.
Der Datenschutzexperte Lohninger verwies nochmals auf das große Gefahrenpotenzial: Mit einer derart ungeschützten Datenbank bestehe die Gefahr von Identitätsdiebstahl, Datenhandel bis hin zur Gefährdung der physischen Sicherheit, wenn die Privatadresse – etwa von Gerichtsgutachtern und Prominenten – ausfindig gemacht werden könne. Man müsse aber davon ausgehen, dass sich die Daten längst in der Hand von Dritten befänden, so Lohninger.
Schlagabtausch ÖVP – NEOS
ÖVP-Klubchef Wöginger warf NEOS vor, „in künstlicher Aufregung einen Skandal zu basteln“. Er verwies darauf, dass die Verordnung 2009 erlassen wurde und vorsieht, das Register öffentlich zu führen. NEOS replizierte, die Nerven der ÖVP „liegen so blank wie Millionen von Daten“.
Der grüne netzpolitische Sprecher Süleyman Zorba begrüßte sowohl das Offlinenehmen der Datenbank als auch die Initiative von NEOS und epicenter.works. Für Zorba ist die öffentliche Zugänglichkeit der Datenbank „jedenfalls problematisch“. Die Verordnung müsse nun überarbeitet werden.
Kritik von SPÖ und FPÖ
Empört reagierten SPÖ und FPÖ auf die von NEOS bekanntgemachte Datenaffäre. „Finanzminister Blümel kann sich nicht hinstellen und sagen, ‚mein Name ist Hase, ich weiß von nichts‘“, sprach SPÖ-Wirtschaftssprecher Christoph Matznetter von „Ahnungslosigkeit“ des Ministers. „Verordnung hin, Verordnung her – dieser Skandal muss raschest aufgeklärt werden. Man kann mit sensiblen Daten so einfach nicht umgehen.“
Interessant sei, dass die ÖVP die Alleinzuständige sei. Das zeige „einmal mehr, wie egal der ÖVP die Rechte der Bürger sind“, reagierte FPÖ-Generalsekretär Michael Schnedlitz.