Rechtliche Nachwehen um gestohlene Meldedaten

Das Bundeskriminalamt (BK) in Wien hatte in der Vorwoche bekanntgegeben, dass ein niederländischer Hacker unter dem Verdacht inhaftiert worden war, 2020 knapp neun Millionen österreichische Meldedaten gestohlen und im Internet zum Verkauf angeboten zu haben. Möglich wurde der Diebstahl offensichtlich durch eine Panne bei der Wiener IT-Firma, die von der GIS mit der Neustrukturierung ihrer Datenbank beauftragt wurde. Ein Mitarbeiter des Unternehmens hatte für eine Teststellung die echten Meldedaten der GIS verwendet, die damit ohne Zugangssicherung im Internet verfügbar waren.

Den beiden Anwälten zufolge sei unklar, ob der Hacker die Daten nicht schon ein weiteres Mal verkauft hatte, bevor Ermittler des BK sie verdeckt erwarben. So waren die Kriminalisten nämlich auf die Spur des Täters gelangt, was letztlich zu seiner Festnahme führte. "Es könnten somit alle österreichischen Bürger und Unternehmen vom Datenvorfall betroffen sein", schrieben die Advokaten.

Kritik gab es an der Informationspolitik: "Nach den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) sind die betroffenen Personen bei einer Datenschutzverletzung unverzüglich zu benachrichtigen. Weshalb die österreichische Bevölkerung erst mit der umfassenden medialen Berichterstattung vom 25.01.2023 von den Ausmaßen des Datenlecks informiert wurde, ist aktuell noch unklar. Das verwundert umso mehr, weil laut den Ermittlern die Relevanz von Meldedaten in den falschen Händen nicht zu unterschätzen sei", betonten die Rechtsanwälte. Die GIS hatte im Mai 2020 zu dem Fall Stellung genommen. Damals war aber das Ausmaß des Datendiebstahls kaum bekannt geworden.

Die GIS wies diesbezüglich Vorwürfe in einer der APA vorliegenden Stellungnahme zurück: "Die GIS hat nach Bekanntwerden des Datendiebstahls im Jahr 2020 in enger Zusammenarbeit mit den ermittelnden Behörden unverzüglich auch eine Meldung an die Datenschutzbehörde erstattet und sofort via APA die Öffentlichkeit informiert", hieß es darin. "Die Korrektheit dieses Vorgehens wurde von der Datenschutzbehörde akzeptiert." Die Information einzelner Personen sei der GIS nicht möglich gewesen, "da unklar war, welche und wie viele Personen im Konkreten von der Tat betroffen waren". GIS-Geschäftsführer Alexander Hirschbeck betonte: "Die GIS legt größten Wert auf höchste Sicherheitsstandards beim Datenschutz und lässt diese auch regelmäßig durch Iso-Zertifizierungen bestätigen. Details der laufenden Ermittlungen gegen den Hacker sind der GIS nicht bekannt. Die konkret betroffenen Daten, die beim Täter gefunden wurden, liegen der GIS noch nicht vor."

Haupt und Scheiber warnten, dass die Meldedaten für Betrügereien bis hin zum Identitätsdiebstahl genutzt werden könnten. "Betroffene können sich dem Strafverfahren gegen den Hacker anschließen und allfälligen Schadenersatz verlangen. Außerdem können sich Betroffene bei der GIS und dem noch unbekannten IT-Unternehmen unter Umständen schadlos halten", erläuterten Scheiber und Haupt den Sinn des Sammelverfahrens. Schäden durch allfällige Betrügereien mit Hilfe der Meldedaten müssten Betroffene auf die eigene Kappe nehmen, "es sei denn, dass Sie Ihre Ansprüche gegen die Verantwortlichen des Datenlecks bereits erfolgreich durchgesetzt haben", betonten Scheiber und Haupt.

Laut "Kurier" (Mittwochausgabe) hat Haupt im Namen eines Mandanten, Inhaber einer Tischlerei, darüber hinaus eine Strafanzeige gegen unbekannt eingebracht. Dabei geht es um den Verdacht des widerrechtlichen Zugriffs auf ein Computersystem. Gemeint sind mit der Anzeige allerdings die Verantwortlichen des von der GIS beauftragten IT-Unternehmens. "Mein Mandant wünscht sich Aufklärung, fordert Schadenersatz und schließt sich dem Verfahren als Geschädigter an", wurde Haupt zitiert.