"Daten bleiben im Netz": Welche Folgen hat das GIS-Daten-Leck?

Ein 25-Jähriger Niederländer hat im Mai 2020 neun Millionen österreichische Meldedaten heruntergeladen und im Internet zum Verkauf angeboten. Die Datensätze umfassen Adressen, Namen und Geburtsdaten und stammen aus dem österreichischen Melderegister, das die Gebühren Info Service GmbH (GIS), verwenden darf, um die Rundfunkgebühren für den ORF einzutreiben. 

Per se sind Meldedaten sowieso öffentlich zugänglich - Gefahren bestehen nun aber dennoch. So kursierten etwa die Wohnsitze von Prominenten oder Politikern im Netz, für Kriminelle könnte der Datensatz auch für etwaige Betrugsmaschen interessant sein. 

"Ganz dicker Fisch"

Für den verdächtigen gibt es Konsequenzen: Der "ganz dicke Fisch" wurde im November in den Niederlanden festgenommen. Doch "Daten, die im Netz sind, bleiben im Netz", so ein Sprecher des Bundeskriminalamts (BK) gegenüber PULS 24. Die österreichischen Ermittler kamen dem 25-Jährigen nach einem Tipp aus Neuseeland auf die Schliche, kauften die Daten um einen mittleren viertstelligen Betrag in Bitcoin, identifizierten so den Verdächtigen. Die niederländische Polizei nahm ihn fest, wie am Mittwoch bekannt wurde.

Mehr dazu:

Die Ermittlungen für das Kriminalamt in Österreich sind damit abgeschlossen, es könne aber nicht ausgeschlossen werden, dass die Daten vorher schon an jemand anderen verkauft wurden oder dass sie noch immer im Netz kursieren. In Verbindung mit weiteren Daten könnten sie für Kriminelle sogar noch wertvoller werden.

Wie landeten die Daten bei dem Niederländer? Der GIS ist es rechtlich erlaubt, die Meldedaten zu verwenden, um potentielle ORF-Gebührenzahler aufzuspüren. Für eine Neustrukturierung der Datenbank wurde eine externe Wiener IT-Firma beauftragt, die die Daten bekam. Bei einem Test der Datenbank wurden echte Daten verwendet, die unverschlüsselt online gestellt wurden. Eine Woche sollen sie dort laut BK abrufbar gewesen sein.

"Sub-Unternehmen ist Vorwurf zu machen"

Wenn die Neustrukturierung der Datenbank vertraglich geregelt wurde und es sich um eine renommierte IT-Firma handelte, dann sei am Vorgehen der GIS rechtlich nichts auszusetzen, sagt Rechtsanwalt Sascha Jung, Leiter des Datenschutzteams bei Deloitte Legal, im Gespräch mit PULS 24. "Was nicht sein darf, ist die Datenpanne beim Sub-Unternehmen". Wenn das stimmt, wie vom Kriminalamt dargestellt, dann sei "dem Sub-Unternehmen der Vorwurf zu machen".

Aus technischer Sicht sei das Verhalten der Firma "fahrlässig", sagt auch Dominik Polakovics, IT-Administrator bei der Grundsrechtsorganisation Epicenter Works. Dort sollte mehr auf "Sicherheitsstandards" geachtet werden. 

Laut Sascha Jung könnten zwei Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) verletzt worden sein: Aus der Datenminimierung würde sich ergeben, dass bei Tests keine echten Daten verwendet werden dürfen und Datensicherheitsmaßnahmen könnten verletzt worden sein, wenn es keine Passwörter oder Verschlüsselung gab. 

Schadenersatz für Betroffene? 

Betroffene Personen können in solchen Fällen grundsätzlich Schadenersatz einklagen, so Jung. Dabei müsse man aber "die Kirche im Dorf lassen". Denn in der Regel ist dafür ein tatsächlicher materieller Schaden nötig. Mit den Daten muss also tatsächlich was passiert sein. Bei einem ideellen Schaden oder dem bloßen Unwohlsein, weil die Daten im Netz sind, sei die Rechtsprechung eher restriktiv, sagt der Rechtsanwalt. Vor allem, weil es eben um Meldedaten geht, die prinzipiell frei zugänglich sind. Es sei denn, wenn jemand die Meldeauskunft sperren ließ, weil man etwa Opfer von Stalking geworden ist. "Dann ist eine Schwelle überschritten", so Jung. Ob man betroffen ist, könne man via Auskunftsbegehren erfahren.

Laut Dominik Polakovics von Epicenter Works kommen solche Datenpannen "leider oft vor", weil "Sicherheitsstandard" nicht eingehalten werden. Normalerweise sollten solche Tests nicht mit echten Daten durchgeführt werden oder es sollte gesichert sein, dass man nur intern oder mit einem Passwort zugreifen könne. Wie auch der Niederländer, klappern Kriminelle das Netz nach Lecks ab. Mit gestohlenen Daten werden sonst oft die Unternehmen selbst erpresst. Erwischt werden konnte der Verdächtige, laut Einschätzung von Polakovics, weil er versucht hat, die Bitcoins zu echtem Geld zu machen. 

Zwei Verfahren gegen GIS eingestellt

Bei der Datenschutzbehörde läuft in dem Fall derzeit aber kein Verfahren mehr, wie man auf PULS 24 Anfrage mitteilte. Zwei wurden seit 2020 geführt - alle beide wurden eingestellt. Das eine, weil die GIS den Vorfall rechtszeitig bei der Datenschutzbehörde gemeldet hatte und Betroffene via Pressemitteilung informiert wurden - das reichte der Behörde.

Das andere Verfahren, in dem es um die Frage ging, ob die GIS ausreichend Maßnahmen zur Risiko-Minimierung getroffen hat, wurde eingestellt, weil die Datenschutzbehörde solche Verfahren gar nicht von Amts wegen führen darf. Herangezogene IT-Unternehmen würden laut Matthias Schmidl, dem stellvertretenden Leiter der Datenschutzbehörde, der GIS als Verantwortliche zugerechnet.

Die GIS selbst betont auf PULS 24 Anfrage, dass man mit den Ermittlungsbehörden kooperiert habe, der Vorfall aber "ausdrücklich nicht in der Sphäre der GIS" liege. Man habe "alle technisch und rechtlich gebotenen Schritte unternommen" und werde das "auch weiterhin tun". Die Datensicherheit in der GIS sei "auf höchstem Niveau gesichert". Gegen den nun festgenommenen Niederländer würde man "allfällige Ansprüche" prüfen. Rechtliche Konsequenzen für die GIS hat der Vorfall vorerst also nicht.