Rauch blitzte mit Anzeige gegen NGO ab - 15.000 Euro Rechtskosten

Das Gesundheitsministerium ist mit einer Hacking-Anzeige gegen die Datenschutz-NGO epicenter.works gescheitert. Die NGO hatte die Schließung einer Sicherheitslücke im Epidemiologischen Meldesystem (EMS) angestoßen.

Ministerium sah Pflicht zur Anzeige

Thomas Lohninger von der NGO forderte am Dienstag in einer Pressekonferenz gesetzliche Änderungen. Das Ministerium berief sich auf seine gesetzliche Verpflichtung zur Anzeige.

• Mehr zum Thema: "Rauch ein Fruchtsaft": ÖVP NÖ schießt gegen Gesundheitsminister

Millionen Daten öffentlich zugänglich

Der Hinweis auf die Lücke sei 2021 von der Tageszeitung "Der Standard" gekommen, und tatsächlich sei diese gravierend gewesen, so Lohninger. Millionen an sensiblen Gesundheitsdaten der österreichischen Bevölkerung seien offen zugänglich und auch eintragbar gewesen, und zwar nicht nur Covid-19 betreffend, sondern auch Krankheiten wie HIV oder Syphilis. Auch auf das Melderegister inklusive gesperrter Daten habe man dadurch zugreifen können.

Man sei nach dem Prinzip des "Responsible Disclosure" vorgegangen, habe also die Lücke verifiziert, die Verantwortlichen informiert und sei erst nach deren Schließung gemeinsam mit der Zeitung an die Öffentlichkeit gegangen.

NGO wegen "widerrechtlichem Zugriff" angezeigt

Dennoch sei man vom Gesundheitsministerium nach Paragraf 118a des Strafgesetzbuchs ("widerrechtlicher Zugriff auf ein Computersystem") angezeigt worden, so Lohninger.

Davon erfahren habe man erst ein Jahr später. Auf ein Schreiben von epicenter.works, doch nicht eine Menschenrechtsorganisation für ihre Arbeit zu verfolgen, habe Gesundheitsminister Johannes Rauch (Grüne) bis heute nicht reagiert. Es seien Kosten von mehr als 15.000 Euro entstanden, um sich gegen die Vorwürfe zu wehren. Erst im Februar 2024 sei das Verfahren schlussendlich eingestellt worden.

Aufdecker rechtlich belangt

"Da rennt wirklich was ganz gewaltig schief", meinte auch Rechtsanwältin Maria Windhager, die die NGO in dieser Causa vertritt. Es handle sich um ein Ermächtigungsdelikt, doch die Frage sei auch aus der Sicht der Staatsanwaltschaft, wer die Ermächtigung für die Verfolgung überhaupt erteilen könne und ob das nicht nur von der Lücke Betroffene sein können.

Auch darauf habe epicenter.works Rücksicht genommen und nur Daten von Personen abgefragt, die man gekannt habe und die die Ermächtigung dazu erteilt hatten. Zudem sei es klar im überwiegend öffentlichen Interesse, solche Sicherheitslücken zu schließen, so die Anwältin.

Lohninger warnte vor einer abschreckenden Wirkung auf Sicherheitsforschung und Zivilgesellschaft durch derartige Anzeigen. Dennoch: "Wir würden das wieder machen."

In Ländern wie Litauen oder den Niederlanden existierten bereits entsprechende Gesetze, die den moralisch richtigen Umgang mit Sicherheitslücken nach dem Prinzip der "Responsible Disclosure" förderten und sogar mit Geld belohnten, anstatt wie in Österreich strafrechtlich zu verfolgen forderte er gesetzliche Änderungen ein. 

Ministerium wollte NGO nicht behindern

Das Gesundheitsministerium rechtfertigte in einer schriftlichen Stellungnahme an die APA seine Vorgehensweise. "Wenn eine Behörde den Verdacht einer Straftat hat, ist sie gesetzlich zu einer Anzeige an die Staatsanwaltschaft oder an die Kriminalpolizei verpflichtet".

• Mehr zum Thema: WhatsApp-Überwachung: So groß ist die Gefahr für Normalbürger

Gleichzeitig wurde aber betont, es habe selbstverständlich kein Motiv gegeben, die Arbeit von epicenter.works zu behindern. Man habe auch selbst die Staatsanwaltschaft darauf hingewiesen, dass die Mehrzahl der von der Datenabfrage betroffenen Personen einen Bezug zum Verein oder zum "Standard" gehabt hätten und es daher möglich sei, dass auf die Daten mit Zustimmung der Betroffenen zugegriffen wurde.

Die Partei von Gesundheitsminister Johannes Rauch sprach sich am Dienstag für eine rasche Gesetzesänderung aus. An der Ausarbeitung eines Gesetzesentwurfes für die Straffreiheit bei "responsible disclosure" werde bereits gearbeitet, erklärte der Grüne Digitalisierungssprecher, Süleyman Zorba, in einer Aussendung.