Wirtschaftsministerium bestätigt Stopfen von Datenleck

Das Wirtschaftsministerium hat am Freitag in einer schriftlichen Stellungnahme bestätigt, dass die Website des sogenannten Ergänzungsregisters Donnerstagabend vom Netz genommen wurde. Die NEOS hatten zuvor Alarm geschlagen und vorm Absaugen der Daten von mehr als einer Million Bürger gewarnt. Laut Ministerium wäre das aber gar nicht möglich gewesen.

"Einem 'Absaugen' von Daten wurde bereits seit 2017 durch technische Blockaden vorgebeugt", wurde betont. Das Register sei dem Ministerium Ende 2018 übertragen worden, davor sei es bei der Datenschutzkommission, der späteren Datenschutzbehörde, angesiedelt gewesen. Die Übertragung sei damit ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 erfolgt, und diese habe keinen Änderungsbedarf ausgelöst. "Dies bestätigte auch die Datenschutzbehörde", so das Ministerium.

"Obwohl die öffentliche Einsicht in das Ergänzungsregister rechtlich gedeckt ist, nimmt das BMDW als Provider die öffentlichen Hinweise sehr ernst und kommt seiner Sorgfaltspflicht nach, um einen etwaigen Missbrauch der Daten infolge der medialen Diskussion zu verhindern. Daher wurde die Website Donnerstagabend vom Netz genommen", hieß es in der Stellungnahme weiter.

Einer rechtlichen Anpassung und Verbesserung stehe das Ministerium jederzeit offen gegenüber: "Gemeinsam mit dem Justizministerium wird das Wirtschaftsministerium eine Task Force auf Expertenebene einrichten, um die Register zu durchleuchten sowie Transparenz und Datenschutz zu vereinbaren."

Daten von mehr als einer Million Bürgern seien über die Ministeriumswebsite öffentlich einsehbar gewesen, darunter Namen, persönliche Adressen und Geburtsdaten, und zwar ohne jede Sicherung und für Datenhändler oder Identitätsdiebe massenweise absaugbar, so der NOES-Vorwurf. Namentlich genannt wurden etwa Bundespräsident Alexander Van der Bellen, Ex-FPÖ-Chef Heinz-Christian Strache, Schauspieler und sonstige Prominente.

Im Finanzministerium hieß es, dass die Datenbank zuletzt für Nicht-Wirtschaftskammer-Mitglieder in der Abwicklung des Corona-Härtefallfonds verwendet worden sei. Das Wirtschaftsministerium wiegelte noch am Donnerstagabend ab. Das betreffende "Ergänzungsregister für sonstige Betroffene" sei seit elf Jahren öffentlich einsehbar, und zwar auf Basis einer Verordnung aus dem Jahr 2009, welche vom damaligen Bundeskanzler Werner Faymann (SPÖ) erlassen wurde. Man stehe einer rechtlichen Anpassung jederzeit offen und betonte, dass es weder ein Datenleck noch Datenklau gebe. In der Nacht auf Freitag wurde das Register schließlich doch offline genommen, berichteten die NEOS.

Zwischen ÖVP und NEOS sorgte das Thema jedenfalls für Verstimmung. ÖVP-Klubchef August Wöginger rückte Freitagvormittag aus und hielt der Oppositionsfraktion künstliche Aufregung, Skandalisierungsversuche, Ahnungslosigkeit und einen peinlichen Irrtum vor, schließlich sei dies alles rechtens und einst unter einem SPÖ-Kanzler verordnet worden. Sauer war man auch im Finanzministerium: Die NEOS hätten Ressortchef Gernot Blümel (ÖVP) nicht vorinformiert und ihn damit in einer Pressekonferenz am Donnerstag schlecht aussehen lassen, so der Vorwurf. Der Finanzminister habe sich die Informationen selbst von den NEOS holen müssen.

Inhaltlich bekamen die Oppositionsfraktion Unterstützung von Thomas Lohninger von epicenter.works, der von einem "grundlegenden Fehler im Datenschutzverständnis der öffentlichen Einrichtungen" sprach. Man müsse nun die Logfiles analysieren, um herauszubekommen, wie viele Daten tatsächlich abgegriffen worden seien. Wieso dieses Register überhaupt öffentlich geführt wurde, müsse geklärt werden.

Zustimmung kam von den Grünen. Deren netzpolitischer Sprecher Süleyman Zorba meinte, es müsse überprüft und geklärt werden, ob und welche Veröffentlichung von Daten für den genannten Zweck überhaupt notwendig sei: "Die Verordnung muss vom Ministerium unter Einbindung von Expertinnen und Experten so überarbeitet werden, dass die Datenschutzinteressen der Bürgerinnen und Bürger gewahrt sind."

SPÖ und FPÖ übten Kritik. "Wenn die Abwicklung über finanzonline gelaufen wäre, so wie von der SPÖ gefordert, wäre dieser Skandal nicht passiert", betonte SPÖ-Wirtschaftssprecher Christoph Matznetter. Die Wirtschaftskammer sah hingegen alle Datenschutzvorgaben erfüllt, und das betreffende Register befinde sich nicht im Verantwortungsbereich der Kammer, so Generalsekretär Karlheinz Kopf. Anträge beim Härtefallfonds seien weiter möglich.