Sie wollten schon immer wissen, wo der Bundespräsident haust? Wo andere Politiker wohnen? Das war bis Donnerstagabend tatsächlich einfach möglich. Wie berichtet, gelangte ein Onlineregister in die breite mediale Berichterstattung, in dem private Daten von bis zu einer Million Bürger einsehbar waren. Unter anderem waren Privatanschriften, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Mittlerweile wurde die Datensammlung offline genommen. Die Neos orten den größten Datenschutzskandal der Republik, die Regierung pocht hingegen auf Gesetzeskonformität.

Tatsächlich ist das sogenannte "Ergänzungsregister" nach Informationen des Wirtschaftsministeriums seit 2004 online – und war seither "immer öffentlich einsehbar". 2009 gab es eine Änderung. Diese gehe auf eine von Altkanzler Werner Faymann (SPÖ) erlassene Verordnung zurück, heißt es bei der ÖVP. Bis vor kurzem will man im Ministerium unter Margarete Schramböck (ÖVP) jedenfalls nichts von der Existenz der Datenbank gewusst haben – obwohl sie auf der Seite des Ministeriums zu finden war. Die Daten würden von der Finanzverwaltung eingespeist werden, heißt es weiter.

Ministerium reagierte nicht

Wie DER STANDARD in Erfahrung bringen konnte, wusste man im Ressort jedoch seit mehr als drei Wochen von dem öffentlichen Zugang zu den Informationen, ohne dass das Register vom Netz genommen worden wäre. Zudem liegt eine Anfrage an die Datenschutzbehörde vom 14. April vor. Die Behörde antwortete darauf sinngemäß, dass das Register laut Verordnung öffentlich zu führen sei. Und: "Das ERsB (Ergänzungsregister sonstiger Personen, Anm.) dient dem Nachweis der eindeutigen Identität Betroffener und macht bereits bestehende Vollmachtsverhältnisse elektronisch ersichtlich."

Vermutlich dürfte man in der Regierung bereits wesentlich früher von der Datenbank gewusst haben, wie Neos-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz betonte. Demnach haben sich in dem Register Gelistete bereits vor sechs Wochen bei einer Zweigstelle der Wirtschaftskammer gemeldet und auf das Problem aufmerksam gemacht. Daraufhin kontaktierten auch die Neos die Datenschutzbehörde und auch die zuständigen Ministerien – "seitdem ist nichts passiert", so Hoyos.

Viele offene Fragen

Welche Daten genau in dem System – und vor allem im Hintergrund – gespeichert sind, sei nicht klar, betont Datenschützer Thomas Lohninger von der Grundrechte-NGO Epicenter Works. In vielen Fällen sei der öffentliche Zugriff auf Privatadressen aber äußert bedenklich: Psychotherapeuten etwa, die im Strafvollzug tätig sind, oder Menschen, die mit Stalkern zu kämpfen haben, würden so einer physischen Gefahr ausgesetzt werden. "Für uns war es unverständlich, wie diese Daten jemals an die Öffentlichkeit kommen konnten."

Zudem bestehe das Problem des Datenhandels und Identitätsdiebstahls, sagt Lohninger. Laut dem Experten kann man mit Name, Geburtsdatum und Privatadresse "relativ viel anfangen".

Offline

Seit Donnerstagnacht ist die Homepage jedenfalls offline, aus "Verantwortungsbewusstsein", wie es aus dem Kabinett Schramböck heißt. Wieso das Register dann nicht gleich nach Bekanntwerden für die Öffentlichkeit gesperrt wurde? Vor Donnerstagabend habe "de facto niemand" das Register gekannt, heißt es aus dem Ministerium. Es gebe eine rechtliche Grundlage dafür und damit "keinen Grund, es offline zu nehmen".

Am Donnerstagabend habe man sich dann doch dafür entschieden, das Register offline zu nehmen, weil sich die Zugriffe auf einmal gehäuft hätten, heißt es im Wirtschaftsministerium. Technische Probleme seien ein Grund dafür gewesen, dass die Seite zeitweise nicht aufrufbar war.

Ans Licht der Öffentlichkeit geriet das Register durch das Prozedere zum Härtefallfonds. Für die Einreichung mussten Selbstständige eine Nummer angeben, die über die Datenbank bis zuletzt einsehbar war. Erst dadurch hätten viele Betroffene erfahren, dass sie in der öffentlichen Datenbank geführt werden, sagt Hoyos.

Die Wirtschaftskammer (WKO), über die die Abwicklung des Fonds geschieht, betonte auf Anfrage jedoch, dass es keine "technische Schnittstelle" zwischen der Härtefall-Applikation und dem Register gebe, das Register liege nicht im Wirkungsbereich der Kammer. Mittlerweile ist die Nummer für den Antrag jedenfalls nicht mehr notwendig, heißt es bei der Kammer.

Statistik Austria mischt mit

Dass es keine Verbindung zur WKO gibt, sieht man bei den Neos anders. Aus den Logdaten gehe hervor, dass die Wirtschaftskammer Daten in das Register einfügt, es sei allerdings nicht ersichtlich, ob die WKO auch auf die Datenbank zugreife. Eine Einspeisung in das System dementierte die Wirtschaftskammer auf Nachfrage. Die Kammer würde allerdings Daten an die Statistik Austria liefern – nicht aber in das Register füllen.

Wer die Datenbank in der Vergangenheit nutzte, bleibt vorerst ungewiss. Diese wird seit 2010 von der Statistik Austria gehostet, das sei gesetzlich so vorgesehen, heißt es aus dem Amt. Laut Statistik Austria gab es im Schnitt "200 bis 300 Abfragen pro Tag", durch den Härtefonds sei es punktuell zu Spitzen von bis zu 70.000 Abfragen gekommen. Informationen dazu, aus welchen Ländern die Zugriffe stammen, lägen noch nicht vor.

Während die Neos sich "sehr glücklich" zeigten, dass die Datenbank mittlerweile nicht mehr zugänglich ist, kontert die ÖVP mit scharfer Kritik. Klubobmann August Wöginger sprach in einer Aussendung von einem "peinlichen Irrtum" der Pinken. Diese würden versuchen, "in künstlicher Aufregung einen Skandal zu basteln". Die 2009 erlassene Verordnung regle klar, dass das Register öffentlich zu führen sei, so Wöginger. "Es gibt aus unserer Sicht kein klares Gesetz, wieso das öffentlich zugänglich ist", kontern die Neos. "Jeder, der nur ein Grundverständnis von Datenschutz hat, sieht sofort, dass da etwas faul ist."

Ministerium will Register prüfen

Wie soll es nun weitergehen? Man werde sich die Sache natürlich genau anschauen, heißt es aus dem Wirtschaftsministerium. "Vermutlich werden wir das Register überarbeiten." Wer genau in der Datenbank geführt wird, konnte eine Sprecherin des Ministeriums dem STANDARD nicht beantworten.

Fest steht jedenfalls, dass nicht nur Unternehmer in dem Register landen. Dem STANDARD sind mehrere Fälle bekannt, in denen gelistete Personen in der Vergangenheit keiner selbstständigen Tätigkeit nachgegangen sind.

Sinnfrage stellt sich

Aus datenschutzrechtlicher Sicht sei das Register prinzipiell nicht zu beanstanden, sagt der Rechtsanwalt Markus Dörfler. "Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage." Die mangelhafte Transparenz – also dass Personen in dem Register eingetragen sind, aber darüber nicht in Kenntnis gesetzt werden – könnte nach Ansicht des Juristen tatsächlich einen Verstoß gegen die Datenschutzgrundverordnung darstellen. "Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben." Da das Register nicht mehr online verfügbar ist, sei in Verstoß derzeit nur schwer zu prüfen.

Die Wege der Daten sind unergründlich

Insgesamt gibt es laut Dörfler jedenfalls "zig Fälle", wieso man in diesem Register aufscheinen könnte. Als Beispiel nennt er die Registrierungspflicht für die Haltung von Schweinen, Schafen und Ziegen. Die Verordnung sieht vor, dass Tierhalter eine Stammzahl bekanntgeben müssen, diese sei die Vereinsregisternummer, die Firmenbuchnummer oder die Ordnungsnummer des Ergänzungsregisters für sonstige Betroffene.

Aus Kreisen des Ministeriums ist jedenfalls zu hören, dass eigentlich eine Novellierung des Registers angedacht war, diese sei schon relativ gut vorbereitet gewesen. Aufgrund der Corona-Pandemie wurden dahingehende Arbeiten aber offenbar nach hinten geschoben.

Kritik von SPÖ und FPÖ

In den Oppositionsparteien SPÖ und FPÖ sorgte die Causa jedenfalls für ordentlich Kritik. "Verordnung hin, Verordnung her – dieser Skandal muss raschest aufgeklärt werden. Man kann mit sensiblen Daten so einfach nicht umgehen", sagte FP-Generalsekretär Michael Schnedlitz. "Die angebliche Unwissenheit von Minister Blümel ist unfassbar und die gesamte Causa zeigt einmal mehr, wie egal der ÖVP die Rechte der Bürger sind." Auch bei der SPÖ zeigte man sich "entsetzt" über die vermeintliche Ahnungslosigkeit der Regierung. SPÖ-Datenschutzsprecher Christian Drobits forderte in einer Aussendung die Sitzung eines Datenschutzrates.

Auch die Grünen meldeten sich bereits via Aussendung zu Wort. Deren netzpolitischer Sprecher und Nationalratsabgeordneter Süleyman Zorba meinte, es müsse überprüft und geklärt werden, ob und welche Veröffentlichung von Daten für den genannten Zweck überhaupt notwendig sei. Die Verordnung müsse vom Ministerium unter Einbindung von Experten so überarbeitet werden, dass die Datenschutzinteressen der Bürger gewahrt sind, sagte der Grüne. (Nora Laufer, 8.5.2020)