Auf der Suche nach Gebührenvermeidern hat die GIS im Jahr 2020 ein IT-Unternehmen beauftragt, zwei Datenbanken zusammenzuführen. Ein Mitarbeiter verwendete für einen Testlauf die echten Daten anstatt wie sonst üblich generische Datensätze. Durch diese Schlamperei landeten neun Millionen Datensätze von Österreicherinnen und Österreichern unverschlüsselt im Netz. Sie umfassten praktisch alle Meldedaten in Österreich sowie Namen, Geburtsdaten und Meldeadressen.

Ein Hacker aus den Niederlanden wurde auf die Daten aufmerksam und wollte sie verkaufen – zu seinem Pech handelte es sich bei den Interessenten aber um Ermittler des Bundeskriminalamts. Der Mann wurde ausgeforscht und verhaftet, wie diese Woche bekannt wurde. Doch was bedeutet es für die Menschen, wenn die höchstpersönlichen Daten von fast allen Österreicherinnen und Österreichern im Netz landen? DER STANDARD beantwortet die wichtigsten Fragen.

Die Daten von neun Millionen Österreicherinnen und Österreichern landeten im Netz. Was heißt das für deren Sicherheit?

Laut dem Datenschutzexperten Daniel Lohninger vom Datenschutzverein Epicenter Works sind die Folgen gravierend: "Die private Adresse von so gut wie allen Menschen in Österreich muss mit diesem Hack als kompromittiert angesehen werden, und das erhöht das Risiko von Identitätsdiebstahl und anderen Gefahren für uns alle." Das Verhalten der GIS und ihrer Dienstleister sei grob fahrlässig, da man nicht mit generischen Daten, sondern mit den echten Daten der Menschen getestet habe – und diese Datenbank nicht abgesichert gewesen sei, so Lohninger.

Hat die GIS rechtskonform gehandelt?

Sämtliche Verfahren der Datenschutzbehörde in diesem Fall wurden eingestellt. Zum einen habe die GIS den Data-Breach Datenschutzgrundverordnung(DSGVO)-konform gemeldet, und andererseits habe man die Betroffenen durch eine Pressemitteilung informiert. Das sei nach Auffassung der Datenschutzbehörde aufgrund der Menge an Betroffenen ausreichend, hieß es gegenüber dem STANDARD. Lohninger wittert dennoch grobe Verstöße, eine Presseaussendung reiche seiner Ansicht nach nicht aus: "Die GIS und die Verantwortlichen haben nicht einmal die grundlegende Verpflichtung laut DSGVO eingehalten, indem man es bisher verabsäumt hat, die Betroffenen zu informieren."

Woher bekommt die GIS die Daten, und welche Daten sammelt sie?

Diese stammen von Meldebehörden, dem Firmen- und Telefonbuch sowie den Angaben, die Betroffene selbst bei der GIS-Anmeldung gemacht haben. Die GIS verarbeitet neben personenbezogenen Daten wie Name, Geburtsdatum und Wohnadresse auch Bankdaten und Scans von Ausweisen. Darüber hinaus weiß die GIS auch Bescheid, wer Gästezimmer oder Ferienwohnungen betreibt oder wer der Betreuer eines Kunden ist – und natürlich, wie viele Rundfunkempfangsgeräte betrieben werden.

Welche Rolle spielt die Polizei?

Die Arbeit der Ermittler wird von Datenschützern gelobt. Der Täter wurde durch Nachverfolgung der Zahlung per Bitcoin ausgeforscht. "Gute Polizeiarbeit geht also auch ohne Totalüberwachung", sagt Lohninger.

Laut dem Internet- und Datenschutzanwalt Axel Anderl von Dorda Rechtsanwälte handelt es sich beim Fall der entwendeten GIS-Daten um ein gutes Beispiel dafür, dass sich eine Anzeige auch bei Hackerangriffen lohnt. Die Ermittler hätten zwar mehrere Jahre dafür gebraucht, entgegen der landläufigen Meinung, dass eine Anzeige sinnlos sei, war es in diesem Fall aber sehr wohl möglich, den Täter zu fassen.

Gibt es eine rechtliche Einschätzung des Vorfalls?

Das Risiko für Betroffene sei laut Anwalt Axel Anderl nicht groß genug gewesen, um auch sie informieren zu müssen. Zumindest dann, wenn tatsächlich nur Meldedaten abgegriffen wurden. Über das Zentrale Melderegister (ZMR) sind diese für jedermann zugänglich. "Falls auch Kontodaten oder Aufzeichnungen zu Hausbesuchen unter den Daten waren, kann sich diese Beurteilung natürlich ändern", sagt Anderl.

Offen sei zudem die Frage, ob den Betroffenen ein Schadensersatz zusteht – und ob GIS dafür haften muss. Das hänge maßgeblich davon ab, ob diese das beauftragte IT-Unternehmen ausreichend geprüft hat. Dieses wiederum müsste darlegen, ob es alle notwendigen Sicherheitsmaßnahmen implementiert hat. Wenn nur die Meldedaten betroffen sind, ist die Erheblichkeitsschwelle auch im Lichte der jüngsten EuGH-Judikatur wohl nicht überschritten.

Muss ich der GIS meine Daten geben?

Ja, denn laut Rundfunkgebührengesetz muss jeder Rundfunkteilnehmer Name, Geburtsdatum, Geschlecht, Adresse sowie Art und Umfang der Nutzung von TV und Radio angeben. Meldet man keine oder falsche Daten, stellt das eine Verwaltungsübertretung dar, die bis zu 2.180 Euro Strafe kosten kann.

An wen darf die GIS diese Daten weitergeben?

Die GIS darf Daten an externe Dienstleister, wie in diesem Fall ein Wiener IT-Unternehmen, weitergeben. Aber: Dieses Unternehmen muss die Garantie dafür bieten, dass die Daten DSGVO-konform verarbeitet werden. Darüber hinaus muss das Unternehmen den Schutz der Rechte der betroffenen Personen gewährleisten.

An welche Unternehmen gibt die GIS die Daten noch weiter?

Explizit genannt werden Druck- und Postdienstleister, Geldinstitute, Inkassounternehmen und Behörden. Gleichzeitig betont man bei der GIS, dass die Daten der Rundfunkgebührenzahler nicht an Drittländer oder internationale Organisationen übermittelt werden.

Kann ich von der GIS verlangen, dass sie meine Daten löscht?

Nein, ein Recht auf Löschung besteht im Fall der GIS nur, wenn die Daten unrechtmäßig verarbeitet wurden. Bei der GIS baut man eventuellen Beschwerden vor: "In der Regel liegen jedoch bei der GIS zwingende schutzwürdige Gründe für die Verarbeitung vor", heißt es in der Datenschutzerklärung. Grundsätzlich sei man im öffentlichen Interesse – in diesem Fall der Finanzierung des öffentlich-rechtlichen Rundfunks – tätig und daher von Teilen der Datenschutzgrundverordnung ausgenommen. Deshalb bestehe auch kein Recht auf Datenübertragbarkeit.

Welche Auskunft kann ich von der GIS verlangen?

Man kann Auskunft über die Herkunft, zu den Kategorien, zur Speicherdauer, zu den Empfängern und zum Zweck der verarbeiteten Daten und zur Art dieser Verarbeitung verlangen.

Wo kann ich meine Daten anfordern?

Jeder Betroffene kann Auskunft darüber verlangen, ob und welche personenbezogenen Daten verarbeitet werden. Dies ist jederzeit und ohne Begründung möglich. Eine Antwort hat binnen eines Monats zu erfolgen. Ein Auskunftsbegehren kann man per Mail (kundenservice@gis.at), Post (GIS Gebühren Info Service GmbH Postfach 1000, 1051 Wien), Telefon (0810 00 10 80) oder persönlich (Faulmanngasse 4, 1040 Wien) stellen.

Wo kann ich mich noch beschweren?

Grundsätzlich steht auch der Weg zur Datenschutzbehörde offen. Hier kann man sich über Verstöße gegen die DSGVO beschweren, wenn etwa dem Auskunftsbegehren nicht innerhalb eines Monats nachgekommen wird. Ob Schadenersatzklagen Erfolg versprechen, ist unklar. "Man muss den Zeitraum seit 2020 ins Kalkül ziehen", hieß es von der Datenschutzbehörde. Wenn bis jetzt nichts passiert sei, könnte das ein Indiz dafür sein, dass auch in Zukunft nichts passiert, hieß es.

Was sagt die GIS?

"Die GIS hat von Beginn an mit den zuständigen Ermittlungsbehörden umfänglich kooperiert und infolge dieses Vorfalls, der ausdrücklich nicht in der Sphäre der GIS lag, alle technisch und rechtlich gebotenen Schritte unternommen", teilte GIS-Geschäftsführer Alexander Hirschbeck mit und verwies auf die Datensicherheit und die ISO-Zertifizierung des Unternehmens. Die GIS prüft darüber hinaus, ob sie selbst Ansprüche gegenüber dem nun ausgeforschten Täter hat. Dazu werde man mit der Staatsanwaltschaft in Kontakt treten, sagt Hirschbeck. (Peter Zellinger, Mickey Manakas, 26.1.2023)