Der Verlust von knapp neun Millionen Meldedaten aus einer Datenbank der GIS könnte rechtliche Folgen haben. Am Mittwoch gaben die Rechtsanwälte Florian Scheiber und Robert Haupt bekannt, ein Sammelverfahren wegen des Vorfalls zu eröffnen. Sie betonen dabei, dass "alle österreichischen Bürger und Unternehmen vom Datenvorfall betroffen sein" könnten. Zudem sei unklar, ob die erbeuteten Informationen vor der Festnahme des mutmaßlichen Täters im November 2022 schon einmal verkauft wurden.

Betroffene Personen, so heißt es in einer Presseaussendung der Juristen, "können sich dem Strafverfahren gegen den Hacker anschließen und allfälligen Schadenersatz verlangen". Es sei diesen unter Umständen sogar möglich, Schadenersatz von der GIS und dem beteiligten IT-Unternehmen zu erhalten.

Menschlicher Fehler

Der Datendiebstahl ereignete sich bereits im Jahr 2020. Wie DER STANDARD berichtete, hat die GIS damals ein IT-Subunternehmen mit der Zusammenlegung zweier Datenbanken beauftragt. Einem dort beschäftigten Mitarbeiter unterlief allerdings ein Fehler, wegen dem knapp neun Millionen Meldedaten für circa eine Woche ungesichert im Internet abrufbar waren.

Unter den erbeuteten Daten befinden sich zumindest die Adressen, Namen und Geburtsdaten der Betroffenen. Laut den Anwälten Scheiber und Haupt würden die Melderegisterdaten darüber hinaus aber auch den akademischen Grad, das Geschlecht, das Geburtsdatum, den Geburtsort, die Staatsangehörigkeit und die ZMR-Zahl enthalten. Bei Letzterer handelt es sich um eine einzigartige Kennung, die jede in Österreich gemeldete Person erhält.

Verfahren eingestellt

Dennoch hat die Datenschutzbehörde alle Verfahren gegen die GIS und das Subunternehmen eingestellt. Das Datenleck sei DSGVO-konform gemeldet worden, außerdem habe die GIS die Betroffenen per Presseaussendung über den Vorfall informiert. Gemessen an der Zahl der Betroffenen sei dies ausreichend gewesen. Die beiden Anwälte werfen nun allerdings die Frage auf, warum "die österreichische Bevölkerung erst mit der umfassenden medialen Berichterstattung vom 25.1.2023 von den Ausmaßen des Datenlecks" erfahren habe.

Wie DER STANDARD am Dienstag berichtete, hat ein Oberösterreicher bereits Anzeige bei der Staatsanwaltschaft eingereicht. Er fordert Schadenersatz. Dabei argumentiert er, durch den Diebstahl immateriellen Schaden erlitten zu haben und über die "Fahrlässigkeit im Zusammenhang mit Meldedaten eines Subunternehmens der GIS" erschüttert zu sein. Auch er wird von Anwalt Robert Haupt vertreten.

Mögliche Betrügereien

Auf einer eigens eingerichteten Website argumentieren die beiden Anwälte, "dass Sie Opfer von Betrügereien und Identitätsdiebstählen werden können, die sich auf das gegenständliche Datenleck zurückführen lassen". Deshalb solle man sich dem Sammelverfahren anschließen. Die Anmeldung zu ebendiesem ist kostenlos über ein Onlineformular möglich. (mick, 1.2.2023)