Ergebnisse der Taskforce zum ERsB-Datenskandal
Am 8. Mai 2020 haben wir gemeinsam mit den NEOS den Datenskandal rund um das Ergänzungsregister für sonstige Betroffene aufgedeckt. Über Jahre waren die Daten von rund einer Million Menschen in Österreich frei im Netz verfügbar. Durch den öffentlichen Druck wurde das Register offline genommen. In der Folge wurden wir von der zuständigen Digitalministerin Margarete Schramböck in eine Taskforce eingeladen. Letzte Woche war die letzte Sitzung und dies ist unser Bericht der Ergebnisse.
Noch vor der ersten von insgesamt drei Sitzungen wurde uns mitgeteilt, dass der Auftrag der Taskforce lediglich die Reparatur und nicht die Aufklärung rund um den Datenskandal ist. Wir sollten uns auch nicht um andere Register kümmern, sondern lediglich um das Ergänzungsregister. In der ersten Sitzung haben wir uns für Transparenz und zumindest eine Veröffentlichung der Protokolle bemüht, sind damit aber abgeblitzt. Es sollten Empfehlungen erarbeitet werden, die auch der Öffentlichkeit zugänglich gemacht werden sollten, aber „der Weg dahin“, also die Diskussion in der Taskforce, sollte vertraulich bleiben. Wir hätten gerne transparenter gearbeitet, halten uns aber an Abmachungen. Wir haben aber immer angekündigt, dass wir das Ergebnis neutral und öffentlich bewerten werden und in unserer Rolle die Öffentlichkeit auch aufklären müssen.
Von der ersten Sitzung an haben wir darauf gedrängt, zu erfahren, wie viele Menschen eigentlich von diesem Datenskandal betroffen sind und welche öffentlichen Stellen die Menschen in dieses Register eingetragen haben. Unser Argument war, dass eine Reparatur ohne Verständnis des Status Quo im Dunkeln tappt. Wir bekamen nur die Auskunft, dass mehr als die Hälfte der Eintragungen im Ergänzungsregister aus dem Finanzministerium kommt.
Wie argumentiert das Ministerium das Ergänzungsregister?
In der e-Government-Struktur in Österreich braucht jede natürliche oder juristische Person eine eindeutige Nummer. Mit diesen Nummern kann man sich in verschiedenen Rollen identifizieren und (online) Dienste des Staates nutzen. Wenn ein Mensch in Österreich gemeldet ist, kommt diese Nummer aus dem Zentralen Melderegister. Für Menschen, die nicht in Österreich gemeldet sind, aber hier Einkünfte haben, kommt diese Nummer aus dem Ergänzungsregister für natürliche Personen (ERnP), das nicht öffentlich geführt wird. Bei Firmen ist es die Nummer des Firmenbucheintrages. Für alle anderen juristischen Personen gibt es das Ergänzungsregister für sonstige Betroffene. Darin finden sich Stiftungen, Kirchen, Wohnungseigentümergemeinschaften, Behörden, Gemeinden und eben auch ganz normale Menschen, die in den letzten Jahren Einkünfte aus Land- und Forstwirtschaft, selbstständiger Tätigkeit, aus Gewerbebetrieb oder Vermietung und Verpachtung hatten und nicht im Firmenbuch stehen.
Wer also vor Jahren für einen Vortrag ein Honorar bekommen hat, als freier Dienstnehmer arbeitet oder EUR 10,- Pachteinnahmen pro Jahr bezieht, gilt ohne es zu wissen als Unternehmen und ist im Ergänzungsregister für sonstige Betroffene eingetragen.
Eintragungen im Register passieren sehr selten durch einen Antrag der Betroffenen. Für fast alle Fälle passiert die Eintragung durch eine öffentliche Stelle, in Form einer sogenannten „Ausstattung“. Dabei können mehr oder weniger alle öffentlichen Stellen von Ministerien und deren nachgeordneten Dienststellen, Bundesländer, Gebietskörperschaften, Sozialversicherung, Wirtschaftskammer oder Land- und Forstwirtschaftliche Register den Datensatz einer Person auslesen, anlegen oder ändern. Dabei ist der Anlass der Eintragung bzw. der Anpassung der Daten dem Digitalministerium nicht bekannt. Derzeit ist das Digitalministerium bzw. die ihm unterstellte Stammzahlenbehörde Verantwortlicher im Sinne des Datenschutzrechts.
Ab wann die unternehmerische Tätigkeit nicht mehr gegeben ist, lässt sich laut Auffassung der Taskforce gar nicht so leicht beantworten. Theoretisch könnten noch Insolvenzverfahren laufen oder Ansprüche von Mitarbeiter*innen des Unternehmens aufrecht sein oder die Steuerberatung entscheidet sich dazu, den Betrieb in der Steuererklärung weiter mit zu führen. Insgesamt kann man also noch sehr lange im ERsB geführt sein, auch wenn die unternehmerische Tätigkeit schon lange in der Vergangenheit liegt. Die Klarheit des Firmenbuchs fehlt hier.
Das ERsB wird anders als das ERnP öffentlich geführt. Wenn man das zugrundeliegende e-Government-Gesetz liest, erscheint das unlogisch. Der dort genannten Adressatenkreis der Daten ist nur behördenintern. Aber als das Ergänzungsregister 2004 eingeführt wurde, war noch nicht einmal das Firmenbuch online verfügbar und man wollte ein Beispiel setzen. In den ersten neun Jahren war dies auch nicht problematisch, da lediglich 20 Datensätze im ERsB gespeichert waren und das hauptsächlich öffentliche Einrichtungen waren. Mit 2013 wuchs die Zahl der Datensätze dann jedoch sprunghaft auf 1,4 Millionen an. Die Begründung scheint darin zu liegen, dass ungefähr in dieser Zeit das Finanzministerium begann, über den Umweg des Unternehmensregisters automatische Eintragungen im ERsB vorzunehmen.
Auf welche Empfehlungen hat sich die Task Force geeinigt?
- Das grundlegende Konzept des rollenbezogenen Identitätsmanagements sollte beibehalten werden. Rollenbezogen bedeutet beispielsweise, dass bei einer natürlichen Person, die sowohl als Privatperson als auch als Einzelunternehmer handelt, im Identitätsmanagement zwischen diesen Rollen unterschieden wird.
- Die Aktualität und die Richtigkeit der im ERsB eingetragenen Daten ist sicherzustellen. Ein entsprechender standardisierter Clearingprozess ist zu definieren und sicherzustellen.
- Die Verantwortungsklarheit ist im Hinblick auf die datenschutzrechtliche Rollenverteilung normativ sicherzustellen. Die Sorgfaltspflicht für die Datenverarbeitung liegt beim jeweils Verantwortlichen im Sinne der Datenschutz-Grundverordnung (DSGVO).
- Die einfache und effektive Durchsetzung der datenschutzrechtlichen Betroffenenrechte ist insbesondere im Sinne der DSGVO - allenfalls über Einrichtung einer zentralen Anlaufstelle - sicherzustellen.
- Anlässlich einer Eintragung von Betroffenen im ERsB sind diese über diesen Umstand gemäß Artikel 13 und 14 DSGVO zu informieren. Diese Information soll den Grund für die Eintragung und den Hinweis zur Möglichkeit der Ausübung der Betroffenenrechte beinhalten.
- Im Sinne der einschlägigen datenschutzrechtlichen Vorgaben ist ein Löschungskonzept vorzusehen (Grundsatz der Speicherbegrenzung).
- Das ERsB ist entweder in Bezug auf natürliche Personen nicht öffentlich zu führen oder der öffentliche Zugang zum ERsB ist vergleichbar zum Zugang zum ZMR abzusichern.
Wir unterstützen diese Empfehlungen und glauben, dass mit deren Umsetzung ein wichtiger Beitrag zur Reparatur des Datenskandals geleistet wurde. Dieser Auftrag liegt nun bei der zuständigen Digitalministerin Schramböck. Es ist zwar schockierend, dass Klarheit über die Verantwortlichen einer Datenverarbeitung, die Richtigkeit von Daten, ein Löschungskonzept oder die Durchsetzung von Betroffenenrechten eine Empfehlung brauchen, doch damit sind diese Fragen zumindest als klarer Benchmark für die bevorstehende Novelle aufgestellt. Insbesondere die verpflichtende Information von Betroffenen über ihre Eintragung im Register sehen wir als kleinen Beitrag, das Bewusstsein für dessen Existenz zu steigern.
Gegen welche Empfehlungen hat man sich gewehrt?
Ein anderes Mitglied der Taskforce außer epicenter.works hat einen Vorschlag gemacht, gegen den sich manche Teile der Gruppe massiv gewehrt haben. Die Ergänzung für die erste Empfehlung hätte gelautet:
In diesem Zusammenhang darf die natürliche Person als Einzelunternehmer nicht datenschutzrechtlich schlechter gestellt werden als als natürliche Person.
Der enorme Widerstand gegen diese simple Empfehlung ist sehr bezeichnend. Dahinter steckt die sehr zentrale Frage des angewendeten Unternehmensbegriffs. Wir haben in Österreich nämlich eine Reihe an rechtlichen Definitionen eines Unternehmens und im ERsB kommt die denkbar weiteste des §25 Bundesstatistikgesetz zur Anwendung. Dieselbe Frage wird auch in einem Rechtsgutachten von Deloitte Legal behandelt, das die NEOS beauftragt haben. Wie oben ausgeführt, wird vom Ministerium und seinen Vertretern in der Taskforce argumentiert, dass auch jedes kleine Einzelunternehmen aus Gründen des Konsumentenschutzes und der Nachvollziehbarkeit im ERsB eingetragen sein muss. Das ist ein Scheinargument, da sogar im Firmenbuch Einzelunternehmen erst ab einem Umsatz von einer Million Euro eingetragen werden müssen.
Die zweite große Baustelle ist die Frage, wieso das Register überhaupt öffentlich geführt wird. Aufgrund des enorm breiten und strittigen Unternehmensbegriffs, der Tatsache, dass die Korrektheit der Daten und die Durchsetzung der Betroffenenrechte ein so großes Problem sind, muss man sich die Frage stellen, wer wirklich von einem öffentlichen Register profitiert. Angeführt wurden Argumente des Konsumentenschutzes und der öffentlichen Evidenz aller gewerblich tätigen Menschen. Aber Kunden im klassischen Sinne finden sich kaum unter freien Dienstnehmern, Pächtern oder Wohnungseigentümergemeinschaften. Aus dem Zweck der Datenverarbeitung ergibt sich die Öffentlichkeit nicht und erscheint auch mit den vorgebrachten Argumenten nicht verhältnismäßig. Stille Profiteure eines öffentlichen Registers sind alle wirtschaftlichen und Marktforschungsinteressen der ganzen Welt, die einen Gratiszugang zu aktuellen Daten der Bevölkerung in Österreich bekommen.
Eine bessere Lösung als in Empfehlung sieben wäre aus unserer Sicht die behördeninterne und nicht-öffentliche Weiterführung des ERsB oder Zusammenlegung mit dem ZMR gewesen. Damit wäre auch das Problem gelöst, dass eine Sperre der eigenen Adresse im ZMR nicht für das ERsB gilt.
Zuletzt hat man sich leider auch gegen unsere Forderung einer sauberen Protokollierung des ERsB gewehrt. Unser Vorschlag war:
Abfragen und Ausstattungsprozesse im ERsB sind mit Verweis auf die handelnden Institutionen zu protokollieren und solange der Datensatz vorhanden ist, aufzubewahren. Diese Protokolldaten sind im Rahmen einer Datenschutzauskunft dem Betroffenen auszuhändigen.
Hätten wir solche Protokolle, dann wäre die Aufklärung des aktuellen Skandals leichter. Wir wüssten vielleicht, welche Daten von Adresshändlern abgegriffen wurden und wie man überhaupt ins Register gekommen ist. Leider gab es für eine solche Sicherungsmaßnahme in der Taskforce keine Mehrheit.
Was muss jetzt passieren?
Derzeit verstößt das Digitalministerium gegen seine eigene Verordnung zum Ergänzungsregister, indem es das Register nicht mehr online verfügbar macht. Dieses Provisorium wird früher oder später eine Reparatur benötigen und dafür stellt sich dieselbe Frage, die wir in der Task Force zu beantworten hatten – was zur Hölle ist da eigentlich all die Jahre schief gelaufen?
Ohne eine umfängliche Aufklärung zwischen Digital- und Finanzministerium und allen weiteren „Ausstattern“ im ERsB, von denen wir vielleicht noch gar nicht wissen, wird die nächste Reparatur wieder nur in eine Sackgasse führen. Betroffene haben ein Recht, über die Verarbeitung ihrer Daten informiert zu werden und dazu haben wir schon vor einiger Zeit ein Auskunftsformular zur Verfügung gestellt. Weiters zur Aufklärung beitragen könnten auch die parlamentarischen Anfragen der NEOS zu diesem Thema. Wir glauben, die beantworteten Anfragen zwar bereits in der Sitzung gesehen zu haben, aber das Gesetz erlaubt, eine Beantwortung trotzdem bis Mitte Juli hinauszuzögern.
Die grundlegende Frage im ERsB ist, wie man Verantwortung in einer Datenbank regeln will, in der tausende Stellen Schreibzugriff haben. Verantwortlich im Sinne der DSGVO ist einzig das Digitalministerium bzw. die ihm unterstellte Stammzahlenregisterbehörde. Wie wir schon gelernt haben, sieht man dort aber die Verantwortung bei den jeweils eintragenden Stellen. Ob die tausenden Bürgermeister*innen, Forstbeamten und Wirtschaftskammerfunktionäre sich dieser Verantwortung bewusst sind, wagen wir zu bezweifeln. Dieses architektonische Problem wird sich nicht auf dem Verordnungsweg lösen lassen, sondern braucht ein sauberes Konzept und eine richtige Novelle der zugrundeliegenden Gesetze. Wir werden uns an der Begutachtung beteiligen, weiter an der Aufklärung arbeiten und wenn es schlimm bleibt, vielleicht auch vor Gericht ziehen.
Eine Erkenntnis aus dieser Taskforce war, dass wir in Zukunft darauf bestehen werden, von Akteuren, die auf dem Papier vorgeben, unabhängig zu sein, Conflict-of-Interest-Deklarationen über ihre wirtschaftlichen Interessen zu sehen.
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden