Durch die Festnahme des mutmaßlichen Täters in den Niederlanden ist in den Medien ein mögliches Datenleck bei der GIS gerade wieder sehr präsent. Es gab zuletzt Berichte, dass ein ca. 9 Millionen großer Datensatz zum Verkauf angeboten worden war. Stimmen die bisher bekannten Zahlen, betrifft das wohl fast alle in Österreich gemeldeten Menschen, unabhängig davon ob sie GIS-Gebühren bezahlen oder befreit sind. Seither erreichen uns viele E-Mails, was man am besten unternehmen könne.

Wir haben die wichtigsten Infos und Fakten dazu für euch in diesem Blogpost zusammengefasst.

Skandalöser Umgang der GIS mit dem Datenleck

Zunächst ist es ziemlich wahrscheinlich, dass das Datenleck gar nicht so aktuell ist, wie es scheint. Es ist gut möglich, dass es sich um einen Vorfall handelt, der schon viel länger zurückliegt und der wahrscheinlich bereits Gegenstand eines Ermittlungsverfahrens ist.

Skandalös ist allerdings der intransparente Umgang damit, das fehlende Problembewusstsein und die Art und Weise, wie mit Nachfragen von Betroffenen umgegangen wird. Die GIS verweist einfach auf ihre hohen Sicherheitsstandards und führt ihre laufende ISO-Zertifizierung ins Feld. Diese Zertifizierung ist ein anerkannter Qualitätsstandard, den viele IT-Unternehmen als Argument für ihre Maßnahmen in Puncto Datenschutz und Datensicherheit nutzen. Sie ist ein durchaus aufwendiger und nicht gerade billiger Prozess, der vor allem zeigt, dass man sich mit diesen Datenorganisationsthemen beschäftigt und sich in dieser Hinsicht gut organisiert hat. Der „Ist sicher“-Stempel durch eine Zertifizierung ist aber keineswegs eine Garantie für IT-Sicherheit, denn diese ist immer ein Prozess und kein Zustand.

Das Datenleck selbst ist nicht direkt bei der GIS passiert, sondern bei einem Dienstleister, der von der GIS beauftragt wurde, Datensätze zum Abgleich zusammenzuführen. Um die Sicherheit zu gewährleisten und die Verantwortung nicht einfach abzuschieben, sieht die DSGVO Verträge für so einen Auftragsverarbeiter vor. Wenn man dem beauftragten Dienstleister vertrauen kann, weil dieser seine Integrität und seine Sicherheitsmaßnahmen darlegen kann, sollte eigentlich alles gut sein. Auch die GIS verweist auf den hohen Standard und das Ansehen der von ihr beauftragten Firma. Im Prinzip wurde demnach alles richtig gemacht und man tritt nach außen als verantwortlich und integer auf. Nur warum ist man dann so zögerlich in der Kommunikation zu den gestohlenen Daten?

Klares Prozedere bei Datendiebstahl nicht eingehalten

Die DSGVO sieht für einen Datendiebstahl hingegen ein ganz klares Prozedere vor. Eine Schutzverletzung personenbezogener Daten (Art. 4 Nr. 12 DSGVO) liegt bereits vor, wenn es nur eine unbefugte Offenlegung oder einen unbefugten Zugang zu den Daten gab. Beides ist bei den abhandengekommenen GIS-Daten sicher der Fall. Wahrscheinlich handelt es sich sogar um einen Verlust oder auch ein Abhandenkommen, das nach der DSGVO, – selbst wenn es nur temporär wäre – bereits Maßnahmen erfordern würde. Eine Meldepflicht einer solchen Panne gegenüber den Behörde besteht damit sicher. Ob man nun auch die Betroffenen unterrichten muss, hängt von dem Risiko ab, das von den gestohlenen Daten für die Rechte und Freiheiten der Betroffenen ausgeht. Und hier liegt das größere Problem, denn bei der GIS sind auch gesperrte Meldedaten gespeichert. Konkret kann das bedeuten, dass z.B. Stalking-Opfer oder anderweitig gefährdete Personen oder prominente Menschen nun in einer Datenbank gelandet sind, die im Darknet zum Verkauf stand. Damit besteht eine unmittelbare Gefahr für Leib und Leben dieser Menschen. Unserer Kenntnis nach wurden aber nicht einmal die im Melderegister gesperrten Menschen über den Verlust ihrer Daten informiert.

Möglicherweise weitere Kopien im Umlauf

Woher weiß man also, dass die eigenen Daten von der GIS gestohlen wurden und damit in der angebotenen Kopie des Datensatzes enthalten waren? Vermutlich stand die gesamte Datenbank für mehrere Tage offen im Internet. Daher ist durchaus von weiteren Kopien auszugehen, die bisher noch nicht aufgetaucht sind, weil es keine Geldforderung wie in dem bekannten Fall gegeben hat. Aus einem Beispieldatensatz, den der Täter bei einem Verkaufsversuch im Jänner veröffentlicht hat, wissen wir, dass unter Anderem folgende Datenfelder betroffen sind: Name, Gebutsdatum, Adresse, Wohnsitztyp, Erstellungsdatum, Änderungsdatum. Probleme können bereits mit diesen Datenfeldern erwachsen.

Da die österreichischen Behörden den Datensatz von dem mutmaßlichen Täter in den Niederlanden gekauft haben, könnten auch sie Auskunft darüber geben, wer betroffen ist. Damit ergibt sich potentiell für Betroffene auch die Möglichkeit, sich dem Ermittlungsverfahren der Staatsanwaltschaft als privatbeteiligte Opfer anzuschließen, wodurch auch Akteneinsicht und potentiell Schadensersatz erlangt werden könnte.

Sammelverfahren von Wiener Kanzlei

Eine Wiener Kanzlei möchte ein Sammelverfahren anstoßen und ermutigt Privatpersonen sich Unterstützung zu holen um Auskunft und letztendlich Schadensersatzansprüche geltend zu machen. Noch ist keine Klage eingebracht, die Anwälte Scheiber und Haupt sind sich allerdings sicher, dass die Datensätze den akademischen Grad, das Geschlecht, das Geburtsdatum, den Geburtsort, die Staatsangehörigkeit, Haupt- und Nebenwohnsitz mit Anmeldedatum und die ZMR-Zahl enthalten. Mit der ZMR-Zahl hat man auch ein eindeutiges Zuordnungsmerkmal. Die ZMR-Zahl identifiziert nämlich jede im Melderegister verzeichnete Person eindeutig. Die Juristen machen als Begründung geltend, dass aus dem Datensatz heraus weitere Straftaten wie Identitätsdiebstahl möglich sind.

Eigentlich ist das Problem nämlich viel größer, da man leider nicht weiß, ob es noch Kopien von dem gestohlenen Datensatz gibt. Das BK hat zwar sauber gearbeitet und in den Niederlanden den Verkäufer ausgeforscht. Wenn es aber einem Datendieb oder einer Datendiebin gelungen ist, an die Datenbank zu kommen, besteht die Möglichkeit, dass es auch noch anderen gelungen ist oder die Daten bereits kopiert und weitergegeben wurden, bevor die Behörden einschritten.

Wir fordern Transparenz von der GIS

Insofern muss vehement Transparenz auf Seiten der GIS eingefordert werden, die über eine einfache Mitteilung in der Presse hinausgeht. Die DSGVO spricht von einem unverhältnismäßigen Aufwand, jede einzelne Person bei großem Datenbankklau zu benachrichtigen, dies aber vor allem, wenn veraltete oder gar keine Kontaktdaten zur individuellen Benachrichtigung vorhanden sind, oder wenn man die Zahl nicht sicher eingrenzen kann. Zumindest die Kontaktdaten dürften bei der GIS allerdings recht aktuell sein. Immerhin hängt davon die Einforderung der Rundfunkgebühren ab.

Apropos Gebühren: Wir wollen keinesfalls am System der (GIS-) Gebühren oder einer gerade diskutierten Haushaltsabgabe an sich Kritik üben. Es geht wirklich nur um den Umgang mit dem Datenleck. Warum stellt die GIS z.B. nicht ein Tool bereit, mit dem man prüfen kann, ob die eigenen Daten von dem Datenverlust betroffen sind? Gerade für Personen, die nicht möchten, dass man ihre Adresse kennt oder für die eine Gefahr davon ausgeht, ist es eminent wichtig, von so einem Leck zu erfahren. Da reicht eine einfache Kommunikation über die Presse nicht aus. Wenn man diese Personen nicht anschreiben kann oder möchte, sollte zumindest eine einfache Möglichkeit für die Kund:innen der GIS bereitgestellt werden, um nachzufragen, ob man ggf. Teil des gestohlenen Datensatzes ist.

Vielleicht hat die GIS Angst vor möglichen Schadensersatzforderungen, die sich aus dem Bekanntwerden solcher Datensätze ergeben könnten. Die erste Klage hierzu ist bereits anhängig und wie oben erwähnt, können nun größere Sammelklagen drohen. Klar ist jedenfalls, dass solche speziellen Datensätze sicherlich einen besonderen Schutz verdient haben.

Was kann ich tun?

Auch für normale GIS Kund:innen sollte eine Auskunft möglich sein und Transparenz in der Sache ist wirklich nötig. Was also tun? Uns haben einige E-Mails mit unterschiedlichen Szenarien erreicht, in denen von Problemen bei Nachfrage berichtet wurde. Am besten ist es in diesem Fall, in zwei Schritten vorzugehen und zunächst Auskunft über die bei der GIS gespeicherten Daten zu fordern. Ihr könnt euch dabei auf die klare Vorschrift in Art. 15 DSGVO berufen. Dieser Artikel regelt euer Recht auf Auskunft. Wenn ihr diese Auskunft habt, könnt ihr in einem weiteren Schritt Auskunft fordern, ob ihr von dem Datenverlust betroffen seid. Leider ist eine komplette Löschung der Daten nicht möglich, da die GIS diese zur Durchführung eines gesetzlichen Auftrags benötigt.

Wir werden auf alle Fälle weiter beobachten, wie mit dem Datenleck bei der GIS umgegangen wird. Vielleicht stellt die GIS oder der Dienstleister, dem die Daten gestohlen wurden, doch noch eine Online-Möglichkeit zur Verfügung, wo man ganz einfach seine eigenen Daten abfragen und feststellen kann, ob sie von dem Datendiebstahl betroffen waren. Als Service für euch haben wir hier eine Office-Vorlage für euch, die ihr zur generellen Abfrage eurer Daten bei der GIS nutzen könnt. Das geht per E-Mail oder per Post. Die genauen Daten sind in der Vorlage.