Größter Datenskandal der Republik: Über eine Million Wohnadressen öffentlich
Beim sogenannten "Ergänzungsregister für sonstige Betroffene" wurde komplett auf den Datenschutz vergessen. Das Wirtschafts- als auch das Finanzministerium haben einen Datenskandal zu verantworten, den auch die Wirtschaftskammer mitträgt.
Persönliche Daten von mindestens einer Million Menschen wurden seit Jahren ohne jede Schutzmaßnahme öffentlich ins Netz gestellt, wie NEOS und epicenter.works in einer gemeinsamen Pressekonferenz am 8. Mai erläutert haben. Das ist ein Geschenk der Republik an jeden Datenhändler und Identitätsdieb. "Es fehlen die technischen und organisatorischen Maßnahmen, um die Rechte der Betroffenen nach DSGVO zu schützen", so unser Geschäftsführer Thomas Lohninger. Anders als im Zentralen Melderegister (ZMR) fehlen hier alle Schutzmechanismen, wie die Herausgabe der Daten nur nach Identifikation der abfragenden Person und gegen Gebühr oder die Möglichkeit, die eigenen Daten mit einer Auskunftssperre zu schützen.
Private Wohnadressen sind besonders heikel
"Wir wissen noch gar nicht, wie viele Menschen von diesem Datenskandal betroffen sind und um welche Gruppen es sich genau handelt", so Lohninger weiter. "Unserer Schätzung nach müsste es ca. eine Million Betroffene geben." Aus den Daten könnte sich auch ableiten lassen, wann Steuererklärungen eingereicht oder ob z.B.: Beihilfen bezogen wurden. "Noch viel dramatischer ist, dass die privaten Wohnadressen dieser Menschen öffentlich im Internet einsichtig sind und man sich nicht einmal dagegen wehren kann. Vom Bundespräsidenten abwärts ist fast jeder dort zu finden, der andere Einkünfte als aus nicht-selbstständiger Arbeit hat und hatte", ergänzt der Datenschutzexperte.
Kein Zweck, keine Auskunftssperre, keine Schutzmaßnahmen
"Der Zweck dieses öffentlichen Registers ist nicht ersichtlich. Öffentliche Register bringen regelmäßig Rechte und Pflichten mit sich, wie z.B.: Eintragungen im ZMR, Firmenbuch oder Vereinsregister. Zwar kann die verwaltungsinterne Bereitstellung von Stammzahlen der Grund für die Erstellung des Ergänzungsregisters sein, das erklärt jedoch nicht seinen jahrelangen öffentlichen und hürdenfreien Zugang", sagt unsere Juristin Lisa Seidl. Der Umfang der einsehbaren Daten geht in vielen Fällen über die im ZMR abrufbaren Daten hinaus und im Gegensatz dazu gibt es keine Schutzmechanismen wie die Herausgabe der Daten bei Identifikation der abfragenden Person gegen Gebühr oder die Möglichkeit der Einrichtung einer Auskunftssperre. Selbst wenn mit der Verordnung von 2009 eine Rechtsgrundlage für die Veröffentlichung des Registers besteht, könnte diese Verordnung eine Verletzung in das Grundrecht auf Datenschutz darstellen, so Seidl.
Anhand geschwärzter Auszüge aus dieser Datenbank können wir darlegen, dass die Daten von Journalist*innen, Politiker*innen und anderen Personen enthalten sind, die besonders auf die Geheimhaltung ihrer privaten Daten achten. Von 183 Nationalratsabgeordneten stehen beispielsweise 100 Abgeordnete mit ihrer privaten Adresse dort darin. Eine entsprechende Liste findest du hier. Auch JournalistInnen des ORF konnten recht einfach gefunden werden.
Was ist der Unterschied zum Firmenbuch?
Das Firmenbuch ist zwar leicht zugänglich, kostet aber recht viel - 12,90 ein Auszug - und ist essentiell (d.h. es hat einen wichtigen Zweck), da man über das wirtschaftliche Risiko, das man trägt, wenn man mit anderen Unternehmen Verträge abschließt, Bescheid wissen muss und soll. Jedenfalls stehen keine privaten Wohnadressen darin, sondern die Geschäftsadressen der Unternehmen.
Ist die Verordnung gar gesetzes- oder verfassungswidrig?
Grundsätzlich muss sich der Staat an die DSGVO/DSG halten, jedoch ist er von Strafen ausgenommen. Wenn Daten, die nicht schon öffentlich zugänglich sind (z.B. Steuerdaten von Privatpersonen - nicht Unternehmen!), in dem Register sind, braucht es eigene Rechtsgrundlage (in diesem Fall ist das eine Verordnung), dann können laut DSGVO Daten verarbeitet werden. Jedoch ist eine Verfassungswidrigkeit möglich (§1 DSG steht im Verfassungsrang). Es braucht für gerechtfertigte Grundrechtseinschränkungen immer ein legitimes Ziel, das notwendig und angemessen im Verhältnis ist. Hier scheitert es schon am Ziel, warum Steuerdaten für die Öffentlichkeit zugänglich gemacht werden. Daher ist die Grundrechtseinschränkung ungerechtfertigt und eine Verletzung des Grundrechts auf Datenschutz. Solange der VfGH die Verordnung nicht als gesetz- oder verfassungswidrig aufgehoben hat, ist sie anzuwenden.
Chronologie des Registers
- Entscheidung darüber, dieses Register öffentlich einzurichten 2004/2009, Schüssel / Faymann, DSK
- Register wurde Dezember 2018 in das BMDW unhinterfragt übernommen, keine Schutzmaßnahmen eingerichtet, trotz DSGVO keine Durchsetzung der Betroffenenrechte
- BMF schickt laufend Daten an Register, unklar aus welchen Quellen
Wenn auch du wissen willst, ob deine Daten jahrelang frei im Internet zugänglich waren: Wir haben ein Auskunftsformular für dich, welches du ausgefüllt an die Stammzahlenregisterbehörde schicken musst.
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden