Das größte Datenleck der Republik

Gemeinsam mit den Datenschützern von epicenter.works konnten wir den größten Datenskandal der Republik aufdecken. Ein Register, in dem Millionen von privaten Daten öffentlich zugänglich waren – ausgehend von BMDW und BMF. Aber was ist eigentlich genau passiert?



Gegen Ende April hat sich ein Betroffener bei uns gemeldet und von einem Register erzählt, in dem seine Privatadresse sowie sein Geburtsdatum zu finden sind. Öffentlich zugänglich. Er hat sich erst an uns gewandt, nachdem ihm von der Datenschutzbehörde versichert wurde, dass hier alles mit rechten Dingen zugeht. Wir haben uns das Register dann angeschaut und versucht festzustellen, nach welchen Kriterien welche Daten dort zu finden sind.

Es fanden sich dort Privatadressen zahlreicher prominenter Politiker_innen und anderen Personen des öffentlichen Lebens.

Aufgefallen ist es dem Betroffenen, weil er für das Ansuchen des Härtefallfonds die Kennzahl brauchte, die nur in diesem Register zu finden ist. So ist er überhaupt erst auf die Datenbank gestoßen. Auch wir haben – zugegebenermaßen – zu Beginn durchaus daran gezweifelt, dass eine solche Datenbank, von zwei Ministerien ausgehend, rechtlich nicht zulässig ist.


Trotzdem fanden sich dort Privatadressen zahlreicher prominenter Politiker_innen und anderer Personen des öffentlichen Lebens: Beate Meinl-Reisinger, Alexander Van der Bellen, Heinz-Christian Strache, Rene Benko, Armin Wolf, …..

Sowie Privatadressen von Personen mit sensiblen Berufen, wie z.B. Therapeut_innen oder Psycholog_innen, die ein besonderes Interesse daran haben, dass ihre Privatadresse geheim bleibt, z.B. weil sie im Strafvollzug tätig sind. Ebenso Adressen von Schöffen, die vielleicht gerade eine lange Haftstrafe mitentschieden haben. Oder Journalist_innen, die in der Vergangenheit bereits Drohbriefe erhalten haben.

Also haben wir uns die Sache genauer angeschaut. Was ist das ErSB?


Die gesetzliche Grundlage für das Register gibt es bereits seit 2004. Das Ergänzungsregister für sonstige Betroffene (ERsB) gibt es, um Personen und Entitäten, die weder im Firmenbuch noch im Vereinsregister eingetragen sind, Zugang zur elektronischen Verwaltung (E-Government) zu ermöglichen. In dem Register werden nicht-natürliche Personen (≠ juristische Personen), die weder im Firmenbuch noch im Vereinsregister stehen, eingetragen. Diese bekommen dadurch eine eindeutige Nummer (Stammzahl) für Zwecke des E-Governments.

ABER

Natürliche Personen (z.B. Privatpersonen, Freiberufler, EPU), haben im Ergänzungsregister für sonstige Betroffene (ERsB) nichts zu suchen. Das ist nur für nicht-natürliche Personen, die weder im Firmenbuch (FB) noch im Vereinsregister (ZVR) stehen (z.B. öffentliche Organisationen, Kirchen, Gemeinden, Parteien, Arbeitsgemeinschaften). Warum zumindest hunderttausende Privatpersonen und Einzelunternehmer in das Register eingetragen wurde ist daher völlig unklar. Es gibt dafür keine gesetzliche Grundlage.


Nach der Ergänzungsregisterverordnung (§ 14 ERegV) ist das Register öffentlich zu führen. Im Gesetz ist das aber nirgendwo vorgesehen. Es ist auch kein Grund dafür ersichtlich, warum diese Daten öffentlich für jedermann zugänglich sind, wenn diese Daten nur zum Nachweis der Identität für Zwecke des E-Government verwendet werden.


Wer ist verantwortlich?


Das Ergänzungsregister für sonstige Betroffene wird seit 2018 vom Bundesministerium für Digitalisierung und Wirtschaftsstandort (BMDW) geführt und war bis zum vergangenen Freitag für jeden öffentlich zugänglich.

Die gesetzliche Grundlage für das Register gibt es seit 2004, die erste Verordnung zur Einrichtung des Ergänzungsregister für sonstige Betroffene (ERsB) hat 2005 Wolfgang Schüssel erlassen (das ERsB war laut VO auch damals schon öffentlich), die jetzt noch immer geltende Verordnung wurde 2009 von Faymann erlassen

Das BMF speist standardmäßig die private Wohnadresse in das Register ein, selbst wenn eine Betriebsadresse besteht. Wenn die Person steuerlich nicht mehr in Erscheinung tritt, z.B. keine selbständigen Einkünfte mehr hat, sollte das BMF diese eigentlich auf inaktiv gesetzt werden. Allerdings gibt es einige Fälle, wo das nicht funktioniert hat und Daten noch viel länger gespeichert waren bzw. sind. Daher fanden sich auch zahlreiche Personen in dem Register, die ihre selbständige Tätigkeit schon vor längerer Zeit eingestellt haben.

Jedem Unternehmer und jeder Unternehmerin drohen horrende Strafen, wenn sie sich nicht penibel an die DSGVO halten. Im Gegensatz dazu kann es Behörden und den Minister_innen aber egal sein – für diese gelten dank der Regierung Kurz nicht dieselben Regeln.

Aber dem nicht genug. BM Schramböck und BM Blümel haben sich entschlossen dieses Register für den Covid-Härtefallfonds heranzuziehen. Unternehmer, die nicht im Firmenbuch sind, benötigen die Nummer aus dem Ergänzungsregister für den Antrag beim Härtefallfonds. Es ist nicht nachvollziehbar warum diese Nummer für den Antrag beim Härtefallfonds herangezogen wird, denn für eine eindeutige Identifikation der Unternehmer hätte etwa auch die Steuernummer ausgereicht

Die beiden Minister haben durch die Nutzung des Ergänzungsregisters für den Härtefallfonds sehenden Auges eine Million Privatadressen und Geburtsdaten einer breiten Öffentlichkeit quasi auf dem Silbertablett serviert.

Durch dieses völlige Unverständnis für Datenschutz haben BM Schramböck und BM Blümel unzählige Personen gefährdet. Denn das Ergänzungsregister ist mit keinen Sicherheitsmaßnahmen versehen. Die Daten können leicht abgezogen und abgespeichert werden, da es für eine Abfrage keinen Antrag bei einer Behörde oder eine Gebührenzahlung braucht – es muss nicht einmal angeklickt werden muss, dass man kein Roboter ist. Menschen, die mit Stalkern zu kämpfen haben oder Racheakte befürchten müssen, werden so einer physischen Gefahr ausgesetzt. Zudem bestehe das Problem des Datenhandels und Identitätsdiebstahls.


Und jetzt?


Wir haben schon vor der Planung einer Presssekonferenz mehrfach versucht, die Ministerien auf diesen Skandal hinzuweisen. Auch Bürger_innen haben sich an BMDW und BMF gewandt. ÖVP Klubobmann Wöginger hat unsere Warnungen noch als „künstliche Aufregung“ abgetan.

Nach Ankündigung unserer Pressekonferenz wurde das Register dann offline genommen. Das Ministerium möchte jetzt eine Taskforce einetzen, um der Sache auf den Grund zu gehen.

Das wichtigste Ziel wurde zum Glück erreicht: Die Datenbank ist offline. Aber während die Taskforce natürlich ein guter Anfang ist, wird das nicht ausreichen. Hier muss dringend auch die politische Verantwortung geklärt werden. Ich bleibe dran!

Immer am Laufenden bleiben?

© 2020 by Douglas Hoyos | Datenschutzrichtlinie | Impressum