Ministerium veröffentlichte private Daten von Strach...

Ein seit 16 Jahren bestehendes Register geriet nun im Rahmen des Corona-Härtefallfonds in die Kritik von Datenschützern. Darin sollen sensible Daten von hunderttausenden Österreichern öffentlich gewesen sein.

Die NEOS wollen in Zusammenarbeit mit den Datenschutzexperten der Grundrechte-NGO "epicenter.works" den "größten Datenschutzskandal der Republik" aufgedeckt haben. Eigentlich wollten die Pinken ihre Entdeckung erst am Freitagvormittag bei einer Pressekonferenz öffentlich machen, doch schon jetzt wurden erste Details über das Ausmaß bekannt.

So war laut einem Bericht des "Standard" über die Webseite des Wirtschaftsministeriums ein Register einsehbar, in dem den NEOS zufolge unter anderem Wohnadressen und Geburtstage von rund einer Million Österreicher gelistet waren. Besonders brisant: Obwohl es sich um Privateanschriften handele, finde sich auch Angaben zum Steuerprozedere der Betroffenen.

"Von Bundespräsident Alexander Van der Bellen abwärts" würden sich auch die Daten zahlreicher Promis und Spitzenpolitiker, etwa Heinz-Christian Strache, DJ Ötzi und mehrere frühere Bundeskanzler, darin finden. Iwona Laub von "epicenter.works" erklärte gegenüber der Zeitung, dass rund 100 Nationalratsabgeordnete sowie acht aktuelle Regierungsmitglieder in der Datenbank verzeichnet seien.

Die NEOS sehen nicht nur das Wirtschaftsministerium sondern auch das Finanzministerium von Gernot Blümel (ÖVP) und die Härtefallfonds-App der Wirtschaftskammer in der Verantwortung.

Das sagt das Ministerium

Das Wirtschaftsministerium ließ "Heute" wissen, dass das betroffene Register schon seit Jahren in dieser Form bestehe und im Zuge des Härtefallfonds keinerlei Veränderungen vorgenommen worden wären. "Die gegenwärtige Umsetzung des Ergänzungsregisters ist in einer Verordnung aus dem Jahr 2009 geregelt, welche vom damaligen Bundeskanzler erlassen wurde und besteht in dieser Form seit elf Jahren unverändert", so Ministeriumssprecher Wolfgang Schneider gegenüber dem ORF.

"epicenter.works"-CEO Thomas Lohninger nahm am Donnerstagabend in der "ZiB2" zu der Causa Stellung: Die Datenbank sei "schon sehr lange im Netz". Ans Licht gekommen sei alles erst durch den Härtefallfonds der Bundesregierung und der Wirtschaftskammer. Erst dadurch wurde das bislang obskure Register ins Rampenlicht gerückt und verzeichnete laut Lohninger "rund eine Million Zugriffe in den letzten Tagen."

Warum die Datenbank nicht zumindest im Rahmen der DSGVO entsprechend angepasst wurde, sei ihm immer noch rätselhaft. "Es gibt keine Begründung. Das wurde einmal entschieden und offenbar nie wieder übertragen. Diesen simpelsten Schritt der DSGVO, den alle Unternehmen machen müssen, nämlich überprüfen, wo werden welche Daten gespeichert, hat die Republik nie unternommen", so der NGO-Chef.

Was wussten Schramböck und Blümel?

Lohninger weiter: "Es ist kein Leck im klassischen Sinn, sondern die Ministerien haben den Hahn aufgedreht und Daten waren über Jahre verfügbar". Über das völlig ungesicherte Register hätten Betrüger die Identität von über einer Million Österreicher stehlen können.

Der heute vollzogene Schritt an die Öffentlichkeit sei "nicht leicht gefallen", aber notwendig, da die Daten weiter abrufbar gewesen seien. Zuvor hätte Kooperationspartner NEOS die betroffenen Ministerien, auf Beamten- und auf Stabsebene informiert. Noch vor der eigenen Ankündigung seien Wirtschaftsministerin Margarete Schramböck und Finanzminister Gernot Blümel (beide ÖVP) persönlich davon in Kenntnis gesetzt worden. Letzterer hatte, bei einer Pressekonferenz darauf angesprochen, erklärt, zum ersten Mal von diesem Sachverhalt zu hören.

Stellungnahme der Wirtschaftskammer

Seitens der WKO heißt es in einer Stellungnahme, dass bei der Programmierung der App alle datenschutzrechliche Vorgaben einhalten wurden und diese vor dem Start "von einer externen Sicherheitsfirma speziell überprüft und auf Schwachstellen untersucht" wurde. "Dabei wurden keine Lücken festgestellt."

Das Ergänzungsregister für sonstige Betroffene (ERsB) stehe "nicht im Verantwortungsbereich der Wirtschaftskammer". Es bestünden auch keine technischen Schnittstellen zur Härtefallfonds-App.

Die ganze Historie zu dem "massiven Datenschutz-Leck" wollen NEOS-Abgeordneter Douglas Hoyos und NGO-CEO Lohninger am Freitag ab 10.30 Uhr im Rahmen einer Pressekonferenz bekannt geben. "Heute" wird aktuell berichten.