Advertorial
Dieser Artikel befindet sich derzeit im Archiv
You've been hacked: Der GIS Datenskandal und seine Folgen
GIS Datenleck aufgeklärt: Was bisher geschah
Bereits im Mai 2020 war bekannt geworden, dass die GIS von einem Datendiebstahl betroffen sein könnte. Die Behörden nahmen umgehend Ermittlungen auf – den Ausschlag dazu hatte dem Vernehmen nach gegeben, dass österreichische Daten im Darknet zum Verkauf angeboten worden waren, deren Zusammensetzung auf von der GIS gespeicherte Informationen hingewiesen hatte. Gerüchte darüber waren bereits seit längerer Zeit kursiert, wie unter anderem Der Standard berichtete.
Verkäufer der Daten war "dicker Fisch"
Die Ermittlungen führten die Behörden in die Niederlande: Ein Hacker hatte dort offiziellen Angaben zufolge die Daten gestohlen und zum Verkauf ins Darknet gestellt. Der vom Bundeskriminalamt als "ganz dicker Fisch" bezeichnete 25-Jährige wurde vergangenen November in Holland festgenommen. Er war ausgeforscht worden, nachdem er die Daten für einen mittleren vierstelligen Betrag in Bitcoin unwissentlich direkt an die Fahnder veräußert hatte.
Insgesamt hatte der Hacker rund 130.000 Datenbanken auf seinen Servern gelagert, wie die Ermittlungen weiter ergaben – darunter auch Patientendaten aus Großbritannien, Kolumbien, China, Thailand und den Niederlanden. Bei den österreichischen Daten handelt es sich um Adressen, Namen und Geburtsdaten aus dem österreichischen Melderegister. Diese darf die GIS verwenden, um die Rundfunkgebühren für den ORF einzutreiben.
Während die Ermittlungen mit der Festnahme des Hackers für die österreichischen Behörden abgeschlossen sind, kann nicht ausgeschlossen werden, dass diese weiter im Netz kursieren: "Daten, die im Netz sind, bleiben im Netz", so ein Sprecher des Bundeskriminalamts gegenüber Puls 24.
Wie konnte der Hacker an die Daten gelangen?
Verursacht haben soll das Datenleck ein renommiertes Wiener IT-Unternehmen. Dieses war von der GIS mit der Neustrukturierung ihrer Datenbank beauftragt worden. Ein Mitarbeiter der Firma soll dann für einen Testvorgang die echten, unverschlüsselten Daten online gestellt haben, wo sie laut Bundeskriminalamt eine Woche lang abrufbar gewesen waren.
Daten unverschlüsselt im Internet: Wer ist Schuld?
Gegen die Vorgehensweise der GIS, welche die Daten überhaupt erst zur Verfügung gestellt hatte, sei rechtlich nichts einzuwenden, so Rechtsanwalt Sascha Jung, Leiter des Datenschutzteams bei Deloitte Legal, im Gespräch mit Puls 24: "Was nicht sein darf, ist die Panne beim Sub-Unternehmen."
Grundsätzlich ist die GIS dazu berechtigt, Daten an externe Dienstleister weiterzugeben. Diese haben dann laut Gesetz dafür Sorge zu tragen, dass die entsprechenden Daten DSGVO-konform verarbeitet werden und der Schutz der Rechte Betroffener gewährleistet ist.
9 Millionen Österreicher von GIS-Datenleck betroffen
Vom Datenskandal betroffen sind fast alle Österreicherinnen und Österreicher. Datenschutzexperten zeigen sich empört, die Folgen seien gravierend: "Die private Adresse von so gut wie allen Menschen in Österreich muss mit diesem Hack als kompromittiert angesehen werden, und das erhöht das Risiko von Identitätsdiebstahl und anderen Gefahren für uns alle", so Daniel Lohninger vom Datenschutzverein Epicenter Works. Das Verhalten der GIS und ihrer Dienstleister sei demnach grob fahrlässig, da man nicht mit generischen Daten, sondern mit den echten Daten der Menschen getestet habe.
Möglichkeiten für Betroffene: Das können Sie tun
Gegen die GIS selbst wurden sämtliche Verfahren der Datenschutzbehörde eingestellt. Zum einen sei das Datenleck umgehend gemeldet worden, darüber hinaus habe man die Betroffenen durch eine Presseaussendung informiert.
Datenschutzexperte Lohninger wittert hier grobe Verstöße: Seiner Auffassung nach reicht eine einfache Pressemitteilung nicht aus – die Verantwortlichen haben "nicht einmal die grundlegende Verpflichtung laut DSGVO eingehalten, indem man es bisher verabsäumt hat, die Betroffenen zu informieren."
Anwalt Axel Anderl hingegen schätzt das Risiko für Betroffene als nicht groß genug für eine Informationspflicht ein: Die betroffenen Daten seien über das ZMR (Zentrales Melderegister) ohnehin für jeden zugänglich.
Wer kann Schadenersatz beantragen?
Über ein Auskunftsbegehren bei der GIS kann zunächst in Erfahrung gebracht werden, ob man vom Datenleck betroffen ist. Grundsätzlich können Betroffene in solchen Fällen Schadenersatz einklagen – dazu sei jedoch in der Regel ein tatsächlicher materieller Schaden nötig, wie Rechtsanwalt Sascha Jung gegenüber Puls 24 erklärt.
Bei einem ideellen Schaden oder "bloßem Unwohlsein" sei die Rechtsprechung dagegen eher restriktiv. Sollte sich herausstellen, dass auch Kontodaten oder Aufzeichnungen zu Hausbesuchen unter den Daten waren, kann sich die Beurteilung des Vorfalls seitens der Behörden allerdings noch drastisch ändern.
Beschwerde bei der Datenschutzbehörde
Für Verstöße gegen die DSGVO ist die Datenschutzbehörde zuständig. Hier kann Beschwerde einreichen, wer zum Beispiel innerhalb eines Monats nach erfolgtem Antrag keine Auskunft zur Verarbeitung seiner Daten erhält.
Datenlöschung bei der GIS beantragen
Ein Recht auf Löschung der eigenen Daten bei der GIS besteht nur dann, wenn diese unrechtmäßig verarbeitet wurden. In ihrer Datenschutzerklärung gibt die GIS an, grundsätzlich im öffentlichen Interesse tätig und daher von Teilen der Datenschutzgrundverordnung ausgenommen zu sein, weshalb kein Recht auf Datenübertragbarkeit bestehe.
Was sagt die GIS selbst zum Datenskandal?
GIS-Geschäftsführer Alexander Hirschbeck weist darauf hin, dass man von Anfang an mit den zuständigen Ermittlungsbehörden vollumfänglich kooperiert habe. Geprüft werde darüber hinaus gemeinsam mit der Staatsanwaltschaft, ob für die GIS eigene Ansprüche gegenüber dem festgenommenen Täter bestehen.
Weiterführende Infos:
- Standard-Artikel: "Hacker erbeutete neun Millionen Meldedaten aus Datenbank der GIS" (25.01.2023)
- Artikel von Puls 24: "'Daten bleiben im Netz': Welche Folgen hat das GIS-Daten-Leck?" (26.01.2023)
weitere interessante Beiträge
Hinterlassen Sie einen Kommentar!