Eine ziemlich alte Datenbank und der „größte Datenskandal der Republik“
Medienwirksam wurde uns am Donnerstag der „größte Datenskandal der Republik“ von der Oppositionspartei NEOS und der Datenschutzorganisation epicenter.works versprochen. Warum die große Aufregung? Im Kern geht es um eine 11 Jahre alte Online-Datenbank namens Ergänzungsregister für sonstige Betroffene (ERsB), die während der Corona-Krise wieder in die Öffentlichkeit gerückt ist und am Donnerstag Abend offline genommen wurde.
Bis dahin sollen unzählige Nutzer sich durch die Einträge gesucht haben und hätten dort theoretisch auch die Privatadressen von Bundespräsident Alexander van der Bellen, Künstler Andre Heller, Wirtschaftsministerin Margarete Schramböck oder DJ Ötzi finden können. epicenter.works zufolge sollen die persönlichen Daten von einer Million Personen einsehbar gewesen sein, und zwar seit langem.
Die berühmte Ordnungsnummer
Diese Datenbank ist schon seit mehr als zehn Jahren öffentlich einsehbar, gestoßen hat sich bisher niemand daran. Bis jetzt. Doch im Zuge der Umsetzung des Härtefallfonds ist das Ergänzungsregister wieder öfter auf den Bildschirmen des Landes aufgepoppt. Ziemlich oft sogar, in den letzten Tagen soll es mehr als eine Million Aufrufe gegeben haben. Das fiel immer mehr Menschen auf, die sich dann schließlich an die NEOS wandten.
Das Register ist für alle jene wichtig geworden, die im Zuge der Auswirkungen der Corona-Krise Hilfsgelder aus dem Härtefallfonds bei der Wirtschaftskammer beantragt haben. Kleinstunternehmer, EPU, Selbstständige – sie müssen teilweise die nun berühmte Ordnungsnummer für die Beantragung eingeben. Und diese Ordnungsnummer findet sich eben im Ergänzungsregister sonstiger Betroffener (ON des ERsB).
So wurden nun viele Österreicher in den letzten Wochen und Monaten auf das ERsB aufmerksam, welches auf der Webseite des Wirtschaftsministeriums zu finden ist – und einigen fiel auf, dass sich da ja nicht nur die eigene Ordnungsnummer, sondern auch die Daten von vielen anderen Menschen – darunter auch etwa hundert Nationalratsabgeordnete und einige Regierungsmitglieder – recherchieren ließen. Und nicht nur das: Weil es keine Sicherheitsmechanismen gab, hätte theoretisch die gesamte Datenbank automatisiert ausgelesen werden können.
Einzelunternehmer mit Privatadressen
Im ERsB sind Personen verzeichnet, die Einzelunternehmer sind oder waren, und das Delikate dabei ist: Es wird nicht die Firmenadresse eingetragen, sondern eben die Privatadresse. Manche zucken nun mit den Schultern und meinen: So what, jetzt hat also jemand meine Privatadresse herausfinden können – das geht auch anders. Für die NEOS und epicenter.works ist das aber der „größte Datenskandal der Republik“, der nach weiterer Aufklärung verlangt.
„Dieses Register war viel zu lange online“, sagt der Digitalisierungssprecher der NEOS, Douglas Hoyos. Vor allem beim Härtefallfonds, dessen Abwicklung schon länger in der Kritik steht, sieht Hoyos grobe Verfehlungen: „Spätestens beim Aufsetzen des Härtefallfonds hätte man auf dieses Register stoßen und sich damit beschäftigen müssen.“ Der Schätzung von epicenter.works zufolge sollen etwa Million Personen betroffen sein. In einer Verordnung zum ERsB, die aus der Zeit des ehemaligen SP-Bundeskanzlers Gusenbauer stammt, steht zwar drinnen, dass das Register öffentlich sein muss – doch ist das zeitgemäß?
Laut Ergänzungsregisterverordnung (Paragraf 14) ist das ERsB „als öffentliches Register zu führen, das von der Stammzahlenregisterbehörde im Internet verfügbar gehalten wird.“ 2018 ist die Datenschutzverordnung (DSGVO) der EU in Kraft getreten. Hätte man sich nicht spätestens da damit auseinandersetzen müssen, dass das ERsB einfach öffentlich zugänglich ist?
Kann man sich wehren?
Lisa Seidl, Juristin bei epicenter.works, zieht den Vergleich zu anderen Datenbanken in Österreich. „Der Zweck dieses öffentlichen Registers ist nicht ersichtlich. Öffentliche Register bringen regelmäßig Rechte und Pflichten mit sich, wie z.B. Eintragungen im ZMR, Firmenbuch oder Vereinsregister. Zwar kann die verwaltungsinterne Bereitstellung von Stammzahlen der Grund für die Erstellung des Ergänzungsregisters sein, das erklärt jedoch nicht seinen jahrelangen öffentlichen und hürdenfreien Zugang“, sagt sie.
Wo ist nun das große Problem zu finden? Hätte man die Daten missbrauchen können? Klar, kennt man die Wohnadresse eines Menschen, könnte sich ein potenzieller Einbrecher dort einmal umsehen – und sonst? Identitätsdiebstahl sei möglich, genauso wie Datenhandel. Aus den Daten könnte sich auch ableiten lassen, wann Steuererklärungen eingereicht oder ob Beihilfen bezogen wurden, sagt Thomas Lohninger von epicenter.works. „Noch viel dramatischer ist, dass die privaten Wohnadressen dieser Menschen öffentlich im Internet einsichtig sind und man sich nicht einmal dagegen wehren kann. Vom Bundespräsidenten abwärts ist fast jeder dort zu finden, der andere Einkünfte als aus nicht-selbstständiger Arbeit hat und hatte.“
Taskforce und parlamentarische Anfrage
Die ÖVP wirft den NEOS, die die Sache aufbrachten und epicenter.works ins Boot holten, nun vor, „in künstlicher Aufregung einen Skandal zu basteln“. „Das einzige, was die NEOS heute ‚aufdecken‘, ist ein peinlicher Irrtum, dem die NEOS unterliegen“, so August Wöginger, Klubobmann der Volkspartei, in einer Aussendung. Im Wirtschaftsministerium, wo das Online-Register nun liegt, hat man mittlerweile reagiert. Das ERsB wurde offline genommen, und Ministerin Margarete Schramböck hat Thomas Lohninger von epicenter.works dazu eingeladen, in einer Taskforce mitzuarbeiten, in der es um die Verbesserung des Registers geht. “Ich begrüße das, wir sind gerne dabei, lösungsorientiert die Dinge zu verbessern”, so Lohninger. Währenddessen fordern die NEOS die weitere Aufklärung und bereiten dazu eine parlamentarische Anfrage vor.
Eine Überarbeitung des Registers wollen auch die Grünen angehen. „In weiterer Folge muss die Verordnung überprüft und geklärt werden, ob und welche Veröffentlichung von Daten für den genannten Zweck überhaupt notwendig ist“, so Süleyman Zorba, netzpolitischer Sprecher der Grünen, in einer Aussendung: „Wir haben uns im Regierungsprogramm zu umfassendem Datenschutz bekannt. Die Verordnung muss vom Ministerium unter Einbindung von Expertinnen und Experten so überarbeitet werden, dass die Datenschutzinteressen der Bürgerinnen und Bürger gewahrt sind.“
Härtefallfonds funktioniert weiter
Die Ordnungsnummer aus dem Ergänzungsregister benötigt man übrigens nicht mehr bei der Beantragung von Zuschüssen beim Härtefallfonds, heißt es gegenüber Trending Topics aus der Wirtschaftskammer Österreich. Deswegen spielt es auch keine Rolle für Antragssteller, dass das ERsB derzeit nicht online ist. Das war nur während der ersten Phase notwendig, nicht aber bei der aktuell laufenden Phase 2.
Generell war eine GLN (Global Location Number) für die Beantragung notwendig. WKO-Mitglieder finden ihre GLN in ihrem eigenen Eintrag im Firmen A-Z unter firmen.wko.at, Freie Dienstnehmer mussten gar keine GLN angeben. Lediglich nicht protokollierte Einzelunternehmen mussten ihre GLN im Ergänzungsregister für sonstige Betroffene (ERsB) holen – und fanden sie dort als Kontrollnummer.