ORF-Tochter GIS hat bei riesigem Datenleck gegen Verordnung verstoßen
Von Georg Leyrer
Nach dem großen Datenleck bei der GIS Gebühren Info Service GmbH, bei dem ein Hacker neun Millionen österreichische Meldedaten mit Adressen und Geburtsdaten entwendet hat, hat die Datenschutzbehörde einer Beschwerde Recht gegeben: Die GIS habe das Recht auf Geheimhaltung verletzt, das auf Grund der Datenschutzgrundverordnung gegolten hat. Die GIS habe "es mangels geeigneter technischer und organisatorischer Maßnahmen (...) ermöglicht hat, dass personenbezogene Daten der beschwerdeführenden Partei (...) zumindest einer dritten Person (Hacker) unrechtmäßig zugänglich wurden", heißt es in dem Bescheid.
Mehr lesen: Datenleck bei der GIS ist jetzt Fall für Datenschutzbehörde
Abgewiesen wurden die Beschwerden, dass die GiS die Daten nicht an Dritte für technische Zwecke hätte weitergeben dürfen und ihre Benachrichtigungspflicht nach dem Leck verletzt habe.
Beim Wiener Anwalt Robert Haupt hatten sich mehr als 2.000 Betroffene gemeldet, die gegen die GIS rechtlich vorgehen und Schadenersatz geltend machen wollen. Zuvor hat bereits ein betroffener Unternehmer, der Inhaber einer Tischlerei, Strafanzeige erstattet. Dieser Tischler hatte die Beschwerde bei der Datenschutzbehörde eingereicht, über die nun entschieden wurde.
„An die Daten war der Hacker durch Nachlässigkeit bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger“, hieß es in der Beschwerde. „Ein Mitarbeiter des Subunternehmens dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar; vermutlich für eine Woche.“
"Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht", heißt es in der Datenschutzverordnung. Die verarbeitende Firma habe jedoch keine geeigneten Schutz getroffen, um diese Geheimhaltung zu sichern heißt es nun. Aber die GIS habe "durch die grundsätzliche Heranziehung eines IT-Unternehmens als Auftragsverarbeiter nicht gegen § 1 Abs. 1 DSG verstoßen". Die GIS kann gegen den Bescheid Beschwerde einlegen.