Wirtschaft

GIS-Datenaffäre: Unternehmer erstattete Strafanzeige

Der Datenschutz-Skandal rund um die ORF-Tochter GIS Gebühren Info Service GmbH, der ein Hacker neun Millionen österreichische Meldedaten gestohlen hat, hat ein rechtliches Nachspiel.

Der Wiener Datenschutz-Anwalt Robert Haupt hat im Namen eines Mandanten, Inhaber einer Tischlerei, wegen des Verdachts des widerrechtlichen Zugriffs auf ein Computersystem Strafanzeige gegen Unbekannt erstattet. Tatsächlich richtet sich die Anzeige gegen Verantwortliche jener in der Öffentlichkeit noch unbekannten IT-Firma, die für die GIS tätig war und das Datenleck verursachte.

„Mein Mandant wünscht sich Aufklärung, fordert Schadenersatz und schließt sich dem Verfahren als Geschädigter an“, sagt Haupt zum KURIER. „Die neun Millionen betroffenen Österreicher haben einen Schaden aufgrund des Kontrollverlusts über ihre Meldedaten. Sie wissen nicht, wohin überall ihre Daten gelangt sind.“

Schlag ins Gesicht

„An die Daten war der Hacker durch Nachlässigkeit bei jener Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichische Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger“, heißt es in der Anzeige. „Ein Mitarbeiter des Subunternehmens dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung im Internet verfügbar; vermutlich für eine Woche.“ Die Daten konnten über eine spezielle Suchmaschine aufgefunden werden.

Der Datendiebstahl wurde bereits 2020 bekannt, aber erst im November 2022 mit der Festnahme eines Hackers in den Niederlanden von den Behörden geklärt.

Persönlich erschüttert

„Ich bin erschüttert über die Fahrlässigkeit im Umgang mit Meldedaten. Ich weiß, wie intensiv für mich die Umsetzung der Datenschutzgrundverordnung DSGVO in meinem Betrieb war, und was alles angedroht wurde, wenn man nicht rechtskonform handelt“, sagt der Tischler. „Dass eine Pressemitteilung reicht, um Betroffene des Datenverlusts darüber zu informieren, ist ein Schlag ins Gesicht jedes Unternehmers, der die DSGVO rechtskonform umzusetzen versucht.“