In der Causa um 2020 gestohlene Meldedaten im Umfeld der GIS wird der ORF-Beitrags Service (OBS) das Höchstgericht einschalten, um gegen ein Erkenntnis des Bundesverwaltungsgerichtes (BVwG) vorzugehen. Das von einer Privatperson initiierte Verfahren sei zu dem Schluss gekommen, die GIS – als Geschädigte – hätte sich fehlerhaft verhalten. Die OBS würde nun alle rechtlichen Möglichkeiten dagegen ausschöpfen und den VwGH anrufen, hieß es am Montag.
Damals wurden bei einem Dienstleister der GIS (Gebühren Info Service GmbH) von einem Hacker alte Meldedaten aus dem Jahr 2019 gestohlen. Dieser wurde im Dezember 2022 in den Niederlanden gefasst und verurteilt. Die GIS hätte damals umgehend alle nötigen Maßnahmen ergriffen, auch die Datenschutzbehörde habe deren Vorgehen geprüft und das Verfahren ohne Beanstandungen eingestellt, betonte der ORF, für den das Erkenntnis des BVwG nicht nachzuvollziehen sei. Die damalige Kommunikation wäre nicht ausreichend gewürdigt worden.
Umgehend untersucht
Der ORF argumentiert, die GIS habe den seinerzeitigen Sicherheitsvorfall umgehend untersucht und der Datenschutzbehörde gemeldet sowie die Öffentlichkeit informiert. Die Datenschutzbehörde habe dazu Aufsichtsverfahren eingeleitet, jedoch keine Beanstandungen ausgesprochen oder Anweisungen zu weiteren Tätigkeiten erteilt und das Verfahren eingestellt.
Zudem sei ein Dienstleister und nicht die GIS gehackt worden. Dabei handelt es sich um eine Straftat, die von einem Dritten begangen wurde und deren Konsequenzen nicht dem Geschädigten angelastet werden sollten. Die Details der Straftat wären weiterhin nicht restlos geklärt, da u.a. der Täter bis heute nicht befragt worden sei, obwohl er in den Niederlanden inhaftiert und somit greifbar wäre.
Weitreichende Folgen
Ohne letztinstanzliche Klärung würde das Erkenntnis des Bundesverwaltungsgerichtes weitreichende Folgen für alle jene haben, die von einer Hackerattacke bei ihrem Dienstleister betroffen sind – Unternehmen genauso wie Freiberufler oder etwa auch öffentliche Einrichtungen. „Es würde somit allen an Rechtssicherheit für die Zukunft fehlen“, hieß es in der Mitteilung.
Zudem wären die entwendeten Daten sichergestellt, ein weiteres Risiko einer missbräuchlichen Verwendung bestünde nicht. Es seien außerdem nicht sensible, sondern weitgehend ohnehin öffentlich zugängliche Daten, die teilweise nicht mehr aktuell waren.
An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichischen Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger. Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten.
Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Ein Mitarbeiter dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung etwa für eine Woche im Internet verfügbar. Dort stieß der Hacker auf die Informationen, die dieser an verdeckte Fahnder verkaufte, die den Niederländer in weiterer Folge ausfindig machten.
