Was ist ein Datenleck und was ist keines? Über diese semantische Frage gibt es Auffassungsunterschiede zwischen dem Wirtschaftsministerium und den Neos. Die Oppositionspartei hatte, unterstützt von der Datenschutzorganisation Epicenter.Works, aufgebracht, dass rund um die Abwicklung des Corona-Härtefallfonds bis gestern Abend die persönlichen Daten von einer Million Bürgerinnen und Bürgern öffentlich einsehbar waren und sprachen vom "größten Datenschutzskandal der Zweiten Republik". Das Wirtschaftsministerium wollte auf Anfrage der "Wiener Zeitung" dagegen festgehalten wissen, dass es sich in der Causa "weder um ein Datenleck, noch um Datenklau handle". Man werde dennoch eine "Task Force auf Expertenebene einrichten".

Fest steht: Bezüglich Datenschutzes war die Datenbank keine Bank. Im "Ergänzungsregister für sonstige Betroffene", das seit elf Jahren öffentlich einsehbar ist, fanden sich für jedermann über eine Website einsehbar Name, Geburtsdatum, und aktuelle Privatadresse von rund einer Million Personen. Laut Neos-Abgeordneten Douglas Hoyos gehe es dabei vor allem um Selbstständige, die während der vergangenen Jahre über Zusatzeinkünfte verfügten – aber offenbar nicht nur.

Private Adressen waren jahrelang einsehbar

In der Datenbank fanden sich etliche Personen von öffentlichem Interesse. Neben Bundespräsident Alexander Van der Bellen, Ex-FP-Chef Heinz-Christian Strache und weiteren Politikern schienen auch Journalistinnen und diverse Prominente auf. Adressen sind zwar auch in Telefonbüchern öffentlich, meist allerdings nicht bei Personen öffentlichen Interesses.

Neos-Abgeordneter Hoyos berichtet der "Wiener Zeitung" etwa auch vom Fall einer Psychotherapeutin, die mit besonders heiklen Fällen betraut ist, und deshalb immer wieder bedroht wurde. "Die hat natürlich ein besonderes Interesse, dass ihre Adresse nicht öffentlich ist." Laut Hoyos ist das Register seit der Nacht auf Freitag nicht mehr online zugänglich.

Bekannt war die Datenbank schon seit Jahren. Ihre aktuelle Berühmtheit erlangte sie aber erst mit der Abwicklung des Härtefallsfonds. Denn zur Beantragung der Hilfen brauchten Selbstständige eine Identifikationsnummer aus der Datenbank. Dabei entdeckten zahlreiche Bürgerinnen und Bürger, dass ihre Daten mit wenigen Klicks öffentlich einsehbar waren, sagt Hoyos.

Die Kabinette der Minister müssten demnach erst recht von den Daten gewusst haben, meint Hoyos: "Dass in den Ministerien nicht darauf reagiert wurde, ist ein Skandal." Die Verantwortung sieht er sowohl im Wirtschafts- als auch im Finanzministerium.

Fehlende Absicherung gegen Datenhändler?

Neben der öffentlichen Einsehbarkeit der Adressen betroffener Personen, die im Extremfall auch zu Stalking oder physischen Bedrohungen führen kann, bedeuten die öffentlichen Datensätze laut Experten noch ein zweites Problem: Die Datenbank habe über kein so genanntes "Captcha" verfügt, also eine Absicherung, dass Eingaben auf der Website von einem Menschen und nicht einem Roboter erfolgten. Demnach könnten Datenhändler völlig automatisiert die gesammelten Datensätze von einer Million Bürgern abgegriffen haben, wie Datenschützer warnten. Einem "Absaugen" von Daten sei bereits seit 2017 durch technische Blockaden vorgebeugt worden, ließ dagegen das Wirtschaftsministerium in Beantwortung der "Wiener Zeitung"-Anfrage wissen. Was aber könnten Datenhändler überhaupt mit derartigen Daten anfangen?

"Im Darknet wird mit solchen Datensätzen gehandelt und sie sind eine Goldgrube", sagt Iwona Laub von der Datenschutzorganisation Epicenter.Works zur "Wiener Zeitung". Im harmlosesten Fall würden diese Daten für Werbung eingesetzt. Mit massenhaft abgegriffenen Daten könnte aber auch Identitätsdiebstahl begangen werden. Das werde in vielen Fällen genutzt, um über soziale Netzwerke Spam oder gar Schadsoftware zu versenden.

SPÖ und FPÖ stützen Kritik der Neos

SPÖ und FPÖ unterstützten die Neos in ihrer Kritik. "Wenn die Abwicklung über finanzonline gelaufen wäre, wie von der SPÖ gefordert, wäre dieser Skandal nicht passiert", sagte SPÖ-Wirtschaftssprecher Christoph Matznetter. Seitens der Koalition versprachen die Grünen Änderungen, während die ÖVP die Neos attackierte. ÖVP-Klubchef August Wöginger hielt der Oppositionsfraktion künstliche Aufregung und Skandalisierungsversuche vor.