Was ist ein Datenleck und was ist keines? Über diese semantische Frage gibt es Auffassungsunterschiede zwischen dem Wirtschaftsministerium und den Neos. Die Oppositionspartei hatte, unterstützt von der Datenschutzorganisation Epicenter.Works, aufgebracht, dass rund um die Abwicklung des Corona-Härtefallfonds bis gestern Abend die persönlichen Daten von einer Million Bürgerinnen und Bürgern öffentlich einsehbar waren, und sprachen vom "größten Datenschutzskandal der Zweiten Republik". Das Wirtschaftsministerium wollte auf Anfrage der "Wiener Zeitung" dagegen festgehalten wissen, dass es sich in der Causa "weder um ein Datenleck, noch um Datenklau handle". Man werde dennoch eine "Task Force auf Expertenebene einrichten".

Fest steht: Bezüglich Datenschutzes war die Datenbank keine Bank. Im "Ergänzungsregister für sonstige Betroffene", das seit elf Jahren öffentlich einsehbar ist, fanden sich für jedermann über eine Website einsehbar Name, Geburtsdatum, und aktuelle Privatadresse von rund einer Million Personen. Laut Neos-Abgeordneten Douglas Hoyos gehe es dabei vor allem um Selbständige, die während der vergangenen Jahre über Zusatzeinkünfte verfügten - aber offenbar nicht nur.

Private Adressen waren jahrelang einsehbar

In der Datenbank fanden sich etliche Personen von öffentlichem Interesse. Neben Bundespräsident Alexander Van der Bellen, Ex-FP-Chef Heinz-Christian Strache und weiteren Politikern schienen auch Journalistinnen und diverse Prominente auf. Adressen sind zwar auch in Telefonbüchern öffentlich, meist allerdings nicht bei Personen öffentlichen Interesses.

Neos-Abgeordneter Hoyos berichtet der "Wiener Zeitung" etwa auch vom Fall einer Psychotherapeutin, die mit besonders heiklen Fällen betraut ist und deshalb immer wieder bedroht wurde. "Die hat natürlich ein besonderes Interesse, dass ihre Adresse nicht öffentlich ist." Laut Hoyos ist das Register seit der Nacht auf Freitag nicht mehr online zugänglich.

Bekannt war die Datenbank schon seit Jahren. Ihre aktuelle Berühmtheit erlangte sie aber erst mit der Abwicklung des Härtefallsfonds. Denn zur Beantragung der Hilfen brauchten Selbstständige eine Identifikationsnummer aus der Datenbank. Dabei entdeckten zahlreiche Bürgerinnen und Bürger, dass ihre Daten mit wenigen Klicks öffentlich einsehbar waren, sagt Hoyos.

Die Kabinette der Minister müssten demnach erst recht von den Daten gewusst haben, meint Hoyos: "Dass in den Ministerien nicht darauf reagiert wurde, ist ein Skandal." Die Verantwortung sieht er sowohl im Wirtschafts- als auch im Finanzministerium.

Neben der öffentlichen Einsehbarkeit von Adressen, die im Extremfall auch zu Stalking oder physischen Bedrohungen führen kann, bedeuten die öffentlichen Datensätze noch ein zweites Problem: Die Datenbank verfügte über kein sogenanntes "Captcha", also eine Absicherung, dass Eingaben auf der Website von einem Menschen erfolgten. Demnach könnten Datenhändler völlig automatisiert die Datensätze von einer Million Bürgern abgegriffen haben.

SPÖ und FPÖ stützen
Kritik der Neos

"Im Darknet wird mit solchen Datensätzen gehandelt und sie sind eine Goldgrube", sagt Iwona Laub von der Datenschutzorganisation Epicenter.Works zur "Wiener Zeitung". Im harmlosesten Fall würden diese Daten für Werbung eingesetzt. Mit massenhaft abgegriffenen Daten könnte aber auch Identitätsdiebstahl begangen werden. Das werde in vielen Fällen genutzt, um über soziale Netzwerke Spam oder gar Schadsoftware zu versenden.

SPÖ und FPÖ unterstützten die Neos in ihrer Kritik. "Wenn die Abwicklung über finanzonline gelaufen wäre, wie von der SPÖ gefordert, wäre dieser Skandal nicht passiert", sagte SPÖ-Wirtschaftssprecher Christoph Matznetter. Seitens der Koalition versprachen die Grünen Änderungen, während die ÖVP die Neos attackierte. ÖVP-Klubchef August Wöginger hielt der Oppositionsfraktion künstliche Aufregung und Skandalisierungsversuche vor.