Die Neos haben am Montag ein Gutachten zum "Ergänzungsregister für sonstige Betroffene" präsentiert - über dieses waren möglicherweise jahrelang sensible Daten offen zugänglich. Das Anwaltsnetzwerk Deloitte Legal bestätigte darin die Ansicht, dass die meisten Daten nie gespeichert werden hätten dürfen. "Es müsste die gesamte Datenbank gelöscht werden", sagte der Neos-Abgeordnete Douglas Hoyos.

"Nahezu alle Datensätze, die hier drinnen sind", seien rechtswidrig gespeichert worden. Die Bundesregierung müsse endlich tätig werden. Denn "nur weil die Daten offline sind, heißt das ja noch lange nicht, dass die Daten nicht mehr verarbeitet werden", stellte Hoyos klar. Außerdem gelte es, die Hintergründe des Skandals aufzuarbeiten, sowie abzuklären, welche weiteren rechtlich bedenklichen Register es gibt.

Über das Ergänzungsregister waren bis vor kurzem - ehe das Wirtschaftsministerium die Datenbank vom Netz nahm - sensible Informationen wie Wohnadresse und Geburtsdatum von Hunderttausenden Österreichern abrufbar gewesen. Namentlich erwähnt wurden etwa Bundespräsident Alexander Van der Bellen, Ex-FPÖ-Chef Heinz-Christian Strache und viele Künstler und Freiberufler. Das Ministerium berief sich auf die Ergänzungsregisterverordnung 2009, wonach die Daten zu speichern und das Register öffentlich zu führen sei.

Eingriff in Grundrecht auf Datenschutz

Wie in dem Gutachten jedoch mehrmals betont wird, trifft dies nicht auf natürliche Personen zu, die bereits im Zentralen Melderegister erfasst sind - also auf eine große Mehrheit der Österreicher. Das "Ergänzungsregister für sonstige Betroffene" sei auf Basis der geltenden Rechtslage "nur für juristische Personen, Personenmehrheiten und Einrichtungen zu führen".

Zulässig ist demnach nur die Listung von Einzelunternehmern, die nicht im Zentralen Melderegister zu finden sind. In diesem Fall müsse die Eintragung aber im "Ergänzungsregister für natürliche Personen" erfolgen, das nicht öffentlich zu führen ist.

Konkret heißt es: "Die von den betroffenen Einzelunternehmern nicht beantragte Offenlegung ihrer personenbezogenen Daten im öffentlich frei zugänglichen Ergänzungsregister für sonstige Betroffene (ERsB) stellt einen Eingriff in deren verfassungsrechtliches Grundrecht auf Datenschutz dar. Gründe, die diesen Eingriff zu rechtfertigen vermögen, sind nicht zu erkennen. Konsequenterweise steht es den betroffenen Einzelunternehmern frei, ihre datenschutzrechtlichen Ansprüche (insbesondere auf Löschung) gegen die verantwortliche Stelle geltend zu machen."

Das Gutachten ist auf der NEOS-Webseite unter https://www.neos.eu/datenleck abrufbar und wird auch der Regierung übermittelt. Die Partei hat auch zwei Formulare zur Verfügung gestellt, die von möglichen Betroffenen an das Wirtschaftsministerium geschickt werden können: ein Auskunftsbegehren gemäß der Datenschutz-Grundverordnung (DSGVO) sowie ein Aufruf zur Datenlöschung. Falls das Ministerium dem nicht nachkommt, könnten Betroffene allenfalls weitere rechtliche Schritte setzen.

Aus dem Gutachten gehe ganz klar hervor, "dass es nicht rechtlich gedeckt ist, dass die Daten dort gespeichert werden", sagte Hoyos. Warum die Regierung trotz der Rechtslage keine Reaktion gezeigt habe - abgesehen von der Ankündigung einer Task Force - sei nicht nachvollziehbar. Es zeige, "dass die Bundesregierung das Wort Fehler leider in ihrem Vokabular nicht drinnen hat". Auch der generelle "Laisser-faire-Umgang mit dem Thema Datenschutz" bei Türkis-Grün sei erkennbar.

Es seien noch ganz viele Fragen offen. Zu klären sei etwa, warum der Covid-19-Härtefallfonds teilweise über diese Datenbank abgewickelt werden musste und ob es konkrete Versuche gab, Daten abzusaugen. Die Regierung hat dies verneint, da es technisch nicht möglich sei. Man wisse aber, "das Dark Web hat ganz, ganz viele Ecken", warf Hoyos ein.