Eingelangt am 24.02.2023
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ANFRAGE

 

 

des Abgeordneten Christian Hafenecker, MA

an Bundesminister für Finanzen

betreffend Datenschutzskandal bei der GIS 

 

Wie erst vor wenigen Wochen aus den Medien zu entnehmen war, ereignete sich bereits im Juni 2020 ein Datenleck bei einem von der Gebühren Info Service GmbH (GIS) beauftragen IT-Subunternehmen, aufgrund dessen in weiterer Folge wohl insgesamt neun Millionen österreichische Meldedaten sowie möglicherweise auch noch eine Datenbank, die sich auf Gebäude bezog, unverschlüsselt für knapp eine Woche im Internet abrufbar waren.[1] Man kann daher durchaus vom größten Datenschutzskandal in der Geschichte Österreichs sprechen.

 

Denn diese hochsensiblen und privaten Daten nahezu aller Einwohner Österreichs blieben freilich nicht unentdeckt. Ein Hacker aus den Niederlanden stahl und verkaufte in weiterer Folge die Meldedaten im Internet. Es ist nicht klar, wie oft die Daten von der mittlerweile verhafteten Person verkauft wurden. Identitätsdiebstahl und anderen kriminellen Aktivitäten im Namen nahezu aller Österreicher ist damit seit mittlerweile knapp drei Jahren Tür und Tor geöffnet. Zudem sei angemerkt, dass dieser riesige und historisch wohl einzigartige Datendiebstahl nicht passiert wäre, wenn nicht schon längst ein Ende der Einhebung der GIS-Gebühr zur Finanzierung des ORF durch die politischen Verantwortlichen in der Bundesregierung herbeigeführt worden wäre. Denn die hochsensiblen Daten wurden offenbar von der GIS für das Aufspüren von sogenannten „GIS-Gebühren-Vermeider“ verwendet.

 

Die GIS verwaltet laut eigenen Angaben rund 3,66 Mio. Haushalte datenmäßig als „Teilnehmer“, darüber hinaus werden auch die nicht als „Teilnehmer“ geführten Haushalte datenmäßig erfasst, um die (laut GIS-Homepage) Aufgabe der „Aufforderung zur Abgabe einer Mitteilung, ob an einem Standort Rundfunkempfangseinrichtungen betrieben oder betriebsbereit gehalten werden“, sowie die „Veranlassung der Einbringung von Gebühren im Verwaltungsweg“ zu gewährleisten. Im Zuge der hoheitlichen Tätigkeiten im Bereich „Befreiung von den Rundfunkgebühren“ bzw. „Bezuschussung zum Fernsprechentgelt“ werden (aktuell) etwa 286.000 Haushalte datenmäßig weit über dem bloßen Rundfunkgebühren-"Teilnehmer"-Standard erfasst. Hier werden Unterlagen nicht nur vom Antragsteller, sondern von allen im gemeinsamen Haushalt lebenden Personen erfasst. In diesem Bereich handelt es sich also um Daten von weit mehr als 286.000 Personen. Darüber hinaus handelt es sich bei den 286.000 Haushalten und den daran angeschlossenen Personen ja nur um jene Personen, die aktuell „befreit“ sind.
Die Daten von zu einem früheren Zeitpunkt „befreiten“ Personen bzw. von Personen, die zu einem früheren Zeitpunkt mit einer „befreiten“ Person in einem gemeinsamen Haushalt zusammengelebt haben, sind höchstwahrscheinlich auch bei der GIS gespeichert. Es bedarf daher dringender Klärung, welche Daten in welchem Ausmaß tatsächlich „verloren“ gingen.

 

Neben dem fragwürdigen und fahrlässigen Umgang des von der GIS beauftragten Sub-Unternehmens mit hochsensiblen Daten, gilt es auch zu klären, warum dieser Vorfall entgegen den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) nicht sofort an die Betroffenen kommuniziert wurde, sondern erst Ende Jänner 2023 via Medien seinen Weg an die Öffentlichkeit fand.[2] Das verwundert umso mehr, weil laut den zuständigen Ermittlern die Relevanz von Meldedaten in den falschen Händen nicht zu unterschätzen sei. In weiterer Folge müsste es gemäß DSGVO sowohl für die GIS als auch das IT-Subunternehmen schwerwiegende rechtliche Konsequenzen setzen.

 

 

In diesem Zusammenhang richtet der unterfertigte Abgeordnete nachstehende Anfrage an den Bundesminister für Finanzen

 

Anfrage

 

1. Wann und auf welchem Wege erfuhren Sie respektive das Bundesministerium für Finanzen, als oberste Weisungsinstanz, von dem Datenleck bei der Gebühren Info Service GmbH (GIS)?
2. Wurden Untersuchungen eingeleitet, wie es zu diesem Datenverlust gekommen ist?
1. Wenn ja, zu welchen Ergebnissen kam man bisher?
3. Steht Ihr Ressort im Austausch mit der GIS GmbH betreffend des Datenlecks?
1. Wenn ja, wie sieht dieser Austausch konkret aus?
4. Wie viele österreichische Staatsbürger sind aktuell vom dem Datenleck betroffen?
5. Gingen abgesehen von den Meldedaten noch weitere Daten verloren und wenn ja, welche?
6. Warum und basierend auf welcher Rechtsgrundlage darf die GIS GmbH Meldedaten und andere hochsensible Daten an Subunternehmen weitergeben?
1. Wie ist der aktuelle Status Quo zwischen GIS GmbH und besagtem Subunternehmen, wurde die Zusammenarbeit gekündigt?
2. Um welches Subunternehmen handelt es sich hierbei?
3. Wie hoch waren die Kosten für die Zusammenarbeit mit dem Subunternehmen?
4. Wird sich im Falle einer Verurteilung nach dem Datenschutzgesetz, die GIS GmbH bei dem Subunternehmen schadlos halten?
5. Gibt es weitere Subunternehmen, die Zugriff auf Personendaten der GIS GmbH haben?
7. Wird sich im Falle einer Verurteilung nach dem Datenschutzgesetz das Finanzministerium bzw. die Republik Österreich bei der GIS GmbH schadlos halten?
8. Wurden alle DSGVO–Richtlinien in der GIS GmbH eingehalten?
1. Wer war für die Einhaltung der DSGVO–Richtlinien in der GIS GmbH verantwortlich?
9. Warum wurden Betroffene und die Öffentlichkeit erst knapp zweieinhalb Jahre nach dem Verlust ihrer persönlichen Daten durch die GIS GmbH informiert und nicht umgehend, wie es die DSGVO vorschreibt?
10. Welche Daten der österreichischen Bürger erhält die GIS GmbH von der Bundesverwaltung?  
1. Welche Kompetenzen hat die GIS GmbH im Umgang mit Meldedaten und anderen sensiblen Daten der österreichischen Bürger, die unter die DSGVO fallen?
11. Welche Konsequenzen und Maßnahmen setzen Sie respektive Ihr Ressort als Medienverantwortliche nach diesem fahrlässigen Umgang mit personenbezogenen Daten durch die GIS GmbH und ihr beauftragtes Subunternehmen?