Startseite  Wien  News

Dieser Artikel befindet sich derzeit im Archiv

You've been hacked: Der GIS Datenskandal und seine Folgen

Hacker vor Bildschirm mit Daten
© Pixabay | You've been hacked: Was sind die Folgen des GIS Datenskandals?

Ein 25-Jähriger Niederländer hat neun Millionen Meldedaten heruntergeladen und im Internet zum Verkauf angeboten. Was sich liest wie der Prolog zum neuesten Netflix-Thriller, ist tatsächlich ein österreichischer Datenskandal, wie er im Buche steht.

Erstellt von:
Anzeige

GIS Datenleck aufgeklärt: Was bisher geschah

Bereits im Mai 2020 war bekannt geworden, dass die GIS von einem Datendiebstahl betroffen sein könnte. Die Behörden nahmen umgehend Ermittlungen auf – den Ausschlag dazu hatte dem Vernehmen nach gegeben, dass österreichische Daten im Darknet zum Verkauf angeboten worden waren, deren Zusammensetzung auf von der GIS gespeicherte Informationen hingewiesen hatte. Gerüchte darüber waren bereits seit längerer Zeit kursiert, wie unter anderem Der Standard berichtete.

Verkäufer der Daten war "dicker Fisch"

Die Ermittlungen führten die Behörden in die Niederlande: Ein Hacker hatte dort offiziellen Angaben zufolge die Daten gestohlen und zum Verkauf ins Darknet gestellt. Der vom Bundeskriminalamt als "ganz dicker Fisch" bezeichnete 25-Jährige wurde vergangenen November in Holland festgenommen. Er war ausgeforscht worden, nachdem er die Daten für einen mittleren vierstelligen Betrag in Bitcoin unwissentlich direkt an die Fahnder veräußert hatte.

Insgesamt hatte der Hacker rund 130.000 Datenbanken auf seinen Servern gelagert, wie die Ermittlungen weiter ergaben – darunter auch Patientendaten aus Großbritannien, Kolumbien, China, Thailand und den Niederlanden. Bei den österreichischen Daten handelt es sich um Adressen, Namen und Geburtsdaten aus dem österreichischen Melderegister. Diese darf die GIS verwenden, um die Rundfunkgebühren für den ORF einzutreiben.

Anzeige

Während die Ermittlungen mit der Festnahme des Hackers für die österreichischen Behörden abgeschlossen sind, kann nicht ausgeschlossen werden, dass diese weiter im Netz kursieren: "Daten, die im Netz sind, bleiben im Netz", so ein Sprecher des Bundeskriminalamts gegenüber Puls 24.

Wie konnte der Hacker an die Daten gelangen?

Verursacht haben soll das Datenleck ein renommiertes Wiener IT-Unternehmen. Dieses war von der GIS mit der Neustrukturierung ihrer Datenbank beauftragt worden. Ein Mitarbeiter der Firma soll dann für einen Testvorgang die echten, unverschlüsselten Daten online gestellt haben, wo sie laut Bundeskriminalamt eine Woche lang abrufbar gewesen waren. 

Daten unverschlüsselt im Internet: Wer ist Schuld?

Gegen die Vorgehensweise der GIS, welche die Daten überhaupt erst zur Verfügung gestellt hatte, sei rechtlich nichts einzuwenden, so Rechtsanwalt Sascha Jung, Leiter des Datenschutzteams bei Deloitte Legal, im Gespräch mit Puls 24: "Was nicht sein darf, ist die Panne beim Sub-Unternehmen."

Anzeige

Grundsätzlich ist die GIS dazu berechtigt, Daten an externe Dienstleister weiterzugeben. Diese haben dann laut Gesetz dafür Sorge zu tragen, dass die entsprechenden Daten DSGVO-konform verarbeitet werden und der Schutz der Rechte Betroffener gewährleistet ist.

9 Millionen Österreicher von GIS-Datenleck betroffen

Vom Datenskandal betroffen sind fast alle Österreicherinnen und Österreicher. Datenschutzexperten zeigen sich empört, die Folgen seien gravierend: "Die private Adresse von so gut wie allen Menschen in Österreich muss mit diesem Hack als kompromittiert angesehen werden, und das erhöht das Risiko von Identitätsdiebstahl und anderen Gefahren für uns alle", so Daniel Lohninger vom Datenschutzverein Epicenter Works. Das Verhalten der GIS und ihrer Dienstleister sei demnach grob fahrlässig, da man nicht mit generischen Daten, sondern mit den echten Daten der Menschen getestet habe.

Möglichkeiten für Betroffene: Das können Sie tun

Gegen die GIS selbst wurden sämtliche Verfahren der Datenschutzbehörde eingestellt. Zum einen sei das Datenleck umgehend gemeldet worden, darüber hinaus habe man die Betroffenen durch eine Presseaussendung informiert. 

Anzeige

Datenschutzexperte Lohninger wittert hier grobe Verstöße: Seiner Auffassung nach reicht eine einfache Pressemitteilung nicht aus – die Verantwortlichen haben "nicht einmal die grundlegende Verpflichtung laut DSGVO eingehalten, indem man es bisher verabsäumt hat, die Betroffenen zu informieren."

Anwalt Axel Anderl hingegen schätzt das Risiko für Betroffene als nicht groß genug für eine Informationspflicht ein: Die betroffenen Daten seien über das ZMR (Zentrales Melderegister) ohnehin für jeden zugänglich.

Schadenersatz gelten machen: Beratung vom Strafrecht-Experten

Wer kann Schadenersatz beantragen?

Über ein Auskunftsbegehren bei der GIS kann zunächst in Erfahrung gebracht werden, ob man vom Datenleck betroffen ist. Grundsätzlich können Betroffene in solchen Fällen Schadenersatz einklagen – dazu sei jedoch in der Regel ein tatsächlicher materieller Schaden nötig, wie Rechtsanwalt Sascha Jung gegenüber Puls 24 erklärt.

Bei einem ideellen Schaden oder "bloßem Unwohlsein" sei die Rechtsprechung dagegen eher restriktiv. Sollte sich herausstellen, dass auch Kontodaten oder Aufzeichnungen zu Hausbesuchen unter den Daten waren, kann sich die Beurteilung des Vorfalls seitens der Behörden allerdings noch drastisch ändern. 

Anzeige

Beschwerde bei der Datenschutzbehörde

Für Verstöße gegen die DSGVO ist die Datenschutzbehörde zuständig. Hier kann Beschwerde einreichen, wer zum Beispiel innerhalb eines Monats nach erfolgtem Antrag keine Auskunft zur Verarbeitung seiner Daten erhält. 

Datenlöschung bei der GIS beantragen

Ein Recht auf Löschung der eigenen Daten bei der GIS besteht nur dann, wenn diese unrechtmäßig verarbeitet wurden. In ihrer Datenschutzerklärung gibt die GIS an, grundsätzlich im öffentlichen Interesse tätig und daher von Teilen der Datenschutzgrundverordnung ausgenommen zu sein, weshalb kein Recht auf Datenübertragbarkeit bestehe.

Was sagt die GIS selbst zum Datenskandal?

GIS-Geschäftsführer Alexander Hirschbeck weist darauf hin, dass man von Anfang an mit den zuständigen Ermittlungsbehörden vollumfänglich kooperiert habe. Geprüft werde darüber hinaus gemeinsam mit der Staatsanwaltschaft, ob für die GIS eigene Ansprüche gegenüber dem festgenommenen Täter bestehen. 

Weiterführende Infos:

  • Standard-Artikel: "Hacker erbeutete neun Millionen Meldedaten aus Datenbank der GIS" (25.01.2023)
  • Artikel von Puls 24: "'Daten bleiben im Netz': Welche Folgen hat das GIS-Daten-Leck?" (26.01.2023)
Anzeige

Diese Geschichte teilen!

Hinterlassen Sie einen Kommentar!

Empfohlene Beiträge

Das Bild zeigt eine Hand vor einem Fernseher, die eine Fernbedienung hält.

ORF-Beitrag statt GIS-Gebühr: Ab 2024 müssen alle zahlen

Computerbildschirm mit Programmiercode

Programmieren lernen in Wien jetzt gratis möglich

Christian Lackner

Top Anwalt für Strafrecht und Strafprozess

weitere interessante Beiträge

Die Baustelle der Station Stadtpark. Eine U-Bahn fährt durch die Station, welche gerade renoviert wird.

U4-Sperre: Streckenteilung im Mai wegen Gleisbauarbeiten

Schild mit allen Wegbeschreibungen Lainzer Tiergarten

Frühlingsfest im Lainzer Tiergarten: Hier läuten die Maiglöckchen

Das Bild zeigt eine Menschenschlange vor dem Eingang der Therme Wien.

Am Wiener Bademanteltag gratis in die Therme

Person mit Springmesser lauert einer Frau auf.

Waffen in der Öffentlichkeit: Messerverbot geplant

Party-Crowd darüber Schriftzug "endlich verlängertes Wochenende"

Hoch die Hände, Wochenende! Christi Himmelfahrt in Wien

Bunte Straßenbahnen neben Menschenmassen auf der Regenbogenparade

Regenbogenparade: Schrill und bunt bei der Vienna Pride!

Frostige Blume auf gefrorenem Boden

Eisheilige 2024: Bringen sie wieder Kälte und Verdruss?

Kleine Junge der auf Balkongeländer lehnt und in die Kamera grinst

Freizeitprogramm für Kinder: Die Highlights im Mai