epicenter.works hat aufgedeckt, dass das Ministerium für Digitalisierung und Wirtschaftstandort im „Ergänzungsregister für sonstige Betroffene“ eine Datenbank mit Adressen von mehr als einer Million Menschen unter http://www.ersb.gv.at/ öffentlich zugänglich gemacht hat. Die Datenbank wurde diese Woche vom Netz genommen.
Welche Daten wurden verarbeitet?
Mit der Einführung der Bürgerkarte wurde das Stammzahlenregister geschaffen, um juristische Personen (GmbHs, Vereine,..) und natürliche Personen eindeutig identifizieren zu können. Dieses Register ist die Grundlage für alle „eGovernment“ Verarbeitungen für natürliche und juristische Personen. Das Stammzahlenregister wurde 2009 vom Bundesministerium für Inneres als Auftragverarbeiter für die Stammzahlenregistrierungsbehörde entwicklet. Von 2009 bis 2018 war das Bundeskanzleramt für Verwaltung der Stammzahlen verantwortlich. Seit 28.12.2018 hat das Bundesministerium für Digitalisierung und Wirtschaftstandort die Funktion als Stammzahlenregistrierungsbehörde übernommen.
Dafür werden in Österreich Stammzahlen verwende, die das Bundesministerium für Digitalisierung und Wirtschaftstandort verwaltet und ist per Gesetz verpflichtet, ein Stammzahlenregister zu führen. Dabei wird die (geheime) Stammzahl sowie eine Verknüpfung mit dem Zentrale Melderegister (ZMR) bzw. dem Ergänzungsregister natürliche Personen (ERnP) gespeichert. Bei juristischen Personen wird das Firmenbuch, das Zentrale Vereinsregister (ZVR) und das Ergänzungsregister für sonstige Betroffene (ERsB) verwendet.
Die personenbezogenen Daten (ZMR, ERnP) unterliegen strengen Kontrollen. Zugriffe müssen protokolliert werden.
Welche Daten waren im Datenleak im Österreichischen Bundesministerium betroffen?
Von dem Datenschutzvorfall war das Ergänzungsregister für Sonstige Betroffene (EfsB) betroffen. In diesem Register werden nur Personen gespeichert, die weder im Zentralen Melderegister, noch im Firmenbuch und auch nicht im Vereinsregister gespeichert sind.
Es handelt sich vergleichsweise um eine sehr kleine Zahl von Personen bzw. Organisationen die in diesem Register eingetragen sind (siehe Zweck und Rechtsgrundlage der Ergänzungsregister). Die Website des BNDW nennt zum Beispiel Kirchen, Gemeinden und Arbeitsgemeinschaften.
Für das Ergänzungsregister natürlicher Personen ist nur eine Eintragungsmöglichkeit vorgesehen. Für das Register für sonstige Betroffene ist auch eine Recherchemöglichkeit vorgesehen. Diese Recherche war über http://www.ersb.gv.at/ möglich.
Die Ergänzungsregisterverordnung 2009 fordert in § 14, dass EfsB öffentlich sein muss.
War die Veröffentlichung der Personendaten korrekt?
Das jedermann dieses Verzeichnis abfragen kann war gesetzeskonform. Bleibt die Frage, ob Daten ausgegeben wurden die nicht im Verzeichnis sein sollten. Epicenter.Works hat geschwärzte Auszüge von bekannten Persönlichkeiten online gestellt. Es fällt auf, dass die Daten vom Finanzministerium eingepflegt wurden.
Paragraf § 10 der Ergänzungsregisterverordnung 2009 besagt, dass eine Eintragung nur unter Berücksichtigung nachfolgender Punkte erfolgen darf.
- auf Antrag des Betroffenen
- Institutionen können sich selbst und Teilorganisationen bzw. Vertreter eintragen
- ein Auftraggeber im öffentlichen Bereich im Zuge einer Datenanwendung mit Stammzahlen
Wie ist das Datenleak im Österreichischen Bundesministerium passiert?
Es sieht so aus, als hätte das Finanzministerium Daten in diesem Register unter Berufung auf ERegV 2009 § 10 ohne zu realisieren, dass diese Daten dann auch öffentlich zugänglich sind verwendet. Für natürliche Personen wohnhaft in Österreich ist das Zentrale Melderegister zuständig und diese sollten dahr im Ergänzungsregister für sonstige Betroffene gar nicht aufscheinen.
Wir vermuten, dass eine Anwendung im Finanzministerium Daten mit dem Stammzahlenregister abgleicht und durch einen Programmierfehler im falschen Register anlegt. Nach dem was wir bis jetzt wissen glauben wir nicht, dass (nur) das Programm für den Härtefallfonds betroffen ist, da sonst zB Alexander van der Bellen nicht aufscheinen würde. ERnP (das sichere Register für natürliche Personen) und ERsB sind auch für Programmierer leicht zu verwechseln.
Was soll jetzt passieren?
Die Politik ist gefordert, die Ergänzungsregisterverordnung 2009 § 10 zu korrigieren um sicherzustellen, dass keine falschen Einträge angelegt werden dürfen.
Das Finanzministerium muss klären, warum es Daten an ein öffentliches Register schickt und diesen Mißstand abstellen.
Da scheinbar Personen registriert waren, die nicht in diesem Register sein sollten empfehlen wir Ihnen, eine Anfrage nach Art 15 DSGVO zu machen um zu erfahren, ob auch Sie betroffen sind. epicenter.works hat eine Vorlage für diese Anfrage zur Verfügung gestellt.
Politische Konsequenzen
Die Neos wollen am Freitag den 14.5. in einer Pressekonferenz weitere Details bekanntgeben. Es wird in den Ausführungen der Neos von einer Verbindung mit dem Härtefallfonds gesprochen. Dieser Zusammenhang können wir basierend auf den bekannten Fakten nicht nachvollziehen.
Was können wir aus dem Vorfall lernen
Es ist noch zu früh um endgültige Schlüsse zu ziehen.
Das Datenleak im Österreichischen Bundesministerium zeigt auf, wie ein an und für sich korrektes System (das Register) zum großen Skandal wird, wenn eine andere Verwaltungseinhait einen Fehler macht. Die DSGVO verlangt dass bei kritischen Verarbeitungen eine Datenschutzfolgenabschätzung gemacht wird. Ich habe aber selten eine Datenschutzfolgenabschätzung gesehen die auch Folgen auf „fremd“ Systeme ausreichend berücksichtigt.
Wir halten Sie auf dem Laufenden, sobald wir weitere Informationen bekommen haben.
Über uns
Schindler IT Solutions GmbH hat mit easyGDPR eine Governance Platform entwicklet die das erstellen der DSGVO Dokumentation vereinfacht, Betroffenenanfragen automatisiert und Unstrukturierte Daten analysiert.