Meldedaten durch GIS-Datenleck gestohlen: Das können Betroffene tun

Die Gebühren Info Service GmbH (GIS), die mit der Einbringung und Abrechnung der ORF-Rundfunkgebühr in Österreich beauftragt ist, verfügt augenscheinlich über alle österreichischen Melderegisterdaten in ihrer Datenbank. Diese Informationen wurden offenbar für das Aufspüren allfälliger Rundfunk-Gebührenvermeider verwendet.

Millionen Meldedaten von Hacker aus Niederlanden gestohlen

Die GIS beauftragte ein IT-Unternehmen mit der Neustrukturierung der Datenbank. Aufgrund eines Fehlers im Juni 2020 standen wohl insgesamt neun Millionen österreichische Meldedaten unverschlüsselt für knapp eine Woche im Internet. Möglicherweise wurde auch noch eine Datenbank, die sich auf Gebäude bezog, veröffentlicht.

Ein Hacker aus den Niederlanden hat diese Daten gestohlen und im Internet zum Verkauf angeboten. Von dem Daten-Diebstahl könnten somit alle österreichischen Bürger und Unternehmen betroffen sein. Der Hacker wurde im November 2022 verhaftet, VIENNA.at berichtete.

Welche rechtlichen Möglichkeiten haben Betroffene des Datendiebstahls?

Die Melderegisterdaten bestehen aus: Familienname, Vorname, Akademische Grade, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, ZMR-Zahl, Hauptwohnsitz samt Adresse und Meldedatum, Nebenwohnsitz samt Adresse und Meldedatum

Die Anwälte Florian Scheiber (Vaduz) und Robert Haupt (Wien) haben am Mittwoch in einer Aussendung angekündigt, ein Sammelverfahren zu starten, das sich einerseits gegen den in den Niederlanden verhafteten Hacker richtet, andererseits mit Schadenersatzforderungen gegen die GIS und das von ihr beauftragte Wiener IT-Unternehmen.

Haupt und Scheiber warnten, dass die Meldedaten für Betrügereien bis hin zum Identitätsdiebstahl genutzt werden könnten. "Betroffene können sich dem Strafverfahren gegen den Hacker anschließen und allfälligen Schadenersatz verlangen. Außerdem können sich Betroffene bei der GIS und dem noch unbekannten IT-Unternehmen unter Umständen schadlos halten", erläuterten Scheiber und Haupt den Sinn des Sammelverfahrens. Schäden durch allfällige Betrügereien mit Hilfe der Meldedaten müssten Betroffene auf die eigene Kappe nehmen, "es sei denn, dass Sie Ihre Ansprüche gegen die Verantwortlichen des Datenlecks bereits erfolgreich durchgesetzt haben", betonten Scheiber und Haupt.

Strafanzeige gegen unbekannt eingebracht

Laut "Kurier" (Mittwochausgabe) hat Haupt im Namen eines Mandanten, Inhaber einer Tischlerei, darüber hinaus eine Strafanzeige gegen unbekannt eingebracht. Dabei geht es um den Verdacht des widerrechtlichen Zugriffs auf ein Computersystem. Gemeint sind mit der Anzeige allerdings die Verantwortlichen des von der GIS beauftragten IT-Unternehmens. "Mein Mandant wünscht sich Aufklärung, fordert Schadenersatz und schließt sich dem Verfahren als Geschädigter an", wurde Haupt zitiert.

GIS weist Kritik zurück

Die GIS wies in einer Stellungnahme Kritik zurück. "Die GIS hat nach Bekanntwerden des Datendiebstahls im Jahr 2020 in enger Zusammenarbeit mit den ermittelnden Behörden unverzüglich auch eine Meldung an die Datenschutzbehörde erstattet und sofort via APA die Öffentlichkeit informiert", hieß es darin. "Die Korrektheit dieses Vorgehens wurde von der Datenschutzbehörde akzeptiert." Die Information einzelner Personen sei der GIS nicht möglich gewesen, "da unklar war, welche und wie viele Personen im Konkreten von der Tat betroffen waren".

GIS-Geschäftsführer Alexander Hirschbeck betonte: "Die GIS legt größten Wert auf höchste Sicherheitsstandards beim Datenschutz und lässt diese auch regelmäßig durch Iso-Zertifizierungen bestätigen. Details der laufenden Ermittlungen gegen den Hacker sind der GIS nicht bekannt. Die konkret betroffenen Daten, die beim Täter gefunden wurden, liegen der GIS noch nicht vor."

>> Mehr Informationen zum Sammelverfahren finden Sie unter https://gis-datenleck.at/

(APA/Red)