Gestohlene Meldedaten: ORF schaltet Höchstgericht ein
WIEN. In der Causa um 2020 gestohlene Meldedaten im Umfeld der GIS wird der ORF-Beitrags Service (OBS) das Höchstgericht einschalten, um gegen ein Erkenntnis des Bundesverwaltungsgerichtes (BVwG) vorzugehen.
Das von einer Privatperson initiierte Verfahren sei zu dem Schluss gekommen, die GIS – als Geschädigte – hätte sich fehlerhaft verhalten. Die OBS würde nun alle rechtlichen Möglichkeiten dagegen ausschöpfen und den VwGH anrufen, hieß es am Montag.
Hacker in den Niederlanden gefasst
Damals wurden bei einem Dienstleister der GIS (Gebühren Info Service GmbH) von einem Hacker alte Meldedaten aus dem Jahr 2019 gestohlen. Dieser wurde im Dezember 2022 in den Niederlanden gefasst und verurteilt. Die GIS hätte damals umgehend alle nötigen Maßnahmen ergriffen, auch die Datenschutzbehörde habe deren Vorgehen geprüft und das Verfahren ohne Beanstandungen eingestellt, betonte der ORF, für den das Erkenntnis des BVwG nicht nachzuvollziehen sei. Die damalige Kommunikation wäre nicht ausreichend gewürdigt worden.
- Lesen Sie auch: Junger Hacker stahl neun Millionen österreichische Meldedaten
Der ORF argumentiert, die GIS habe den seinerzeitigen Sicherheitsvorfall umgehend untersucht und der Datenschutzbehörde gemeldet sowie die Öffentlichkeit informiert. Die Datenschutzbehörde habe dazu Aufsichtsverfahren eingeleitet, jedoch keine Beanstandungen ausgesprochen oder Anweisungen zu weiteren Tätigkeiten erteilt und das Verfahren eingestellt.
Details noch nicht restlos geklärt
Zudem sei ein Dienstleister und nicht die GIS gehackt worden. Dabei handelt es sich um eine Straftat, die von einem Dritten begangen wurde und deren Konsequenzen nicht dem Geschädigten angelastet werden sollten. Die Details der Straftat wären weiterhin nicht restlos geklärt, da u.a. der Täter bis heute nicht befragt worden sei, obwohl er in den Niederlanden inhaftiert und somit greifbar wäre.
Ohne letztinstanzliche Klärung würde das Erkenntnis des Bundesverwaltungsgerichtes weitreichende Folgen für alle jene haben, die von einer Hackerattacke bei ihrem Dienstleister betroffen sind - Unternehmen genauso wie Freiberufler oder etwa auch öffentliche Einrichtungen. "Es würde somit allen an Rechtssicherheit für die Zukunft fehlen", hieß es in der Mitteilung.
Zudem wären die entwendeten Daten sichergestellt, ein weiteres Risiko einer missbräuchlichen Verwendung bestünde nicht. Es seien außerdem nicht sensible, sondern weitgehend ohnehin öffentlich zugängliche Daten, die teilweise nicht mehr aktuell waren.
Panne bei Wiener IT-Firma
An die Daten war der Hacker durch eine Panne bei einer Wiener IT-Firma gelangt, welche die GIS mit der Neustrukturierung ihrer Datenbank beauftragt hatte. Betroffen waren praktisch alle österreichischen Meldedaten, also Namen, Geburtsdaten und Meldeadressen aller Bürger. Die GIS hatte diese Daten und eine zweite auf Gebäude bezogene Datenbank, um allfällige Rundfunk-Gebührenvermeider aufzuspüren. Sie beauftragte ein renommiertes Wiener IT-Unternehmen mit der Neustrukturierung dieser Datenbanken und übergab der Firma die Daten.
Der Fehler dürfte dann bei dem Subunternehmen geschehen sein: Ein Mitarbeiter dürfte für eine Teststellung die echten Meldedaten der GIS verwendet haben, und diese Datenbank war so ohne Zugangssicherung etwa für eine Woche im Internet verfügbar. Dort stieß der Hacker auf die Informationen, die dieser an verdeckte Fahnder verkaufte, die den Niederländer in weiterer Folge ausfindig machten.
Sperrts die ein, die der GIS sie Meldedaten gegeben haben.
Das von einer Privatperson initiierte Verfahren sei zu dem Schluss gekommen, die GIS – als Geschädigte – hätte sich fehlerhaft verhalten.
War mehr als offensichtlich, bei der Handhabung der Daten bis hin zum Ablauf des Schadens. Hat auch die Beschwerde bei der DSB gezeigt, was hier für Stümper am Werk sind.
Ein weiterer Punkt warum der ORF nicht über Zwangsgebühren finanziert gehört, da sie selbst mit dem Auftrag überfordert sind. Die Umbenennung in OBS machts da auch nicht besser.
Was war hier offensichtlich? Der Fehler lag ja offenbar beim Dienstleister. Und was hat das Ganze mit den Zwangsgebühren zu tun? Wie würdest du denn einen öffentlich rechtlichen Sender finanzieren? Oder bist du eh dafür dass es nur mehr von Konzernen finanzierte Sender geben sollte?
Offensichtlich, die GIS hat dem Dienstleister keine pseudonymisierte Daten gegeben sondern echte Daten. Weiters hat man eine Zusammenarbeit mittels öffentlichen Zugang zugestimmt, da man es ja nicht verkompliziert werden soll. Ist auch kryptisch zugegeben worden bei der DSB.
Thema Zwangsgebühren, der ORF hat mittlerweile 2 mal Probleme mit den Daten gehabt und dank der Zwangsabgabe, gibt man ihm wieder Daten sowie in höheren Ausmaß, sprich Zahlungsdaten.
In meiner Welt gehört der ORF massiv eingespart und auf seinen Auftrag beschränkt. Dann sieht man mal was wirklich noch notwendig ist an Gebühren. Danach kann man sich das im Detail ansehen, wie man die Gelder bereitstellt bzw. zahlt