ORF-Beitrags Service (OBS) schaltet Höchstgericht gegen Erkenntnis des Bundesverwaltungsgerichtes (BVwG) ein

Im Jahr 2020 wurden bei einem Dienstleister der GIS Gebühren Info Service GmbH von einem Hacker alte Meldedaten aus dem Jahr 2019 gestohlen. Der Täter wurde im Dezember 2022 in den Niederlanden gefasst und verurteilt. Die GIS hatte damals umgehend alle nötigen Maßnahmen ergriffen, in den Medien wurde breit darüber berichtet. Die Datenschutzbehörde hat das Vorgehen der GIS geprüft und das Verfahren ohne Beanstandungen eingestellt. Weiters hat die GIS mit den ermittelnden Behörden umfassend kooperiert, um den Fall schnellstmöglich zu klären. Nunmehr kommt das BVwG in einem weiteren von einer Privatperson initiierten Verfahren zu dem für den ORF und die OBS nicht nachvollziehbaren Erkenntnis, die GIS - als Geschädigte - hätte sich fehlerhaft verhalten. Die damalige Kommunikation wird dabei jedoch nicht ausreichend gewürdigt. Auch wenn die GIS inzwischen durch die OBS (ORF Beitrags Service GmbH) abgelöst worden ist, wird die OBS alle rechtlichen Möglichkeiten gegen dieses Erkenntnis ausschöpfen und den VwGH insbesondere aus folgenden Gründen anrufen: 

·    Die GIS hatte den seinerzeitigen Sicherheitsvorfall umgehend untersucht und der Datenschutzbehörde gemeldet sowie die Öffentlichkeit informiert. Die Datenschutzbehörde hatte dazu Aufsichtsverfahren eingeleitet, jedoch keine Beanstandungen ausgesprochen oder Anweisungen zu weiteren Tätigkeiten erteilt und das Verfahren eingestellt. Damit hat die GIS alle damals nötigen Schritte zur Aufklärung des Sachverhalts gesetzt.

·    Ein Dienstleister wurde gehackt, nicht die GIS. Dabei handelt es sich um eine Straftat, die von einem Dritten begangen wurde und deren Konsequenzen nicht der GIS als Geschädigter angelastet werden sollten.

·    Die Details der Straftat sind weiterhin nicht restlos geklärt. Dies ist unter anderem dem Umstand geschuldet, dass der Täter bis heute nicht befragt worden ist, obwohl er in den Niederlanden (dh. in einem EU-Mitgliedstaat) inhaftiert und somit greifbar ist.

·    Die Ansicht des BVwG kann ohne letztinstanzliche Klärung weitreichende Folgen für alle haben, die von einer Hackerattacke bei ihrem Dienstleister betroffen sind - Unternehmen genauso wie Freiberufler oder z. B. auch öffentliche Einrichtungen. Es würde somit allen an Rechtssicherheit für die Zukunft fehlen.

·    Die entwendeten Daten sind sichergestellt, weiteres Risiko einer missbräuchlichen Verwendung besteht nicht. Es handelte sich dabei außerdem nicht um sensible und weitgehend ohnehin öffentlich zugängliche Daten, die schon zum Zeitpunkt des Diebstahls teilweise nicht mehr aktuell waren. 

Die OBS legt größten Wert auf den Schutz der Meldedaten der Beitragszahlerinnen und -zahler und wird, wie schon bisher, alles zu einer letztinstanzlichen Klärung des Sachverhalts beitragen.

Rückfragehinweis:
presse@orf.beitrag.at