Österreich Privatadressen von Promis und Politikern standen offen zugänglich im Netz

Bürgerrechtler werfen Österreichs Regierung vor, die Privatadressen von mehr als einer Million Bürgern ungeschützt ins Netz gestellt zu haben. Betroffen seien etwa der Bundespräsident und auch Sänger DJ Ötzi.
Sänger DJ Ötzi: Privatadresse auf der Website des Wirtschaftsministeriums genannt

Sänger DJ Ötzi: Privatadresse auf der Website des Wirtschaftsministeriums genannt

Foto: Felix Hörhager/ DPA

Jahrelang sollen die Privatadressen von geschätzt mehr als einer Million österreichischer Bürger frei im Internet zugänglich gewesen sein. Das teilten Bürgerrechtler von Epicenter.works und Vertreter der österreichischen Oppositionspartei Neos am Freitag mit. In einem Online-Register auf der Website des Wirtschaftsministeriums waren demnach unter anderem die Privatanschriften von Bundespräsident Alexander Van der Bellen, dem ehemaligen FPÖ-Politiker Heinz-Christian Strache und Sänger DJ Ötzi hinterlegt.

Ohne Sicherheitsabfrage war es den Angaben zufolge möglich, Adressen und Geburtsdaten von Bürgern abzurufen, die selbstständig in Österreich gearbeitet hatten. Er halte dies für den "größten Datenschutzskandal", den es jemals in Österreich gegeben habe, sagte Neos-Politiker Douglas Hoyos-Trauttmansdorff am Freitag auf einer Pressekonferenz.

"Jeder, der nur ein Grundverständnis von Datenschutz hat, der sieht sofort, da ist was faul", teilte der Digitalsprecher der Partei mit. Ihm sei nicht klar, wie die Daten in das Register gelangt seien.

Das Wirtschaftsministerium weist die Anschuldigungen zurück. Eine Sprecherin teilte dem SPIEGEL auf Anfrage mit, dass es sich "weder um ein Datenleck, noch um Datenklau handelt". Das sogenannte Ergänzungsregister sei in der jetzigen Form vor elf Jahren vom damaligen Bundeskanzler Werner Faymann erlassen worden. Es sei "als öffentliches Register zu führen". Einer rechtlichen Anpassung und Verbesserung stehe das Ministerium jederzeit offen gegenüber.

Bürger beklagten sich bereits vor Wochen

Hoyos-Trauttmansdorff wirft der Regierung vor, zu lange untätig gewesen zu sein. Die ersten Beschwerden sind demnach bereits Ende März bei Österreichs Ministerien eingegangen. Bürger hatten sich bei Härtefälleanträgen zur Coronakrise darüber gewundert, dass sie ihre Daten ohne Weiteres abrufen konnten.

Die Selbstständigen mussten auf dem Portal eine Nummer abrufen, um diese in ein Antragsformular für finanzielle Unterstützung von der Regierung einzutragen. Mit seinem Härtefall-Fonds hilft Österreich Selbstständigen, die während der Coronavirus-Pandemie in eine wirtschaftliche Notlage geraten sind. Wie die Anträge nun ohne das Online-Register gestellt werden sollen, ist bisher unklar.

Laut Epicenter.works-Geschäftsführer Thomas Lohninger könnten auch noch viel mehr Adressen als bisher angenommen über das Portal abrufbar gewesen sein.  Bei den vermuteten mehr als einer Million Datensätzen handle es sich um eine "konservative Schätzung". Man sei froh, dass die Seite nicht mehr erreichbar ist. "Für uns war wirklich unverständlich, wie diese Daten jemals ins Netz kommen konnten", sagte Lohninger.

Sorge um die Sicherheit

Eine Sorge der Kritiker: Betrüger können die Einträge aus dem Register für Identitätsdiebstahl und Datenhandel nutzen. Da es keine technischen Schutzmechanismen wie etwa ein Captcha  gab, waren die Daten laut Lohninger prinzipiell auch automatisiert und somit massenweise abrufbar. Allein in den vergangenen Tagen habe es rund eine Million Zugriffe auf das Register gegeben.

Promis, Politiker und Journalisten seien um ihre Sicherheit besorgt, hieß es, da nicht ihre Geschäftsadressen, sondern private Anschriften in der Liste auftauchten. So habe sich etwa eine Psychotherapeutin aus Salzburg an die Partei Neos gewandt, nachdem sie ihre Privatadresse in dem Register gefunden hatte. Sie habe sich nicht mehr sicher gefühlt, da sie im Strafvollzug tätig sei und schon häufiger in ihrem Beruf bedroht worden sei.

Auch eine Moderatorin des ORF hatte sich nach eigenen Angaben in der Liste gefunden. In einem Videobeitrag  sagt sie: "Ich habe nie eine Erlaubnis erteilt, in diesem Register einsehbar zu sein." Von der Website habe sie nichts gewusst - und sie sei sich sicher, dass es vielen anderen Personen, die darin auftauchen, ähnlich gehe.

Die Wiedergabe wurde unterbrochen.