Einleitung

Eine seit 2009 online frei einsehbare öffentliche Datenbank namens «Ergänzungsregister» erregt in Österreich gerade einiges Aufsehen. Über ein einfaches Interface konnte jede*r weltweit nach Personen und Unternehmen in Österreich suchen und so Namen, Adresse und weitere Details in Erfahrung bringen, von Politikern inklusive dem österreichischen Bundespräsidenten, freien Gewerbetreibenden und von privaten Personen.

Ist dies nun der grösste Datenschutz-Skandal der zweiten Republik, wie die Neos und Epicenter Works behaupten, oder eine aufgeblasene Falschmeldung?

Ins öffentliche Licht gerückt ist die Datenbank durch besorgte Bürger, die zur Beantragung von Corona-Unterstützung des Härtefallfonds eine sogenannte “Stammzahl” angeben mussten, die von diesem Ergänzungsregister bereit gestellt worden ist. Im aktuellen Formular muss die sogenannte Globale Lokationsnummer (GLN) eingetragen werden, die offenbar im Ergänzungsregister mitgeführt worden ist. Das Bundesministerium für Digitalisierung und Wirtschaftsstandort weist auf einer Website extra darauf hin, dass für den Antrag gerade keine Registrierung im Ergänzungsregister notwendig sei, die Angabe der Steuernummer und der Sozialversicherungsnummer genüge.

Diese Bürger haben die Neos, eine kleine liberale Oppositionspartei darauf aufmerksam gemacht, und die Neos haben wiederum Datenschützer des NGO Epicenter Works in die Analyse einbezogen.

Laut den Neos beziehungsweise Epicenter Works wurden sowohl auf der Ebene der Behördenvertreter als im Kontakt mit den zuständigen Ministern für Finanzen (Gernot Blümel) und Digitales (Margarete Schramböck) Nachfragen dazu über längere Zeit als unbeachtlich abgewiesen, das hätte alles seine Richtigkeit. Erst am Vorabend der angekündigten Pressekonferenz, die heute am 08. Mai um 10h30 stattfand, wurde die Datenbank nach über 11 Jahren Betrieb und vor wenigen Stunden stillschweigend offline genommen.

Disclaimer: Der Beitrag ist auf Grundlage öffentlich einsehbarer Information erstellt worden und enthält einige Annahmen, die ich zum Zeitpunkt der Erstellung nicht verifizieren konnte. Der Beitrag ist auch nicht vollständig, es fehlen Hinweise zu möglichen Rechtsfolgen uam. Ich bin freier Experte für Datenschutz und Informationssicherheit und ohne Lobbyabsicht oder politische Zuordnung und freue mich auf Ihre Rückmeldung dazu an pe@peterebenhoch.com.

A. Was sind «Stammzahlen»?

In digitalen Datenbanken dienen sogenannte Primärschlüssel (Masterkeys) der eindeutigen Kennzeichnung eines Datensatzes, damit der Eintrag von allen anderen Einträgen klar unterschieden und adressiert werden kann. Jede*r kennt im geschäftlichen Kontext die Kontonummer, Kundennummern und Rechnungsnummern, die in der Regel alle solche Primärschlüssel darstellen und eben Konten, Kunden und Rechnungen eindeutig kennzeichnen. Genauso wie Sozialversicherungsnummern und Steuernummern im behördlichen Umfeld.

Stammzahlen sind Primärschlüssel, die der eindeutigen Identifizierung von Objekten und Subjekten dienen.

2004 wurde im ö E-Government Gesetz (E-GovG, BGBl. I Nr. 10/2004) zur eindeutigen digitalen Identifizierung von Rechtspersonen eine sogenannte Stammzahl definiert. Nach § 2 Z 8 “Stammzahl” leg. cit. ist die Stammzahl eine einem Betroffenen zu dessen eindeutiger Identifikation zugeordnete Zahl. Mit ihr können eine Person eindeutig identifiziert werden und ihre Anträge und Einreichungen korrekt verarbeitet werden. Zuständig war nach § 7 E-GovG zunächst die Datenschutzkommission (so noch https://www.digitales.oesterreich.gv.at/identifikationskennzeichen). Derzeit ist das Bundesminister für Digitalisierung und Wirtschaftsstandort als Stammzahlenregisterbehörde zuständig. Das Ministerium kann sich nach Absatz 2 leg. cit. zur Führung der Register anderer Minsterien oder Auftragsdienstleister bedienen.

Eine der wichtigsten und allgemein bekannten Quellen für Stammzahlen sind in Österreich und fast allen Ländern das zentrale Melderegister, in dem der zivile Status und Wohnsitze natürlicher Personen hinterlegt sind, sowie das Firmenbuch (Handelsregister), in dem Angaben über Unternehmen gespeichert sind. Es gibt nun Personen und Firmen, die weder im einen noch im anderen aufscheinen. So sind ausländische Firmen nicht unbedingt im Firmenbuch und nicht jede Person, die von den Behörden “verwaltet wird” im Melderegister eingetragen.

Damit auch diese Personen (natürliche oder juristisch) eindeutig identifiziert werden können und somit die Digitalisierung für alle Betroffenen etabliert werden kann, wurde 2009 das sogenannte Ergänzungsregister für natürliche Personen und das für sonstige Betroffene geschaffen. Die gesetzliche Grundlage war eine Verordnung (Verordnung des Bundeskanzlers über das Ergänzungsregister (Ergänzungsregisterverordnung 2009 – ERegV 2009).

Diese sieht vor, dass “natürliche Personen und nicht-natürliche Personen im Ergänzungsregister getrennt geführt werden.”. Das «Ergänzungregister sonstige Betroffene», steht nun in der Kritik und war unter der Adresse (http://www.ersb.gv.at/) bis vor wenigen Stunden online verfügbar.

In diesen Registerdatenbanken wird einer Person (natürlich oder juristisch) eine eindeutige Stammzahl zugewiesen und werden Daten über sie gespeichert.

Ein offensichtliches Problem besteht offenbar darin, dass im Ergänzungsregister für sonstige Betroffene jede Menge privater Personen aufgenommen worden sind.

B. Wie schutzwürdig sind Stammzahlen?

Identifikationsnummer von Personen stellen jedenfalls personenbezogene Daten dar, die nach der DSGVO schützenswert ist. Bereits das E-GovG formuliert deshalb unmissverständlich in § 12 E-GovG:

«Die Vertraulichkeit von Stammzahlen natürlicher Personen unterliegt besonderem Schutz»

und eine:

«dauerhafte Speicherung der Stammzahl natürlicher Personen darf nur in verschlüsselter Form erfolgen»

Die unverschlüsselte Speicherung und öffentliche Zugänglichkeit von privaten Stammdaten stünde offenkundig mit dieser Rechtsnorm im Widerspruch und ist rechtlich definitiv nicht zulässig.

Das Risiko ist offensichtlich: Der Zugriff auf personenbezogene Identitätskennzahlen ermöglicht Betrügern eine Vielzahl von Möglichkeiten für Identitätsdiebstahl und Betrugsaktivitäten.

C. Wie sind die Daten in die Datenbank gelangt?

Im § 6 Abs 4 E-GovG steht:

«Betroffene, die weder im Melderegister eingetragen sind, noch im Firmenbuch oder im Vereinsregister eingetragen sein müssen, sind auf ihren Antrag oder in den Fällen des § 10 Abs. 2 auf Antrag des Verantwortlichen der Datenverarbeitung im Ergänzungsregister einzutragen.» (Hervorhebung PE)

Auf den behördlichen Informationsseiten steht dazu:

«In der Regel erfolgt die Eintragung durch eine Behörde, wenn im Zuge der Ausstattung einer Datenverarbeitung mit Stammzahlen eine Eintragung erforderlich ist.»

und weiters:

«Einzelunternehmer, die nicht im Firmenbuch oder Vereinsregister eingetragen sein müssen, können sich im Ergänzungsregister für sonstige Betroffene (ERsB) eintragen lassen.»

Da sehr viele Einzelpersonen in der Datenbank enthalten waren, die sich selbst nicht eintragen hatten lassen und überhaupt nichts von dem Datensatz wussten, ist es offenkundig, dass gewissermassen von Amts wegen in behördenintern nicht weiter definierter Form anlassbezogen und fortlaufend weitere Datensätze ergänzt worden waren und diese nicht weiter gepflegt oder gelöscht worden sind.

Lediglich für privat angestrebte Eintragungen finden wir:

«Mit der Eintragung in einem öffentlichen Register schaffen Sie den Anschein der Richtigkeit der dort eingetragenen Informationen. Sie sind daher verpflichtet, die Informationen entsprechend zu aktualisieren. Dies betrifft besonders die eingetragenen Vertretungsbefugnisse; aber auch alle anderen Angaben zu Ihrem Unternehmen müssen aktuell gehalten werden.»

Eine klar definierte amtswegige Prozedur zur Eintragung und zum Löschen von personenbezogenen Daten in das Ergänzungsregister fehlt offenbar.

Eine solche wird selbstverständlich von der Datenschutzgrund-Verordnung (DSGVO) gefordert: Nach Art 30 der DSGVO muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, in dem auch hinterlegt ist, wie die Daten gepflegt und wieder gelöscht werden. Gegen diese grundlegende Bestimmung der DSGVO wurde offenbar verstossen.

D. Durfte die Stammzahl von Privaten gespeichert werden?

In § 8 E-GovG lesen wir:

«In den Datenverarbeitungen von Verantwortlichen des öffentlichen Bereichs darf eine im Rahmen des Konzepts des E-ID erfolgende eindeutige Identifikation von Betroffenen im Hinblick auf natürliche Personen nur in Form des bPK (§ 9) dargestellt werden. Für Betroffene, die keine natürlichen Personen sind, darf zur eindeutigen Identifikation die Stammzahl gespeichert werden.»

Demnach dürfen für private nur bereichsbezogene Personenkennzeichen benutzt werden. Die Stammzahl von natürlichen Personen darf also nicht gespeichert werden. Genau das ist hier aber offenbar in grossem Stil basiert.

F. Ergebnis

Wir lesen auf den Seiten digitales Österreich:

«Stammzahlen nicht natürlicher Personen: Als Stammzahlen zur Identifizierung nicht natürlicher und juristischer Personen kommen je nach Rechtsform Firmenbuch-, Vereinsregister- oder Ergänzungsregisternummer für sonstige Betroffene (ERsB) zur Anwendung. Da diese Kennzeichen öffentliche Daten sind, werden sie in der Kommunikation im Klartext ohne Ableitungen verwendet.» (Hervorhebung durch den Autor)

Es besteht der Verdacht, dass die gesetzlich klare Unterscheidung zwischen natürlichen Personen (deren Identität und deren Daten nach der DSGVO strikt zu schützen sind) und juristischen (deren Kennzeichnung als öffentliche Daten verstanden werden) durch die Behandlung aller Privatpersonen, die irgendwann nebenher Einkünfte erzielten und behördliche Aufnahme in das Ergänzungsregister für sonstige Betroffene durch die behördlichen Vorgänge komplett unterlaufen worden ist.

G. Resümee / Kommentierung

Die österreichische Rechtsordnung differenziert stark zwischen Arbeitern, Angestellten, Beamten, Selbständigen und Unternehmern. Wer als Einzelperson private Einkünfte erzielt, wird oft wie ein Unternehmen mit vielen Angestellten behandelt. Jemand mit selbständigen Nebeneinkünften, sei es eine Vorlesung, eine Vermietung, oder was immer, gilt in Österreich schnell als «verdächtig» und wird rasch als Unternehmer eingestuft, womit weitere Abgaben und Steuern fällig werden. Selbständige*r werden vorwiegend in ihrer Rolle als Unternehmer gesehen, weniger als private Menschen. Die Art, wie Vorschreibungen von Steuern, Sozialversicherung et cetera erfolgen unterscheiden in der Regel nicht darin, ob es um ein grosses Unternehmen geht oder um eine Einzelperson, die wirtschaftlich ganz anders von ihren Einkünften abhängt.

Selbständige und Einpersonenunternehmen (EPUs), sogar private mit Nebeneinkünften irgendeiner Art wurden hier vermutlich von Amts wegen in dieses Ergänzungsregister aufgenommen und die dazugehörigen Stammzahlen als öffentliche verstanden. Das alles offenbar ohne nähere rechtliche Ausgestaltung, ohne Controlling und ohne rechtliche Reflexion.

Wenn diese Annahmen so stimmen, wäre der Datenschutzgau, der hier passiert ist, das Ergebnis einer unglaublichen behördlichen Unkenntnis und Ignoranz einfachster datenschutzrechtlicher Regelungen, bis hin in die oberste Verwaltungs- und auf Ministeriumsebene. Die Übertragung der Zuständigkeit für Stammdatenregister von der neutralen Datenschutzbehörde zur marktliberal agierenden Ministerin war zudem sicher keine Veränderung, die dem Datenschutz zu Gute kommt. Das zeigte schon die frühere überstürzte Einführung einer Meldeapp, die Fehleintragungen ins zentrale Melderegister (schon wieder ein Register – sic!) geradezu provozierte.

Dass die Ministerien sich bis jetzt dazu nicht äusserten und die Datenschutzbehörde, dazu verlautet, sie würde erst auf eine Beschwerde hin tätig werden, verschlimmert das ganz noch weiter. Beim Datenschutz ist das offizielle Österreich offenbar nicht nur am Rand des demokratischen Modells, wie die Kurz-Beraterin Mei-Pochtler unlängst verkündete, sondern ohne Navigation weit vom Recht entfernt.

Diese Umstände sind umso tragischer, als diese Fehler die Identifikation digitaler Rechtssubjekte in Österreich betreffen, somit die Grundlagen und Fundamente jeder Digitalisierung und jedes eGovernments in Österreich.