Polizisten greifen unkontrolliert auf Sozialversicherungsdaten zu

Rund 30.300 Exekutivbeamte können in Österreich auf Versicherungsdaten ohne echte Kontrolle zugreifen. Zumindest einer davon hat das System bereits missbraucht.

Was vergleichsweise harmlos begonnen hat, könnte zu einem echten Datenskandal werden: Ein Kärntner Verfassungsschutzbeamter hat im Jahr 2014 widerrechtlich auf einen Versicherungsdatensatz des Ex-Freundes seiner Lebensgefährtin zugegriffen. Er wollte damit  Unstimmigkeiten betreffend der Höhe des zu zahlenden Kindesunterhaltes klären und hat die Höhe des Gehalts seines Kontrahenten abgefragt.  Das geht aus einer Sachverhaltsdarstellung hervor, die der futurezone anonymisiert vorliegt.

Der Fall dieses Beamten, der damit klar gegen das Datenschutzgesetz verstoßen hat, löst jetzt aber eine Lawine an Ungereimtheiten aus. Der Grüne Nationalratsabgeordnete Peter Pilz stellte eine parlamentarische Anfrage zur Missbrauchsanfälligkeit von Daten, die beim Hauptverband der Sozialversicherungsträger gespeichert sind (PDF). „Eine derartige Abfrage ist höchst bedenklich und unterstreicht die Notwendigkeit einer systematischen Kontrolle“, sagt Pilz. Doch genau diese systematische Kontrolle scheint vollkommen zu fehlen, wie nun aus der Anfragebeantwortung des Bundesministerium für Inneres (BMI) hervorgeht (PDF).

Alle haben Zugriff

Doch nicht nur das: Zugriff auf die heiklen Daten haben nicht nur Verfassungsschutz-Mitarbeiter: Insgesamt dürfen alle 30.372 Polizisten auf Versicherungsdaten zugreifen. „Eine Einschränkung der Zugriffsrechte an einen individuell eingrenzbaren Bedienstetenkreis ist nicht erfolgt“, heißt es in der Anfragebeantwortung. „Das bedeutet, dass jeder x-beliebige Polizist willkürlich in unseren Sozialversicherungsdaten herumschnüffeln kann“, erklärt Pilz im Gespräch mit der futurezone. „Da sind auch sensible, personenbezogene Daten davon betroffen und dieser Zugriff ist eine gewaltige Sauerei.“

Die futurezone hat beim Hauptverband der Sozialversicherungsträger nachgefragt, um welche Daten es sich genau handelt, auf die Behörden Zugriff haben: „Generell sind es Administrationsdaten, nicht Gesundheitsdaten. Das sind: Personenbezogene Daten wie Vorname, Name, Geburtsdatum und Sozialversicherungsnummer, Dienstgeber-bezogene Daten wie Name und Anschrift des Dienstgebers, Art und Dauer des Dienstverhältnisses, Beitragsgrundlagen, Sozialversicherungsrechtliche Daten wie leistungszuständiger Versicherungsträger, Pensionsbezug (nicht Pensionshöhe), sozialversicherungsrechtliche Angehörigeneigenschaften (Kind, EhepartnerIn).“ Unter „Beitragsgrundlagen“ fallen etwa das Gehalt, wie der futurezone vom Hauptverband der Sozialversicherungsträger mitgeteilt wurde.

Nicht alle Daten betroffen

Laut der Anfragebeantwortung des BMI ist die Abfragemöglichkeit der Exekutive auf die Versicherungsnummer, den Dienstgeber, den leistungszuständigen Versicherungsträger und den Umstand, ob eine bestimmte Person derzeit oder innerhalb der letzten drei Jahre beschäftigt war, begrenzt. “Zu einer Beantwortung der Innenministerin im Parlament gibt es von Seiten des Ministeriums keine Ergänzungen vorzunehmen”, heißt es dazu aus dem BMI.

Laut Dieter Holzweber, Pressesprecher des Hauptverbands der Sozialversicherungsträger, gebe es aber „keine generelle Abfrageberechtigung“ aller über „alle über eine Person gespeicherten Daten“. „Es gibt in der Sozialversicherung auch keine Datenspeicherung, in der alle Daten einer Person vorhanden wären. Diese gegliederte Datenverarbeitungsorganisation ist ein Teil der Sicherheitsmaßnahmen.“ Und: „Nicht jede Behörde kann alle Daten erhalten“, so der Pressesprecher.

Mehrere tausend Abfragen

In der Anfragebeantwortung des BMI heißt es dazu: “Die Rechteprofile für die Exekutive werden vom Auftraggeber einer Anwendung, somit in concreto vom Hauptverband der Sozialversicherungsträger, definiert. Auch die Prüfung der Zulässigkeit der Rechtevergabe erfolgt immer beim Auftraggeber.” Abfragen gebe es laut Holzweber auf jeden Fall „mehrere Tausend“ pro Monat.

Laut Absatz drei des Sicherheitspolizeigesetzes gilt für das Abfragen von Daten folgende Regel: „Jede Auskunftserteilung muss einer vorherigen Interessensabwägung seitens des Hauptverbandes unterzogen werden, was bei einem direkten Zugriff auf die Datenbank nicht gewährleistet wäre.“

Direkter Zugriff

Doch genau dieser direkte Zugriff der Exekutive wurde seitens des BMI in der parlamentarischen Anfragebeantwortung bestätigt. Denn darin heißt es: „Solche Datenanfragen können durch einen Beamten bzw. eine Beamtin selbstständig durchgeführt werden.“

Ein Zugriff ist allerdings offiziell nur in den Fällen zulässig, für die eine entsprechende Rechtsgrundlage (z.B. § 76 Strafprozessordnung für das Strafrechtswesen, § 53 Abs. 3 Sicherheitspolizeigesetz in Angelegenheiten der Sicherheitspolizei, § 123 Abs. 5 Kraftfahrgesetz im Kraftfahrwesen oder § 106 Fremdenpolizeigesetz und § 37 Abs. 5 Niederlassungs- und Aufenthaltsgesetz im Fremdenwesen) und ein freigeschalteter Abfragecode besteht.

Wer kontrolliert das?

Hier stellt man sich einmal mehr die Frage nach der Kontrolle. Denn, wie der Fall des Verfassungsschutzbeamten zeigt, ist ein Missbrauch des Systems schon – zumindest einmal belegbar – passiert. Laut Holzweber sei es in der Vergangenheit bereits mehrfach zu Missbräuchen gekommen und das Kontrollsystem sei deshalb schon einmal „verschärft“ worden.

Doch wie sieht es nun mit der Kontrolle wirklich aus? Zwar ist das Ministerium verpflichtet, Anfragen zu überprüfen, aber hierfür reichen Stichproben. Hier macht die Antwort des BMI auf die Anfrage des Grünen Parlamentariers, nach der Kontrolle aber äußerst stutzig. „(…) erfolgen stichprobenartige Kontrollen durch den Hauptverband der Sozialversicherungsträger, die zur weiteren Überprüfung übermittelt werden.“

Stichproben, aber keine Überprüfung

Die futurezone fragte beim Hauptverband der Sozialversicherungsträger nach, wie diese „stichprobenartigen Kontrollen“ genau aussehen würden und bekam folgende Antwort: „Alle Anfragen werden entsprechend dem Datenschutzgesetz protokolliert: Aus den Abfrageprotokollen werden für jede anfragende Stelle einmal monatlich Stichproben erstellt und den abfragenden Behörden zur Verfügung gestellt.” So weit, so gut. Ein derartiges Protokoll liegt der futurezone im Fall des Verfassungsschutzmitarbeiters vor.

Aber: “Die Häufigkeit der genauen Überprüfung der zur Verfügung gestellten Stichproben obliegt der anfragenden Stelle. Darüber hinaus geht der Hauptverband dann, wenn er eine Rückfrage erhält, der Sache jeweils nach.“ Wenn ein illegaler Zugriff erfolgt ist das laut Hauptverband „das Problem der ermittelnden Behörden“ und nicht das „Problem des Hauptverbandes“.

Das bedeutet: Eine systematische, flächendeckende Kontrolle der Abfragen von personenbezogenen Versicherungsdaten gibt es nicht. Der Hauptverband der Sozialversicherungsträger wird nur bei Rückfragen aktiv, die eigene Behörde – in dem Fall die Exekutive selbst – ist für die Kontrolle zuständig. Dies sorgt nicht auch bei Datenschutzexperten für Verwunderung.

Wer ist für Kontrolle zuständig?

„Der Hauptverband ist für die Daten verantwortlich, auch wenn der Zugriff gesetzlich legitimiert ist. Das bedeutet, dass der Hauptverband für die Überprüfung zuständig ist und nicht die Behörde. Es müsste jeder einzelne Fall auf seine Zulässigkeit überprüft werden, bevor eine Abfrage gestattet wird“, erklärt Datenschutzexperte Andreas Krisch. Für Pilz ist das ein „Datengau“ und „der erste große Datenskandal des Landes“.

Der Hauptverband verweist darauf, dass die „zentrale Auskunftserteilung sowohl für die anfragenden Behörden als auch für die Versicherungsträger “äußerst ökonomisch und vorteilhaft“ sei.

Bisher keine Konsequenzen

Der Missbrauchsfall durch den Mitarbeiter des Verfassungsschutzes hatte übrigens bisher auch keinerlei Konsequenzen, wie aus der parlamentarischen Anfragebeantwortung hervorgeht – und zwar weder für das System, noch für den Mitarbeiter. Die Ermittlungen sind jedoch noch nicht abgeschlossen.

Es wurden zudem keine Maßnahmen ergriffen, um weitere illegale Zugriffe auf Datenabfragen zu verhindern. „Hinsichtlich des internen Kontrollsystems wird auf die Homepage des Hauptverbandes der Sozialversicherungsträger verwiesen“, heißt es seitens des BMI in der Stellungnahme.

Auch für den Beamten gab es keine Konsequenzen – er wurde nicht suspendiert und er hat auch weiterhin die technische Möglichkeit, Datenanfragen an den Hauptverband der Sozialversicherungsträger zu stellen. Peter Pilz will diese Angelegenheit nun am Donnerstag im Innenausschuss diskutieren. „Ich bin gespannt, wie unsere Innenministerin rechtfertigt, dass jeder Polizist ohne Freischaltung auf das System zugreifen zu können.“

Update, 14.4.2016: 15:50 Uhr: Das BMI hat eine Stellungnahme veröffentlicht, wonach die Behauptung, es gäbe keine Konsequenzen für den besagten Beamten, unrichtig sei. “Das BAK ermittelt in diesem Fall, Maßnahmen werden auf Grundlage der Ermittlungsergebnisse erfolgen”, heißt es dazu. Der Artikel wurde nun entsprechend ergänzt: Für den betroffenen Beamten gab es bisher keine Konsequenzen, weil die Ermittlungen noch laufen.

Innenministerium zu polizeilichen Abfragen von Sozialversicherungsdaten

Klarstellung zur Berichterstattung von www.futerzone.at und Kurier

Wien (OTS) – Zum aktuellen Artikel auf www.futurezone.at (Abfrage am 14.4., 13.30 Uhr) “Polizisten greifen unkontrolliert auf Sozialversicherungsdaten zu” und zum Bezug habenden Artikel in der Tageszeitung „Kurier“ vom 14.4.2016 erlaubt sich das Innenministerium folgende Klarstellungen:

• Die Schlagzeile “Polizisten greifen unkontrolliert auf Sozialversicherungsdaten zu” ist unrichtig und steht auch in Widerspruch zu der Beschreibung des bestehenden Kontrollsystems im selben Artikel. Es gibt monatliche Stichproben und nachgehende Überprüfungen. Jede einzelne Abfrage wird protokolliert und ist individuell nachvollziehbar. Durch das Kontrollsystem ist der beschriebene Fall zutage getreten.

• Es entspricht nicht den Tatsachen, dass mit den Sozialversicherungsanfragen auch Gehaltsabfragen möglich wären. Die möglichen Abfrageinhalte sind in der parlamentarischen Anfragebeantwortung taxativ gelistet und umfassen lediglich die Versicherungsnummer, den Dienstgeber, den leistungszuständigen Versicherungsträger und den Umstand, ob eine bestimmte Person derzeit oder innerhalb der letzten drei Jahre beschäftigt war.

• Weiters ist unrichtig, dass “jeder x-beliebige Polizist willkürlich auf Daten zugreifen” könne. Für jede einzelne Abfrage braucht es eine dokumentierte, individuell nachvollziehbare Begründung innerhalb der bestehenden rechtlichen Rahmenbedingungen. Es besteht eine volle rechtliche Verantwortung jedes einzelnen Bediensteten.

• Und schließlich ist die Behauptung, es gäbe keine Konsequenzen für den besagten Beamten, unrichtig. Das BAK ermittelt in diesem Fall, Maßnahmen werden auf Grundlage der Ermittlungsergebnisse erfolgen. Auch dies ist in der parlamentarischen Anfragebeantwortung beinhaltet.

Die Abfragemöglichkeit an sich ist insbesondere für die rechtmäßige Suche nach Personen von Bedeutung. Es bestehen klare rechtliche Rahmenbedingungen und ein entsprechendes Kontrollsystem, sowohl auf Seiten des verantwortlichen Dateninhabers, dem Hauptverband der Sozialversicherungsträger, als auch seitens der anfragenden Sicherheitsbehörden.

Rückfragen & Kontakt:

Bundesministerium für Inneres
Karl-Heinz Grundböck, M.A.
Sprecher des Ministeriums
+43-(0)1-53126-2490
karl-heinz.grundboeck@bmi.gv.at
www.bmi.gv.at

Quelle: futurezone.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.