JOSEF BARTH

Exklusiv. Dem Justizministerium kamen tausende Daten heimischer Häftlinge abhanden. Die Sache wurde vertuscht, der Aufdecker verurteilt, die Opfer nie informiert. Protokoll eines Präzedenzfalls mit unabschätzbaren Folgen. (für profil)

Der 19-jährige Serbe sitzt wegen Raubs, der 20-jährige Wiener wegen Körperverletzung. Vor- und Familienname der Eltern sind explizit angeführt, die Wohnadressen bis auf die Türnummern genau angegeben. Vielleicht haben die Jungs Glück, und man erkennt sie in ein paar Jahren auf den digitalen Fotos nicht mehr. Der Montenegriner ist serbisch-orthodoxer Christ, der Schwarzafrikaner aus Guinea-Bissau moslemischen Glaubens: beide in Haft wegen Drogendelikten. Der 35-jährige Pole wurde beim Versuch ertappt, etwas mitgehen zu lassen. In der Nacht des 26. September 2005 verhaftete man ihn am Grenzposten Drasenhofen, um 2.20 Uhr wurde er eingeliefert – und mittlerweile bereits wieder bedingt entlassen. Sein Datenblatt ist noch immer im EDV-System des österreichischen Strafvollzugs gespeichert.

Mittlerweile aber nicht mehr nur ausschließlich dort.

8500 Häftlingsdaten kamen dem Justizministerium abhanden. Und weder die Öffentlichkeit noch die Betroffenen selbst wurden informiert.

profil liegt ein Datenträger vor, auf dem die Datenblätter unzähliger österreichischer Häftlinge – ehemaliger und aktueller – gespeichert sind. Überbracht von einem Vertrauensmann, treuhändig verwaltet von einem Anwalt um nochmaligen Missbrauch zu vermeiden. Wie viele Kopien noch im Umlauf sind, lässt sich nicht sagen.

Ewig gespeichert. Es ist ein Präzedenzfall in der österreichischen Geschichte: Zum ersten Mal gingen einer Behörde in derart großem Stil strukturierte personenbezogene Daten verloren. Sensible Aufzeichnungen über Menschen, denen selbst das Justizsystem nach Verbüßung ihrer Haftstrafe eine zweite Chance einräumt – die ihnen nur verwehrt bleiben könnte. Denn während die meisten abgesessenen Strafen zumindest nach einigen Jahren im polizeilichen Führungszeugnis nicht mehr aufscheinen, können sich die Betroffenen nun bis zu ihrem Lebensende nicht mehr sicher sein, wo ihre Vorstrafen vielleicht irgendwann wieder auftauchen. Ob sie sich vielleicht ein windiger Personalberater organisiert, für den Fall, dass er Aushilfskräfte vermittelt und besser informiert sein will als sein Konkurrent. Ob ein verschlagener Missetäter die brav-bürgerlichen Eltern mit dem in ihrem Dorf nicht bekannten Schicksal ihres auf die schiefe Bahn geratenen Sohnes erpresst. Ob irgendjemand sogar einmal auf die Idee kommt, sie vielleicht ins Internet zu stellen. Einfach so. Weil er sie eben hat. Auf einem Server in einem Land, das nicht österreichischer Jurisdiktion unterliegt. Derartiges ist für einen einigermaßen kundigen User nur eine Fingerübung.

Die hitzige politische Diskussion um eine öffentliche Prangerdatei für Sexualstraftäter nimmt sich dagegen plötzlich ziemlich klein aus.

“Das ist ein unfassbarer Fall”, sagt Datenschützer Hans Zeger, von profil mit den Fakten konfrontiert. “Daten lassen sich nie wieder einfangen. Wenn sie mal draußen sind, kann man nur noch hoffen, dass sie nicht gegen einen verwendet werden.”

Es ist die erste große Datenpanne in Österreich. Nie zuvor wurde ein Fall von derartiger Dimension bekannt. Großbritannien dagegen hat bereits die zweite Datenaffäre hinter sich. Dem dortigen Verkehrsministerium kamen 7500 Fahrzeugdaten auf dem Postweg abhanden – inklusive Namen und Adressen der Pkw-Besitzer. Seit vergangenem November vermissen die britischen Steuerbehörden außerdem die Daten (Name, Anschrift, Geburtsdaten und Bankverbindung) von mehr als sieben Millionen Familien, die Kindergeld beziehen.

Doch während die englische Verkehrsministerin und ihr Amtskollege aus dem Finanzressort peinlich berührt das Haupt senkten, lehnt sich das österreichische Justizministerium zurück. Erst durch profil erfuhr das Kabinett von SPÖ-Justizministerin Maria Berger davon, dass Datenkopien existieren. Und nach Tagen Recherche- und Bedenkzeit zieht sich die Ministerin in einer knappen Stellungnahme ganz auf das geltende Recht zurück: “Nach dem Datenschutzgesetz haben wir keine Verpflichtung, jemanden zu informieren, auch die Betroffenen nicht”, lässt Berger über ihren Sprecher Thomas Geiblinger ausrichten. Punkt. Besondere Verve, diese Gesetzeslücke aus politischem Feingefühl heraus überbrücken zu wollen, lässt sich da nicht heraushören. Damit hielt sich das Ministerium bisher aber auch lästige Fragen und vor allem allfällige Amtshaftungsklagen vom Leib. Letztere könnten nun Millionenzahlungen für die Republik nach sich ziehen (siehe auch Kasten).

Dabei kursieren die Kopien schon lange: Ein Justizwachebeamter der Justizanstalt Josefstadt hatte die Daten heruntergeladen. Einfach so. Ohne viel Aufwand. Ohne dass es besondere Hürden dafür gegeben hätte, die gesamte Kartei abzurufen. Und vor allem: ohne dass es jemandem aufgefallen wäre. Der Beamte der Justizanstalt Josefstadt loggte sich mit seinem Kennwort einfach in die so genannte “Integrierte Vollzugsverwaltung” ein und lud “personenbezogene Daten über 8500 Häftlinge” herunter, wie die Staatsanwaltschaft in ihrer Anklage schreibt. “Geburtsdatum und -ort, Staatsangehörigkeit, Geschlecht, Familienstand, Religionsbekenntnis, Vornamen der Eltern, erlernten und ausgeübten Beruf, Aufnahme- und Entlassungsdaten, Verurteilungen und Lichtbilder der Häftlinge” rief er ab, kopierte sie auf einen USB-Stick und gab sie einem Gefangenen, der gerade eine Haftstrafe wegen Betrugs absaß.

Dass der Fall überhaupt aktenkundig wurde und der Staatsanwalt die obige Anklageschrift wegen Amtsmissbrauch formulieren konnte, ist das Verdienst eines anderen Häftlings, Johann B. (Name geändert) Dieser organisierte sich den USB-Stick und ließ ihn über einen Anwalt nachweislich dem Justizministerium übergeben.

Der Mittelsmann war alles andere als ein bequemer Häftling. Unzählige Briefe schrieb er aus der Haft und prangerte Missstände an. Aufgrund seines Auftretens und seiner Diktion schenkte ihm niemand Glauben. Erst als der Daten-Stick im Ministerium vorlag, nahm man ihn ernst. Das Justizministerium bedankte sich, schaltete die Staatsanwaltschaft ein, und die klagte – wie zitiert – alle drei Beteiligten an. Das Urteil: acht Monate bedingt für den Justizwachebeamten, zehn Monate unbedingt für seinen Verbündeten. Beide rechtfertigten sich damit, Johann B. hätte sie dazu angestiftet, die Daten zu organisieren, um sie angeblich “irgendeiner amerikanischen Hilfsorganisation” zukommen zu lassen, die finanziell bedürftige Häftlinge unterstütze. Mehr wüssten sie nicht.

Die höchste Strafe, nämlich 14 Monate unbedingt, fasste trotz glaubwürdigster Aussage somit der Aufdecker selbst aus. Und das, obwohl selbst der Staatsanwalt in seiner Anklageschrift dokumentierte, dass die Sache erst durch B. ins Rollen gekommen war.

Problem unterschätzt. Am 30. August 2006, vier Wochen vor der letzten Nationalratswahl erging das Urteil. Weder die Öffentlichkeit noch die betroffenen Gefangenen, deren Daten verloren gingen, wurden informiert. Ein Häftlingsskandal im damals noch BZÖ-regierten Ressort hätte die ums politische Überleben kämpfenden Orangen den Wiedereinzug in den Nationalrat kosten können.

Bei Justizministerin a. D. Karin Gastinger kommt die Erinnerung daran nur schleppend wieder. “Ja, ich kann mich dunkel erinnern, dass da was war”, sagt sie. “Mir war damals nur wichtig, dass der Täter bestraft wird und die Daten wieder da waren.” Auf die Idee, dass bereits weitere Kopien gezogen worden sein könnten, kam damals niemand. Selbst ihr damaliger Sprecher Christoph Pöchinger, der zeitweise als Referent für den Strafvollzug tätig war, gesteht entwaffnend offen ein: “Kein Mensch hat damals daran gedacht, dass das ein Problem sein könnte.”

Für ganz übergeschnappt dürfte man B. dennoch nicht gehalten haben. Denn einer seiner frühen Briefe an die damalige Grün-Abgeordnete und heutige Volksanwältin Terezija Stoisits über Daten-Indiskretionen wurde vom Ministerium zurückgehalten, wie ein Aktenvermerk belegt. Ein beherzter Justizwachebeamter hielt fest: “Von der ho. Anstaltsleitung wurde ich dahingehend informiert, dass der oa. Brief lt. Anordnung von Sektionschef Dr. Neider, per Telefonat vom 13.1.2005, nicht abgeschickt werden soll. Der Brief soll zurückbehalten werden.” Von profil konfrontiert, rechtfertigt sich Neider, mittlerweile pensioniert, so: “Wenn es um die innere Sicherheit der Justizanstalt geht, soll das nicht an die Öffentlichkeit dringen. Was kann die arme Frau Abgeordnete dafür, dass da jemand so einen Blödsinn zusammenschreibt.” Aufgrund der Angaben im Brief hätte Stoisits die Polizei verständigen müssen. “Und da wir selber Exekutive sind, regeln wir so was selbst”, so Neider wörtlich.

Ganz “so ein Blödsinn” dürfte es nicht gewesen sein. Der Justizwachebeamte wurde entlassen. Und immer noch kann jeder Strafvollzugsbedienstete auf alle Häftlingsdaten zugreifen. Die Sicherheitsvorkehrungen sind unverändert. Der Aufdecker ist wegen dieser Sache noch in Haft.

***

“1000 Euro sind für jeden drin”

Trotz Lücken im Datenschutzgesetz könnten Klagen in Millionenhöhe auf die Republik zukommen.

Hannes Tretter schüttelt fassungslos den Kopf. “Sollte tatsächlich ein einzelner Justizwachebeamter hunderte oder tausende Häftlingsdaten problemlos heruntergeladen haben und eine Kopie davon anfertigen können, stellt sich schon die dringende Frage, ob die Daten ausreichend gesichert waren. Daran könnte sich auch die Frage entscheiden, ob die Betroffenen einen etwaigen Amtshaftungsanspruch gegen die Republik geltend machen können”, sagt der Leiter des Ludwig-Boltzmann-Instituts für Menschenrechte. “Für alle Behörden, die personenbezogene Daten sammeln oder speichern, gilt selbstverständlich eine besondere Sorgfaltspflicht. Ebenso ergibt sich aus dem Gesetz eine Verpflichtung, die Sicherheit dieser Daten zu gewährleisten, da jeder Mensch ein Grundrecht auf Geheimhaltung seiner Daten hat.” Ob Letzteres verletzt wurde, kann jedoch nur ein Gericht klären, wenn die Betroffenen klagen.

Und das könnte die Republik einiges kosten. “1000 Euro sind unter Umständen für jeden Betroffenen drin”, sagt Datenschützer Hans Zeger. Bei 8500 Fällen eine Summe von stolzen 8,5 Millionen Euro. Die ARGE Daten beschäftigte erst kürzlich ein Fall, bei dem Inkassodaten weitergegeben wurden. Ein Gericht sprach jedem Genannten allein für “erlittene Bloßstellung” 750 Euro Schadenersatz zu.

Dennoch sind derartige Prozesse juristisches Neuland. Um das Recht auf Geheimhaltung einklagen zu können, müssen die Betroffenen wissen, dass es verletzt wurde. Eine Informationspflicht der Behörde, dass die Daten abhanden gekommen sind, will das Justizministerium sehr zu Zegers Missfallen aus dem geltenden Datenschutzgesetz nicht herauslesen. Anders Menschenrechtler Tretter: “Da das Gesetz grundsätzlich eine Informationspflicht der Behörden gegenüber dem Betroffenen vorsieht, wenn Daten rechtmäßig ermittelt und gespeichert wurden, dann dürfte sich mittels Größenschluss erst recht eine Verpflichtung der Behörden ergeben, Betroffene zu informieren, wenn ihre, teilweise sogar sensiblen Daten illegal abgefragt wurden.” Schließlich stehe hinter dieser Informationspflicht ja die Idee, dass dem Betroffenen die Möglichkeit eröffnet werden soll, Rechtsschutz in Anspruch zu nehmen und etwaige Maßnahmen zum Schutz seiner Interessen zu ergreifen. Betroffene können sich an die Datenschutzkommission im Kanzleramt wenden.

Datenschutz. Ja zu Fingerprints auf der E-Card, Ja zur IP-Adressen-Abfrage im Netz – und ein Vorsitze nder ohne Computer: Der heimische Datenschutzrat steht zusehends auf der Seite datensammelnder Regierungsstellen. Und weniger auf jener der betroffenen Bürger. (für profil)

Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten… (Datenschutzgesetz, Art. 1 § 1)

Das Läuten der Sturmglocke hatte sich Johann Maier anders vorgestellt. Allein saß er im SPÖ-Stützpunktzimmer des Parlaments und wartete. Über “Terror und Bürgerrechte – Die Zukunft des Datenschutzes” wollte er die Öffentlichkeit informieren. Doch kein einziger Journalist fand an jenem heißen Juli-Vormittag im Jahr 2005 den Weg ins Parlament. “Damals hat das Thema Vorratsdatenspeicherung fast niemanden interessiert”, schüttelt der rote Konsumentenschutzsprecher noch heute den Kopf.

Mittlerweile ist die Gesellschaft sensibler. Internet-Initiativen rufen zum Widerstand gegen die Kommissionspläne auf, Mails und Surfverhalten jedes Einzelnen auf Jahre hinaus zu speichern. Internet-Provider proben mit Verfassungsbeschwerden den Aufstand gegen die Herausgabepflicht von Daten an die Exekutive im Rahmen des neuen Sicherheitspolizeigesetzes. Spätestens als zuletzt die internen E-Mails eines ehemaligen Innenministers nicht vertraulich blieben, musste jedem Computer-User schlagartig klar sein, dass jeder Tastendruck heute irgendwann später öffentlich zugänglich sein könnte.

Doch wer vertritt neben kaufmännisch motivierten Telekomfirmen und selbst ernannten Internet-Revolutionären die Sorgen des Durchschnittsbürgers?

In Deutschland heißt der Datenschutzbeauftragte Peter Schaar. Der “Bundesbeauftragte für den Datenschutz und die Informationsfreiheit” wird vom Bundestag gewählt, nimmt eine unabhängige Sonderstellung ein, und ist nur dem Gesetz unterworfen. Der Autor eines preisgekrönten Bestsellers (“Das Ende der Privatsphäre: Der Weg in die Überwachungsgesellschaft”) wird von Medien im deutschen Sprachraum gern als Vordenker interviewt und wirft in Vorträgen die Fragen der Zukunft auf.

In Österreich ist alles ein wenig anders, ein wenig österreichischer. Als einzig offizielles Organ äußert sich vorab der Datenschutzrat (DSR) zu geplanten Gesetzen. Sein Vorsitzender, Harald Wögerbauer, werkt im Zivilberuf als stellvertretender Direktor des ÖVP-Parlamentsklubs und “greift” – nach eigenen Worten – “keinen Computer an”. (Die parallel agierende amtliche Datenschutzkommission, DSK, prüft in Gerichtsmanier vor allem rückwirkend – und nur bei offiziell eingebrachten Beschwerden des Einzelnen.)

Proporzbesetzung. Dass mit Wögerbauer und Stellvertreter Maier zwei Politiker von Regierungsparteien den Vorsitz führen, ist kein Zufall. Den Spielregeln von Proporz und Sozialpartnerschaft entkommt auch eine Institution für digitale Zukunftsfragen nicht. Kanzlervertreter und Opposition, Arbeiter- und Wirtschaftskammer, Länder und Gemeinden sitzen im etwa sechsmal jährlich tagenden “Beratungsgremium der Bundesregierung”.

Dass der Datenschutzrat zuletzt auffallend oft Regierungsplänen applaudierte, wundert da nicht. Die Interessen der Bürger, die er aber gegen geplante Gesetzesvorhaben per definitionem abwägen sollte, fallen immer öfter unter den Tisch.

Bauernveto. Internationalen Vorhaben wie der erwähnten Datenvorratsspeicherung oder der Übermittlung von Fluggastdaten an die USA kann der DSR zwar leicht skeptisch gegenüberstehen. Kritik an innerösterreichischen Initiativen scheitert aber oft an der Parteipolitik. Als Gesundheitsministerin Andrea Kdolsky Fingerprints auf der E-Card speichern lassen wollte – eine Idee, von der sie wenig später sogar selbst wieder Abstand nahm -, sprang ihr Wögerbauer bei: “Fingerabdrücke und Foto ermöglichen eine bessere Identifizierung. Deshalb haben wir das Vorhaben schon positiv begutachtet.”

Für die Diskussion der großen Fragen der digitalen Zukunft der Computer-User bleibt da kaum Platz. Das letzte große Veto gegen ein Ministeriumsvorhaben legte der DSR nach Wögerbauers Erinnerung ein, als das Landwirtschaftsministerium Daten zur Nutztierhaltung von Bauern über die Statistik Austria beziehen wollte. Man müsse die Bauern selbst fragen, riet der Rat.

Die plötzliche nächtliche Änderung der Sicherheitspolizei-Novelle im Parlament zur Überwachung von Online-Aktivitäten passierte den Datenschutzrat nie. Das räumt selbst Wögerbauer ein. Allein: Als Vizedirektor des ÖVP-Parlamentsklubs dürfte ihm der Antrag nicht entgangen sein. Und der SP-Abgeordnete Maier stimmte zu. “Als Klubdirektor hat Herr Doktor Wögerbauer die Ausschaltung des Innenausschusses und des Justizministeriums mitgeplant”, ätzt der Grün-Politiker Peter Pilz, “und als Vorsitzender des Datenschutzrates hat er sich selbst davon nicht informiert: ein unglücklicher Fall von beruflicher Schizophrenie mit Selbstgesprächsstörung.”

Kleinkrieg. Durch die parteipolitische Punzierung verkommt die Diskussion von Zukunftsthemen zum parteipolitischen Hickhack. Und entsprechend wehrt sich auch Wögerbauer, der seinerseits wieder kein gutes Haar an Pilz und dem Grünen-Vertreter im DSR, Hans Zeger von der ARGE Daten, lässt. Mit ihren permanenten Kassandrarufen respektive Gegenstimmen, so der ÖVP-Mann, würden die beiden einerseits Eigeninteressen durch Panikmache verfolgen und sich andererseits nur lächerlich machen. Wenn man aber etwas bewegen wolle, so der von vielen Seiten als Jurist Geschätzte, dürfe man nicht Extrempositionen vertreten, sondern müsse ernst genommen werden. “Man darf nicht immer gleich aufschreien. Man muss abwägen: zwischen den Interessen des Einzelnen und den berechtigten Anliegen der Gesellschafts-, Wirtschafts- und Sicherheitspolitik”, sagt der Datenschutzrats-Vorsitzende Harald Wögerbauer. “Alles andere ist Sektierertum!”

Seinen “Datenschutz mit Augenmaß” hat der Vorsitzende zuletzt sehr weitläufig ausgelegt. Als Personalvertreter von Ministerien beim DSR vorstellig wurden, um gegen die Computer-Bespitzelung durch die Ressortleitung zu protestieren, initiierte der DSR eine Arbeitsgruppe im Bundeskanzleramt. Deren Ziel definiert Wögerbauer für einen Datenschützer jedoch untypisch: “Dort sollen nun gemeinsame Regeln für alle Ministerien erarbeitet werden, wie sie ihre Mitarbeiter überwachen sollen. Denn dass sie sie überwachen dürfen, ist klar.”

Selbstschutz. Mit dem Schutz eigener Daten nimmt es der DSR dagegen genau. Seine Kompromissbeschlüsse finden sich nur versteckt auf der Parlamentshomepage, die Stellungnahmen einzelner Mitglieder sind nirgendwo einsehbar. “Der Datenschutzrat hat natürlich eine eigene Website. Da finden Sie tausende Seiten an Information”, sagt Vorsitzender Wögerbauer. Auswendig weiß er deren Adresse nicht: “Fragen Sie meine Sekretärin.”

Das sollte er selbst vielleicht auch einmal tun. Die Sub-Website des Bundeskanzleramts https://www.bka.gv.at/dsr ist passwortgeschützt und leider ausschließlich DSR-Mitgliedern zugänglich.

Viktor Mayer-Schönberger, österreichischer Universitätsprofessor mit Lehrstuhl für Recht in Harvard, über Sexbilder im Internet, die Geilheit des Menschen auf gute Geschichten und die Rache des Archivs am Durchschnittsbürger. (für profil)

profil: Die gesamte Entwicklungsgeschichte über hat der Mensch gegen das Vergessen angekämpft: Er hat gemalt, geschrieben, Aufzeichnungen geführt. Nun plädieren Sie für ein automatisches Ablaufdatum von Informationen. Was ist am Vergessen so toll? (weiterlesen…)