Eine Datenbank mit Namen, Adressen, Geburtsdatum und weiteren Informationen zu neun Millionen in Österreich gemeldeten Personen stand 2020 mindestens zwei Wochen lang offen im Netz. Die GIS (Gebühren Info Service) – das Pendant zum ARD, ZDF und Deutschlandradio Beitragsservice – soll ein IT-Unternehmen mit einer Datenzusammenlegung beauftragt haben. Dabei habe es das Datenleck bei einem Testsystem gegeben, das ein Niederländer nutzte. Er stahl die Daten und bot sie im Darknet an. Zunächst schien der Vorfall schnell erledigt zu sein. Nachdem Verfassungsschutz und Bundeskriminalamt ermittelten, konnte die GIS beziehungsweise das Subunternehmen als schuldig ausfindig gemacht werden. Die GIS schickte eine Presseaussendung raus, die reichen sollte, alle Betroffenen zu informieren. Das Problem wurde DSGVO-konform gemeldet. Nun aber gibt es ein Sammelverfahren zweier Anwälte, dem sich bereits 2000 Menschen angeschlossen haben. Laut der Tageszeitung Der Standard sehen die Anwälte Chancen auf 1000 Euro Schadenersatz pro Person. Zum einen werfen sie der GIS Nachlässigkeit vor. Es geht auch um die Frage, wie und warum die Daten auf einem Testsystem offen zugänglich abgelegt wurden. Zum anderen habe die GIS laut Rundfunkgebührengesetz keine Ermächtigung, Daten an Dritte, also das Subunternehmen weiterzugeben. Dort heißt es nur, dass Inkasso-Dienstleistungen ausgelagert werden dürfen. Die GIS hatte das Unternehmen konkret damit beauftragt, die Meldedaten mit einer Datenbank zu Gebäuden in Österreich zusammenzulegen, um sicherzustellen, dass ihnen kein Bürger entgeht. Ein weiterer Vorwurf der Anwälte lautet, dass die Presseaussendung nicht ausgereicht hätte, um alle Bürger zu informieren – man hätte dies im Rahmen der Vorschreibung machen müssen, die regulär per Post versendet wird. Als die Daten auftauchten, fiel der Verdacht als erstes auf das Innenministerium und das dort angesiedelte Zentrale Melderegister, weil die Daten von allen gemeldeten Bürgern in der Liste stehen. Dieses dementierte sofort. Allerdings soll die GIS auf eben jenes Register zugreifen dürfen. Schnell war denn wohl anhand der Daten ersichtlich, dass diese von der Gebühren-Erhebungsstelle stammten. Das Datenleck wurde entdeckt, weil ein Niederländer die Daten im Darknet anbot, das österreichische Bundeskriminalamt kaufte sie für ihre Ermittlungszwecke für eine mittlere vierstelligen Summe – die in einer Kryptowährung überwiesen worden sein soll. Erst vor Kurzem ist der Mann in Amsterdam festgenommen worden. Es sind nicht die einzigen Daten gewesen, die er auf einer kriminellen Plattform angeboten hat – auch sollen Patientendaten aus Krankenakten dabei gewesen sein. Die niederländische Polizei hat nach eigenen Angaben erhebliche Mengen Hard- und Software sichergestellt.