"Wir haben den Vorfall, wie gesetzlich vorgeschrieben, bei der Datenschutzbehörde gemeldet. Das Land wird in den nächsten Tagen auch eine Sachverhaltsdarstellung bei der Staatsanwaltschaft einbringen", sagte ein Sprecher des Landes auf APA-Anfrage.
Bei der Österreichischen Datenschutzbehörde bestätigte man am Freitag lediglich, dass Verfahren im Laufen seien. Wer hinter den unberechtigten Downloads der Daten von bis zu 2.401 Personen stehen könnte, ist nach wie vor offen. Es steht auch nicht fest, wie viele und welche Benutzer der Internetseite "salzburg-testet.at" tatsächlich betroffen waren. Potenziell infrage kommen alle jene Menschen, die sich zwischen 14. Jänner, 22.20 Uhr, und 15. Jänner, 21.00 Uhr, für einen Schnelltest registriert haben.
Insgesamt wurden in dem Zeitraum rund 5.000 Downloads verzeichnet. Etliche Datensätze dürfen aber zwei oder mehrfach heruntergeladen worden sein. Unter die Zahl fallen auch jene Downloads, die jeder registrierte Nutzer für seine eigenen Daten hat vornehmen können. Mit der Abwicklung der Anmeldung und der Tests hat das Land Salzburg das Rote Kreuz beauftragt.
Bei der Arbeiterkammer Salzburg haben sich unterdessen drei Betroffene gemeldet. "Sie waren verunsichert und wollten wissen, was passieren kann und welche Möglichkeiten sie rechtlich haben", sagte Claudia Bohl von der AK-Konsumentenschutzabteilung zur APA. Mögliche Opfer des Datenlecks hätten sich aber auch direkt an die Datenschutzbehörde wenden können.
Betroffene sollen aufmerksam sein
Bohl empfahl Betroffenen darauf zu achten, ob ihre Daten möglicherweise missbräuchlich verwendet werden. "Das kann im Extremfall bis zu Bestellungen im Internet führen. Das Risiko ist hier aber wegen bestehender Sicherheitsnetze äußerst gering. Junk- oder Phishing-Mails oder -SMS wären aber möglich." Sollte materieller Schaden entstehen, können diesen Betroffene am Zivilrechtsweg geltend machen. "Die Datenschutzgrundverordnung sieht auch Schadenersatz bei immateriellem Schaden vor", erklärte Bohl - etwa wenn Würde oder Ehre einer Person verletzt werden. In diesem Fall müssen - so legen es erste Urteile nahe - die psychischen Folgen aber schon erheblich sein, um Geld zu erhalten.
Neben Vor- und Nachname, Geburtsdatum, Telefonnummer und E-Mail-Adresse war bei dem Datenleck - wenn sie denn angegeben wurde - auch die Sozialversicherungsnummer betroffen. Dass sensible Gesundheitsdaten an Dritte gehen könnten, glaubt Bohl aber nicht. Auch beim Land Salzburg sieht man hier keine Gefahr. "Auf der Sozialversicherungskarte werden unter der Nummer zwar Identitätsdaten, aber keine Gesundheitsdaten gesammelt", sagte der Sprecher des Landes.
Dass man nach Bekanntwerden des Lecks zu spät gehandelt habe, weißt das Land zurück. Das Rote Kreuz sei um 11.00 Uhr über das Problem informiert worden und habe sofort das für die Anmelde-Software verantwortliche Unternehmen mit einer Analyse beauftragt. Bereits am Nachmittag sei damit begonnen worden, die Lücke zu schließen. Die Programmierung sei dann am Abend abgeschlossen gewesen.
Auf das Datenleck aufmerksam gemacht habe übrigens eine selbst betroffene Person. "Der ist das aufgefallen, mehr können wir dazu aber nicht sagen", hieß es vonseiten des Landes. Dass ein ehrgeiziger Hacker gezielt auf der Suche nach Sicherheitslücken war, um auf diese aufmerksam zu machen, schloss man jedoch aus.