Der Fall könnte als das bislang größte Sicherheitsleck im Umgang mit behördlich gespeicherten Personaldaten in die Geschichte eingehen: In Griechenland soll ein einzelner Computerexperte private Daten von mehr als sieben Millionen Bürgern abgegriffen haben. Erlebt das krisengeschüttelte Land nun auch noch einen Privatdaten-GAU?

Die griechische Polizei hat einen 35-jährigen Programmierer unter dem Verdacht festgenommen, persönliche Daten von rund zwei Drittel aller Griechen gestohlen zu haben. Der Mann habe versucht, die sensiblen Informationen zu verkaufen, teilte die Behörden mit.

Zu den gestohlenen Daten gehörten die Nummern von Personalausweisen, Steuernummern und die Nummern von Autokennzeichen. In Griechenland leben rund elf Millionen Menschen. Von dem Debakel im staatlichen Datenschutz wären demnach mehr als sieben Millionen Einwohner des Landes betroffen.

Der Fall bleibt mysteriös. Unklar ist zum Beispiel, wie genau es dem Programmierer gelungen sein soll, Zugriff auf ein solch großes Paket an Datensätzen zu erlangen. Auch die Frage, an welche Interessenten der Verdächtige die Daten habe verkaufen wollen, ließen die Behörden zunächst offen.

Allem Anschein nach handelt es sich bei den Datensätzen um Angaben, die in den EDV-Anlagen verschiedener griechischer Verwaltungseinrichtungen vorgehalten wurden. Es werde jetzt untersucht, ob der Verdächtige Computer der Regierung gehackt habe, verlautete aus Regierungskreisen. Anklage wurde bislang nicht erhoben.

Auskunftsanspruch für Bundesbürger

In Deutschland müssen die Behörden einem jüngsten Gerichtsurteil zufolge den Bürgern umfassend Auskunft geben, welche Daten über sie gespeichert und in welchem Umfang behördlich gespeicherte Angaben an Dritte weitergegeben wurden. Nach einem Grundsatzurteil des Bundessozialgerichts (BSG) von vergangener Woche können Bundesbürger künftig wesentlich einfacher gegen eine Ablehnung von Auskunftsersuchen vorgehen. Der Anspruch umfasst demnach zum Beispiel auch die Frage, an wen und mit welchem Medium Daten weitergegeben wurden. (Az.: B 1 KR 13/12 R).

Im Streitfall hatte eine schwerkranke Frau aus Rheinland-Pfalz den Verdacht, ihre Krankenkasse AOK habe dem Arbeitsamt ohne ihre Zustimmung Gesundheitsdaten preisgegeben. Ein Rehabilitationsträger habe weit mehr Daten bekommen als nötig, lautete der Verdacht. Zudem habe die Krankenkasse ihre Daten offenbar unverschlüsselt per E-Mail verschickt. Von der AOK Rheinland-Pfalz/Saarland verlangte die Frau nun Auskunft, wer welche Daten auf welchem Wege bekommen hat. Die AOK lehnte dies unter Hinweis auf den "unverhältnismäßigen" Aufwand ab. Das Gericht forderte die Krankenkasse auf, ein Widerspruchsverfahren zuzulassen.

Behörden müssen umdenken

Das BSG nahm den Streit zum Anlass, sich als erstes Bundesgericht zu dem im Bundesdatenschutzgesetz verankerten Auskunftsanspruch zu positionieren. Danach können Behörden in dieser Frage nicht auf einen hohen Verwaltungsaufwand verweisen. Vielmehr müssen sie ihre Dokumentation und ihre Datenverarbeitung so organisieren, dass eine Auskunft mit vertretbarem Aufwand möglich ist.

Gegebenenfalls könnten sie den Auskunftsanspruch auch durch Akteneinsicht erfüllen. Die Bürger können dem Gericht zufolge auch darüber Auskunft verlangen, an wen und auf welchem Wege Daten weitergegeben wurden.

Umstritten war bislang auch, ob Behörden auf einen Auskunftsantrag mit einem formellen sogenannten Verwaltungsakt reagieren müssen. Nach dem Kasseler Urteil ist dies nicht erforderlich, wenn die Auskunft erteilt wird; ein zusätzlicher Bescheid wäre dann nur überflüssige Bürokratie, urteilte das BSG.