Fortsetzung: Datenschutzproblem beim Außenministerium

Austria SAFE deckt Google-Fonts-Verstoß auf – 440.000 Bürger:innen betroffen

Veröffentlicht am 8. Oktober 2025 | Kategorie: Datenschutz & DSGVO

In der Oktober-Sendung von Austria SAFE geht unsere Recherche zum Außenministerium weiter – und bringt neue, brisante Details ans Licht. Nach der offiziellen Stellungnahme des BMEIA, wonach „keine Sicherheitslücke in den IT-Systemen" bestanden habe, haben wir die Online-Anwendung der Reiseregistrierung technisch überprüft. Was wir fanden, ist ein massiver DSGVO-Verstoß, der seit 2021 unentdeckt blieb.

📖 Kurze Zusammenfassung des ersten Falls

Im August 2025 meldete das Außenministerium ein mögliches Datenleck in der Reiseregistrierung. Die Kommunikation war intransparent, die Zahlen widersprüchlich (70 vs. 76 Betroffene bei 440.000 Gesamtnutzern), und viele Fragen blieben unbeantwortet trotz Anfrage auf Basis des IFG (Informationsfreiheitsgesetz).

→ Zum ersten Artikel

Die technische Überprüfung: Was wir gefunden haben

Austria SAFE hat die Website der Reiseregistrierung einer gründlichen technischen Analyse unterzogen. Das Ergebnis war eindeutig und problematisch:

🚨 Der Befund: Unerlaubte Datenübermittlung an Google

Die Seite übermittelte beim Aufruf Daten an Google-Server in den USA – konkret über die Einbindung von Google Fonts.

Übermittelte Daten:

  • IP-Adresse der Nutzer:innen
  • Browser-Informationen (User-Agent)
  • Zeitstempel des Zugriffs
  • Referrer-Informationen

Was ist das Problem mit Google Fonts?

Google Fonts ist ein beliebter Dienst, der Websites ermöglicht, moderne Schriftarten zu verwenden. Das Problem entsteht, wenn diese Schriftarten direkt von Google-Servern geladen werden, statt lokal auf dem eigenen Server gehostet zu werden.

🔧 Technischer Hintergrund

Betroffene URL:

https://auslandsregistrierung.bmeia.gv.at/

Identifizierte Google Fonts Aufrufe:

https://fonts.googleapis.com/css2?family=Source+Sans+Pro:wght@400;700&display=swap
https://fonts.googleapis.com/css2?family=Source+Sans+Pro&display=swap

Was passiert dabei?

  1. Nutzer:in ruft die Website auf
  2. Browser kontaktiert Google-Server in den USA
  3. Google erhält die IP-Adresse und weitere Metadaten
  4. Diese Daten werden möglicherweise für Profiling verwendet

DSGVO-konforme Alternative:

Fonts lokal hosten – dann verlassen keine Daten die EU

Zeitlinie des Verstoßes

📅 Chronologie der Ereignisse

  • 2021: Start der Reiseregistrierung mit Google Fonts
  • 2021-2025: Kontinuierliche Datenübermittlung an Google USA
  • 13. August 2025: BMEIA meldet "mögliches Datenleck"
  • August 2025: Schwachstelle bleibt auch nach "Behebung" bestehen
  • 27. September 2025: Austria SAFE informiert das BMEIA offiziell
  • 29. September 2025: Schwachstelle wird behoben (2 Tage später)

Diese Verbindung bestand seit 2021 und blieb auch nach dem vermeintlichen Sicherheitsvorfall im August 2025 unentdeckt. Damit wurden über vier Jahre hinweg IP-Adressen und Browserdaten von Nutzer:innen ohne Einwilligung an Google übertragen.

Der DSGVO-Verstoß im Detail

1. Fehlende Rechtsgrundlage

Die Übermittlung personenbezogener Daten (IP-Adressen) an Dritte benötigt eine Rechtsgrundlage:

  • Einwilligung: Wurde nicht eingeholt
  • Berechtigtes Interesse: Nicht dokumentiert oder nachweisbar
  • Vertragliche Notwendigkeit: Nicht gegeben

2. Fehlende Transparenz

In der Datenschutzerklärung des Ministeriums findet sich kein Hinweis auf diese Datenübermittlung. Nutzer:innen wurden nicht informiert über:

  • Die Übermittlung an Google
  • Den Zweck der Datenverarbeitung
  • Die Empfänger der Daten
  • Die Speicherdauer bei Google

3. Drittstaaten-Übermittlung ohne Garantien

Daten wurden in die USA übermittelt – ein Land ohne angemessenes Datenschutzniveau nach EU-Standards. Es fehlen:

  • Standardvertragsklauseln
  • Binding Corporate Rules
  • Angemessenheitsbeschluss (EU-US Data Privacy Framework ist umstritten)

Coordinated Vulnerability Disclosure (CVD)

✅ Verantwortungsvolle Offenlegung

Austria SAFE hat das Ministerium am 27. September 2025 über das internationale CVD-Verfahren (Coordinated Vulnerability Disclosure) offiziell informiert.

Was ist CVD? Ein standardisiertes Verfahren, bei dem Sicherheitsforscher Schwachstellen vertraulich an die betroffene Organisation melden, bevor sie öffentlich gemacht werden. Dies gibt Zeit zur Behebung und verhindert Missbrauch.

Reaktionszeit des BMEIA: 2 Tage – die Schwachstelle wurde am 29. September behoben. Das ist vorbildlich!

Das Ausmaß: 440.000 Betroffene

Das Problem betrifft potenziell alle 440.000 Nutzer:innen der Reiseregistrierung seit 2021. Jeder einzelne Aufruf der Website hat Daten an Google übermittelt.

💰 Rechtliche Konsequenzen: Schadenersatz möglich

In ähnlichen Fällen wurden österreichische Website-Betreiber bereits zu Schadenersatzzahlungen verurteilt – meist zwischen 100 und 300 Euro pro betroffene Person.

Beispiele aus der Rechtsprechung:

  • LG München (2022): 100€ Schadenersatz wegen Google-Fonts-Einbindung
  • LG Hannover (2023): 100€ + Abmahnkosten
  • OGH Österreich: Anerkennung von immateriellen Schäden bei DSGVO-Verstößen

Hochrechnung: Bei 440.000 Betroffenen und durchschnittlich 150€ Schadenersatz ergäbe das einen potenziellen Gesamtschaden von 66 Millionen Euro.

Besondere Sensibilität: Risikogruppen betroffen

Aus datenschutzrechtlicher Sicht ist der Fall besonders brisant: Die Reiseregistrierung wird häufig von Menschen genutzt, die in Krisen- oder Risikogebiete reisen.

⚠️ Gefährdete Personengruppen

Durch die Einbindung externer US-Dienste könnte – rein technisch – nachvollzogen werden, welche IP-Adressen aus Österreich die Plattform aufrufen. Das schafft ein vermeidbares Risiko für besonders schutzbedürftige Gruppen:

  • Journalist:innen in autoritären Staaten
  • Menschenrechts-Aktivist:innen
  • Einsatzkräfte von Hilfsorganisationen
  • Diplomatisches Personal
  • Geschäftsreisende mit sensiblen Informationen

Das Risiko: Geheimdienste oder autoritäre Regime könnten theoretisch über Google-Server oder durch Überwachung des Internetverkehrs feststellen, wer sich für Reisen in bestimmte Länder registriert hat.

Was hätte anders laufen müssen?

1. Technische Maßnahmen vor dem Launch

  • Lokales Hosting: Alle Ressourcen selbst hosten, nicht von Drittanbietern laden
  • Security Audit: Vor Inbetriebnahme externe Sicherheitsprüfung
  • Datenschutz-Folgenabschätzung (DSFA): Pflicht bei sensiblen Daten

2. Organisatorische Maßnahmen

  • Datenschutzbeauftragter einbinden: Bei jeder neuen Anwendung
  • Regelmäßige Kontrollen: Mindestens jährliche Überprüfung
  • Mitarbeiterschulungen: Awareness für DSGVO-Anforderungen

3. Transparenz und Dokumentation

  • Vollständige Datenschutzerklärung: Alle Datenflüsse dokumentieren
  • Verzeichnis von Verarbeitungstätigkeiten: Gesetzlich verpflichtend
  • Öffentliche Kommunikation: Bei Problemen transparent informieren

Wie können Sie sich schützen?

🛡️ Praktische Tipps für Nutzer:innen

  1. Browser-Erweiterungen nutzen:
    • uBlock Origin (blockiert Tracking)
    • Privacy Badger (verhindert unsichtbare Tracker)
    • NoScript (kontrolliert externe Skripte)
  2. VPN verwenden: Verbirgt Ihre IP-Adresse vor Websites und Dritten
  3. Datenschutzfreundliche Browser:
    • Firefox mit strengen Datenschutz-Einstellungen
    • Brave (blockiert Tracker standardmäßig)
    • Tor Browser (maximale Anonymität)
  4. Auskunftsrecht nutzen: Fragen Sie bei Behörden an, welche Daten sie über Sie haben

Was passiert jetzt?

Mögliche nächste Schritte

Betroffene Nutzer:innen haben verschiedene Möglichkeiten:

  1. Beschwerde bei der Datenschutzbehörde:

    Die österreichische Datenschutzbehörde (DSB) kann den Fall untersuchen und Strafen verhängen.

  2. Schadenersatzklage:

    Individuelle oder Sammelklage gegen das Ministerium möglich. Präzedenzfälle existieren bereits.

  3. Öffentlicher Druck:

    Mediale Aufmerksamkeit kann zu strukturellen Verbesserungen führen.

Unsere Forderungen an das Außenministerium

📋 Was jetzt geschehen muss

  1. Vollständige Offenlegung: Transparente Kommunikation über beide Vorfälle (August + September)
  2. Information aller Betroffenen: Alle 440.000 Nutzer:innen sollten informiert werden
  3. Unabhängiges Audit: Externe Sicherheits- und Datenschutzprüfung aller BMEIA-Systeme
  4. Strukturelle Verbesserungen: Datenschutz-Folgenabschätzungen für alle Online-Dienste
  5. Schadenersatz-Regelung: Faire Entschädigung der Betroffenen

Lessons Learned: Was wir alle daraus lernen können

Für Website-Betreiber

  • Google Fonts und andere externe Ressourcen immer lokal hosten
  • Regelmäßige DSGVO-Compliance-Checks durchführen
  • Datenschutz von Anfang an mitdenken ("Privacy by Design")
  • Transparente Datenschutzerklärungen pflegen

Für Behörden und öffentliche Institutionen

  • Höchste Standards bei sensiblen Daten anwenden
  • Transparente Kommunikation bei Vorfällen
  • Externe Audits als Standard etablieren
  • Vorbildfunktion im Datenschutz wahrnehmen

Für Nutzer:innen

  • Kritisch hinterfragen, welche Daten wirklich notwendig sind
  • Browser-Schutz und VPN nutzen
  • Ihre Rechte kennen und einfordern
  • Vorfälle der Datenschutzbehörde melden

Fazit: Ein vermeidbarer Verstoß mit weitreichenden Folgen

Der Google-Fonts-Verstoß beim Außenministerium ist ein Paradebeispiel dafür, wie scheinbar kleine technische Details große datenschutzrechtliche Konsequenzen haben können. 440.000 Menschen waren betroffen, über vier Jahre lang, ohne ihr Wissen und ohne ihre Einwilligung.

Besonders problematisch: Es handelt sich um eine Behörde, die für den Schutz österreichischer Bürger:innen im Ausland zuständig ist. Ausgerechnet hier sollten die höchsten Sicherheits- und Datenschutzstandards gelten.

Die schnelle Behebung nach unserer Meldung zeigt, dass das Ministerium handlungsfähig ist. Jetzt braucht es vollständige Transparenz, faire Entschädigung und strukturelle Verbesserungen, damit solche Vorfälle in Zukunft nicht mehr passieren.

🔍 Offene Fragen bleiben weiterhin:

  • Wurden die 440.000 Nutzer:innen informiert?
  • Wurde die Datenschutzbehörde ordnungsgemäß eingeschaltet?
  • Gibt es weitere unentdeckte Schwachstellen?
  • Wird es eine Entschädigung für die Betroffenen geben?
  • Wie sieht der Aktionsplan zur Verbesserung aus?

Austria SAFE bleibt am Ball und wird weiter berichten.

🎧 Hören Sie mehr dazu in unserer AUSTRIA SAFE Sendung!
In der Oktober-Sendung haben wir den Google-Fonts-Verstoß detailliert aufgearbeitet und mit Expert:innen über die rechtlichen Konsequenzen gesprochen. Die gesamte Sendung ist im Archiv von Radio Orange 94.0 und auf austriasafe.at nachzuhören.

Sendetermin: Jeden zweiten Mittwoch um 15:00 Uhr auf Radio Orange 94.0 oder als Podcast verfügbar.
← Zurück zur Hauptseite