Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.
Ziel sei es, zu prüfen, ob die App den Anforderungen des Datenschutzes entsprochen hat. Die Behörde bezieht sich in ihrer Antwort auf den externen Prüfbericht der IT-Sicherheitsexpertin Lilith Wittmann, die im Mai auf massive Sicherheitslücken in der App hinwies.
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin ermittelt seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin. Nach massivem öffentlichen Druck zog die CDU die Anzeige zurück und entschuldigte sich bei Wittman.
Unklar ist, ob auch das Verfahren eingestellt wird. Bis Donnerstagvormittag gab die Staatsanwaltschaft Berlin dazu keine Stellungnahme ab. Wittmann sammelt Gelder für die Strafverteidigung. Mehr als 2.300 Euro sind laut Patreon für die Anzahlung der Strafverteidigung bislang zusammengekommen.
Bußgelder in Millionenhöhe
Im Mai 2021 hatte die Sicherheitsforscherin in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union.
Die CDU nutzt „CDUconnect“, um den Haustür-Wahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und welche die politischen Meinungen zur CDU im entsprechenden Haushalt waren. Die CDU bestritt vor Wittmanns Nachhaken, dass die App überhaupt Daten erhebe.
Witmann bewies nicht nur das Gegenteil. Mit ein paar Kniffen konnte sie sogar auf den Datensatz zugreifen. So waren persönliche Daten von 18.500 Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen, ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet „CDUconnect“ eine Wertung von 1,4 von 5 Sternen – „Die App zeigt perfekt die Kompetenz der CDU im Internet“, schreibt ein User.
Auch mitgeschriebene Gesprächsverläufe konnte die Sicherheitsforscherin einsehen. „Bundeskanzler soll ein Mann sein und keine links-grün versiffte Frau“, sagte etwa eine 50-Jährige aus Göttingen den CDU-Mitarbeitenden.
Wittmann konnte zudem auf die Daten von rund 500.000 befragten Personen zugreifen. Daraufhin wurde die unsichere Datenbank zwischenzeitlich vom Netz genommen, die CDU versprach, die Fehler zu beheben.
Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, sagt die Landesdatenschutzbeauftragte.
Verstöße gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des Unternehmens verhängt werden.
CCC wünscht CDU viel Glück
„Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz“, sagt Linus Neumann, Sprecher des CCC.
Der CCC kritisiert das Vorgehen der CDU in seiner Stellungnahme scharf. So verstoße die Partei gegen das in der IT-Sicherheitskultur etablierte Prinzip der responsible disclosure. Der Ausdruck bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind. Normalerweise wird den Entdecker:innen gedankt, manchmal eine Belohnung gezahlt, mitunter sogar in Millionenhöhe. Nicht bei der CDU. Die „Shooting the Messenger“-Strategie der Union kritisiert der CCC. Anstatt die Sicherheitslücken einer App zu schließen, werde die Person angegriffen, die auf das Problem hinwies.
„Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt Neumann. Insofern sei dieses destruktive Vorgehen nur konsequent. Um künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der CCC künftig auf das Melden von Sicherheitslücken bei der CDU verzichten. Für künftige IT-Probleme wünscht Neumann der Partei viel Glück.
Der Artikel wurde am 06.08.2021 um 09:45 Uhr aktualisiert.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen