Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt

Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz verstoßen?

„Völlig nutzloser Datensumpf“: Das „D“ in CDU steht eben nicht für digitale Kompetenz Foto: Karsten Thielker

BERLIN taz | Die Staatsanwaltschaft Berlin hat das Verfahren gegen Lilith Wittmann eingestellt, wie die IT-Sicherheitsforscherin auf Twitter und in einem Blogeintrag ausführlich darlegt. Im Mai 2021 hatte Wittmann in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik BSI, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union.

Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin, Abteilung Cybercrime, ermittelte seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin wegen eines Verstoßes gegen Paragraf 202a/b/c StGB, den von der Zivilgesellschaft kritisierten sogenannten Hackerparagrafen, der 2007 von der Großen Koalition eingeführt worden war. Nach massivem öffentlichem Druck zog die CDU die Anzeige zurück und entschuldigte sich bei Wittman. Die Ermittlungen gegen die Sicherheitsforscherin gingen jedoch weiter.

Wittmann zitiert nun in ihrem Blogpost aus der 150 Seiten dicken Ermittlungsakte. Die Er­mitt­le­r:in­nen bestätigten, was Wittmann bereits im Mai feststellte: Sensible Daten lagen ungesichert in der CDU-Wahl-App. „Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar“, schreiben die Ermittler:innen. Einfache Abrufe über die Programmierschnittstelle hatten gereicht, um Zugriff erlangen zu können, ohne dass dabei einfachste Mechanismen wie eine Passwortabfrage überwunden werden mussten, wie auch ein Video auf Youtube zeigt.

Gleichzeitig stellten die Er­mitt­le­r:in­nen von Staatsanwaltschaft und der Cybercrime-Stelle fest, dass es in der CDU-App tatsächlich eine Sicherheitslücke gegeben hat. Weil die Daten demzufolge öffentlich abrufbar waren, greife auch der Hackerparagraf nicht. Denn dieser besagt, man müsse sich unbefugt Zugang zu Daten verschaffen unter Überwindung der Zugangssicherung. Die Staatsanwaltschaft habe deshalb das Verfahren eingestellt. Die Rücknahme der Anzeige seitens der CDU habe damit allerdings nichts zu tun.

Tiefe Einblicke in die Digitalkompetenz der CDU

In der Ermittlungsakte finden sich weitere aufschlussreiche Informationen, die „tiefe Einblicke in die Digitalkompetenz“ geben, wie Wittmann in ihrem Post schreibt. So habe die CDU die durch den „Haustürwahlkampf“ erhobenen Daten überhaupt nicht ausgewertet, sondern lediglich gesammelt, ein laut Wittmann „völlig nutzloser Datensumpf“.

Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und welche die politischen Meinungen zur CDU im entsprechenden Haushalt waren.

Wittmann konnte mit simplen Abfragen auf die Daten von rund 500.000 befragten Personen zugreifen. So waren persönliche Daten von 18.500 Wahl­kampf­hel­fe­r:in­nen mit Fotos und Mailadresse, bei 1.350 CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet CDUconnect eine Wertung von 1,4 von 5 Sternen. „Die App“, so schreibt ein User, „zeigt perfekt die Kompetenz der CDU im Internet.“

Auch dass Wittmann die Sicherheitslücke über das in der IT-Sicherheitskultur etablierte Prinzip der Responsible Disclosure gemeldet hatte, unterschlug die CDU in ihrer Anzeige. Der Ausdruck bezeichnet das Verfahren, wenn Ent­de­cke­r:in­nen die Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind.

Außerdem wird ein weiterer Vorwurf der CDU entkräftet. Diese behauptete, dass Wittmann alle in der CDU-App gesammelten Datensätze auf Pastebin veröffentlicht hätte, einer Webanwendung, die man zur anonymen Veröffentlichung von Texten nutzen kann. Wittmann bestritt, Daten aus der App gespeichert, veröffentlicht oder gar weiterverbreitet zu haben. In der Ermittlungsakte wird ersichtlich, dass auch die Staatsanwaltschaft dafür keine Beweise fand.

Hat die CDU-App gegen die DSGVO verstoßen?

Nun wird es für die CDU noch ungemütlicher. Denn seit Juli prüft die Berliner Landesdatenschutzbeauftragte, ob die CDU-Wahlkampf-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Ziel sei es zu prüfen, ob die App „den Anforderungen des Datenschutzes entsprochen hat“ und „ob die durch den externen Prüfbericht [von Wittmann; die Red.] bekannt gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt wurden“, sagte ein Sprecher der Berliner Landesdatenschutzbeauftragten der taz.

Das Verfahren werde priorisiert bearbeitet, da sich die Berliner Datenschutzbeauftragte der Relevanz des Verfahrens vor dem Hintergrund des laufenden Wahlkampfs bewusst sei, sagte der Sprecher weiter. Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, sagte ein Sprecher der Landesdatenschutzbeauftragten der Aktivistengruppe UnionWatch Anfang August. Verstöße gegen die DSGVO können mit Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des Unternehmens geahndet werden.

„Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und natürlich die CDU ganz dringend wegmüssen“, schreibt Wittmann in ihrem Post. „Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil sie sogar in einem ‚Spiel‘, in dem sie sich selbst die Regeln geschrieben hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.“