Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz verstoßen?
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin, Abteilung Cybercrime, ermittelte seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin wegen eines Verstoßes gegen Paragraf 202a/b/c StGB, den von der Zivilgesellschaft kritisierten sogenannten Hackerparagrafen, der 2007 von der Großen Koalition eingeführt worden war. Nach massivem öffentlichem Druck zog die CDU die Anzeige zurück und entschuldigte sich bei Wittman. Die Ermittlungen gegen die Sicherheitsforscherin gingen jedoch weiter.
Wittmann zitiert nun in ihrem Blogpost aus der 150 Seiten dicken Ermittlungsakte. Die Ermittler:innen bestätigten, was Wittmann bereits im Mai feststellte: Sensible Daten lagen ungesichert in der CDU-Wahl-App. „Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar“, schreiben die Ermittler:innen. Einfache Abrufe über die Programmierschnittstelle hatten gereicht, um Zugriff erlangen zu können, ohne dass dabei einfachste Mechanismen wie eine Passwortabfrage überwunden werden mussten, wie auch ein Video auf Youtube zeigt.
Gleichzeitig stellten die Ermittler:innen von Staatsanwaltschaft und der Cybercrime-Stelle fest, dass es in der CDU-App tatsächlich eine Sicherheitslücke gegeben hat. Weil die Daten demzufolge öffentlich abrufbar waren, greife auch der Hackerparagraf nicht. Denn dieser besagt, man müsse sich unbefugt Zugang zu Daten verschaffen unter Überwindung der Zugangssicherung. Die Staatsanwaltschaft habe deshalb das Verfahren eingestellt. Die Rücknahme der Anzeige seitens der CDU habe damit allerdings nichts zu tun.
Tiefe Einblicke in die Digitalkompetenz der CDU
In der Ermittlungsakte finden sich weitere aufschlussreiche Informationen, die „tiefe Einblicke in die Digitalkompetenz“ geben, wie Wittmann in ihrem Post schreibt. So habe die CDU die durch den „Haustürwahlkampf“ erhobenen Daten überhaupt nicht ausgewertet, sondern lediglich gesammelt, ein laut Wittmann „völlig nutzloser Datensumpf“.
Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und welche die politischen Meinungen zur CDU im entsprechenden Haushalt waren.
Wittmann konnte mit simplen Abfragen auf die Daten von rund 500.000 befragten Personen zugreifen. So waren persönliche Daten von 18.500 Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet CDUconnect eine Wertung von 1,4 von 5 Sternen. „Die App“, so schreibt ein User, „zeigt perfekt die Kompetenz der CDU im Internet.“
Auch dass Wittmann die Sicherheitslücke über das in der IT-Sicherheitskultur etablierte Prinzip der Responsible Disclosure gemeldet hatte, unterschlug die CDU in ihrer Anzeige. Der Ausdruck bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind.
Außerdem wird ein weiterer Vorwurf der CDU entkräftet. Diese behauptete, dass Wittmann alle in der CDU-App gesammelten Datensätze auf Pastebin veröffentlicht hätte, einer Webanwendung, die man zur anonymen Veröffentlichung von Texten nutzen kann. Wittmann bestritt, Daten aus der App gespeichert, veröffentlicht oder gar weiterverbreitet zu haben. In der Ermittlungsakte wird ersichtlich, dass auch die Staatsanwaltschaft dafür keine Beweise fand.
Hat die CDU-App gegen die DSGVO verstoßen?
Nun wird es für die CDU noch ungemütlicher. Denn seit Juli prüft die Berliner Landesdatenschutzbeauftragte, ob die CDU-Wahlkampf-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Ziel sei es zu prüfen, ob die App „den Anforderungen des Datenschutzes entsprochen hat“ und „ob die durch den externen Prüfbericht [von Wittmann; die Red.] bekannt gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt wurden“, sagte ein Sprecher der Berliner Landesdatenschutzbeauftragten der taz.
Das Verfahren werde priorisiert bearbeitet, da sich die Berliner Datenschutzbeauftragte der Relevanz des Verfahrens vor dem Hintergrund des laufenden Wahlkampfs bewusst sei, sagte der Sprecher weiter. Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, sagte ein Sprecher der Landesdatenschutzbeauftragten der Aktivistengruppe UnionWatch Anfang August. Verstöße gegen die DSGVO können mit Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des Unternehmens geahndet werden.
„Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und natürlich die CDU ganz dringend wegmüssen“, schreibt Wittmann in ihrem Post. „Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil sie sogar in einem ‚Spiel‘, in dem sie sich selbst die Regeln geschrieben hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an
Deutungskampf nach Magdeburg
„Es wird versucht, das komplett zu leugnen“
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands
Aktionismus nach Magdeburg-Terror
Besser erst mal nachdenken
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Mindestlohn feiert 10-jähriges Jubiläum
Deutschland doch nicht untergegangen