Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App

Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.

CDU-Schriftzug an einer Fassade

Womöglich wird es für die CDU wegen ihrer Wahlkampf-App bald richtig teuer Foto: Winfried Rothermel/imago

BERLIN taz | Die Berliner Landesdatenschutzbeauftragte prüft, ob die CDU-Wahlkampf-App „CDUconnect“ womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt, wie aus einer Antwort der Behörde auf die Aktivistengruppe „UnionWatch“ auf Twitter hervorgeht.

Ziel sei es, zu prüfen, ob die App den Anforderungen des Datenschutzes entsprochen hat. Die Behörde bezieht sich in ihrer Antwort auf den externen Prüfbericht der IT-Sicherheitsexpertin Lilith Wittmann, die im Mai auf massive Sicherheitslücken in der App hinwies.

Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin ermittelt seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin. Nach massivem öffentlichen Druck zog die CDU die Anzeige zurück und entschuldigte sich bei Wittman.

Unklar ist, ob auch das Verfahren eingestellt wird. Bis Donnerstagvormittag gab die Staatsanwaltschaft Berlin dazu keine Stellungnahme ab. Wittmann sammelt Gelder für die Strafverteidigung. Mehr als 2.300 Euro sind laut Patreon für die Anzahlung der Strafverteidigung bislang zusammengekommen.

Bußgelder in Millionenhöhe

Im Mai 2021 hatte die Sicherheitsforscherin in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union.

Die CDU nutzt „CDUconnect“, um den Haustür-Wahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und welche die politischen Meinungen zur CDU im entsprechenden Haushalt waren. Die CDU bestritt vor Wittmanns Nachhaken, dass die App überhaupt Daten erhebe.

Witmann bewies nicht nur das Gegenteil. Mit ein paar Kniffen konnte sie sogar auf den Datensatz zugreifen. So waren persönliche Daten von 18.500 Wahl­kampf­hel­fe­r:in­nen mit Fotos und Mailadresse, bei 1.350 CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen, ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet „CDUconnect“ eine Wertung von 1,4 von 5 Sternen – „Die App zeigt perfekt die Kompetenz der CDU im Internet“, schreibt ein User.

Auch mitgeschriebene Gesprächsverläufe konnte die Sicherheitsforscherin einsehen. „Bundeskanzler soll ein Mann sein und keine links-grün versiffte Frau“, sagte etwa eine 50-Jährige aus Göttingen den CDU-Mitarbeitenden.

Wittmann konnte zudem auf die Daten von rund 500.000 befragten Personen zugreifen. Daraufhin wurde die unsichere Datenbank zwischenzeitlich vom Netz genommen, die CDU versprach, die Fehler zu beheben.

Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, sagt die Landesdatenschutzbeauftragte.

Verstöße gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des Unternehmens verhängt werden.

CCC wünscht CDU viel Glück

„Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz“, sagt Linus Neumann, Sprecher des CCC.

Der CCC kritisiert das Vorgehen der CDU in seiner Stellungnahme scharf. So verstoße die Partei gegen das in der IT-Sicherheitskultur etablierte Prinzip der responsible disclosure. Der Ausdruck bezeichnet das Verfahren, wenn Ent­de­cke­r:in­nen die Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind. Normalerweise wird den Ent­de­cke­r:in­nen gedankt, manchmal eine Belohnung gezahlt, mitunter sogar in Millionenhöhe. Nicht bei der CDU. Die „Shooting the Messenger“-Strategie der Union kritisiert der CCC. Anstatt die Sicherheitslücken einer App zu schließen, werde die Person angegriffen, die auf das Problem hinwies.

„Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt Neumann. Insofern sei dieses destruktive Vorgehen nur konsequent. Um künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der CCC künftig auf das Melden von Sicherheitslücken bei der CDU verzichten. Für künftige IT-Probleme wünscht Neumann der Partei viel Glück.

Der Artikel wurde am 06.08.2021 um 09:45 Uhr aktualisiert.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.