Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.
Ziel sei es, zu prüfen, ob die App den Anforderungen des Datenschutzes entsprochen hat. Die Behörde bezieht sich in ihrer Antwort auf den externen Prüfbericht der IT-Sicherheitsexpertin Lilith Wittmann, die im Mai auf massive Sicherheitslücken in der App hinwies.
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin ermittelt seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin. Nach massivem öffentlichen Druck zog die CDU die Anzeige zurück und entschuldigte sich bei Wittman.
Unklar ist, ob auch das Verfahren eingestellt wird. Bis Donnerstagvormittag gab die Staatsanwaltschaft Berlin dazu keine Stellungnahme ab. Wittmann sammelt Gelder für die Strafverteidigung. Mehr als 2.300 Euro sind laut Patreon für die Anzahlung der Strafverteidigung bislang zusammengekommen.
Bußgelder in Millionenhöhe
Im Mai 2021 hatte die Sicherheitsforscherin in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union.
Die CDU nutzt „CDUconnect“, um den Haustür-Wahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und welche die politischen Meinungen zur CDU im entsprechenden Haushalt waren. Die CDU bestritt vor Wittmanns Nachhaken, dass die App überhaupt Daten erhebe.
Witmann bewies nicht nur das Gegenteil. Mit ein paar Kniffen konnte sie sogar auf den Datensatz zugreifen. So waren persönliche Daten von 18.500 Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen, ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet „CDUconnect“ eine Wertung von 1,4 von 5 Sternen – „Die App zeigt perfekt die Kompetenz der CDU im Internet“, schreibt ein User.
Auch mitgeschriebene Gesprächsverläufe konnte die Sicherheitsforscherin einsehen. „Bundeskanzler soll ein Mann sein und keine links-grün versiffte Frau“, sagte etwa eine 50-Jährige aus Göttingen den CDU-Mitarbeitenden.
Wittmann konnte zudem auf die Daten von rund 500.000 befragten Personen zugreifen. Daraufhin wurde die unsichere Datenbank zwischenzeitlich vom Netz genommen, die CDU versprach, die Fehler zu beheben.
Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, sagt die Landesdatenschutzbeauftragte.
Verstöße gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des Unternehmens verhängt werden.
CCC wünscht CDU viel Glück
„Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz“, sagt Linus Neumann, Sprecher des CCC.
Der CCC kritisiert das Vorgehen der CDU in seiner Stellungnahme scharf. So verstoße die Partei gegen das in der IT-Sicherheitskultur etablierte Prinzip der responsible disclosure. Der Ausdruck bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind. Normalerweise wird den Entdecker:innen gedankt, manchmal eine Belohnung gezahlt, mitunter sogar in Millionenhöhe. Nicht bei der CDU. Die „Shooting the Messenger“-Strategie der Union kritisiert der CCC. Anstatt die Sicherheitslücken einer App zu schließen, werde die Person angegriffen, die auf das Problem hinwies.
„Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt Neumann. Insofern sei dieses destruktive Vorgehen nur konsequent. Um künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der CCC künftig auf das Melden von Sicherheitslücken bei der CDU verzichten. Für künftige IT-Probleme wünscht Neumann der Partei viel Glück.
Der Artikel wurde am 06.08.2021 um 09:45 Uhr aktualisiert.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Christian Lindner
Die libertären Posterboys
Außenministerin zu Besuch in China
Auf unmöglicher Mission in Peking
Prozess gegen Letzte Generation
Wie die Hoffnung auf Klimaschutz stirbt
Olaf Scholz’ erfolglose Ukrainepolitik
Friedenskanzler? Wäre schön gewesen!
Neuer Generalsekretär
Stures Weiter-so bei der FDP
Rücktrittsforderungen gegen Lindner
Der FDP-Chef wünscht sich Disruption