 |
# taz.de -- Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU… |
|
|
|
> Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun |
|
> prüft die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |
|
|
 |
Bild: Womöglich wird es für die CDU wegen ihrer Wahlkampf-App bald richtig te… |
|
|
|
Berlin taz | Die Berliner Landesdatenschutzbeauftragte prüft, ob die |
|
CDU-Wahlkampf-App „CDUconnect“ womöglich gegen die |
|
Datenschutzgrundverordnung (DSGVO) verstößt, wie aus einer Antwort der |
|
Behörde auf die Aktivistengruppe „UnionWatch“ [1][auf Twitter hervorgeht]. |
|
|
|
Ziel sei es, zu prüfen, ob die App den Anforderungen des Datenschutzes |
|
entsprochen hat. Die Behörde bezieht sich in ihrer Antwort [2][auf den |
|
externen Prüfbericht der IT-Sicherheitsexpertin Lilith Wittmann], die im |
|
Mai auf massive Sicherheitslücken in der App hinwies. |
|
|
|
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin |
|
ermittelt seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin. Nach |
|
massivem öffentlichen Druck zog die CDU die Anzeige zurück und |
|
entschuldigte sich bei Wittman. |
|
|
|
Unklar ist, ob auch das Verfahren eingestellt wird. Bis Donnerstagvormittag |
|
gab die Staatsanwaltschaft Berlin dazu keine Stellungnahme ab. Wittmann |
|
[3][sammelt Gelder für die Strafverteidigung]. Mehr als 2.300 Euro sind |
|
laut Patreon für die Anzahlung der Strafverteidigung bislang |
|
zusammengekommen. |
|
|
|
## Bußgelder in Millionenhöhe |
|
|
|
Im Mai 2021 hatte die Sicherheitsforscherin in der CDU-Wahlkampf-App |
|
„CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen |
|
Behörden weitergeleitet: dem Bundesamt für Sicherheit in der |
|
Informationstechnik, der Berliner Datenschutzbeauftragten und den |
|
verantwortlichen Stellen in der Union. |
|
|
|
Die CDU nutzt „CDUconnect“, um den Haustür-Wahlkampf digital zu |
|
koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet |
|
wurde oder nicht und welche die politischen Meinungen zur CDU im |
|
entsprechenden Haushalt waren. Die CDU bestritt vor Wittmanns Nachhaken, |
|
dass die App überhaupt Daten erhebe. |
|
|
|
Witmann bewies nicht nur das Gegenteil. [4][Mit ein paar Kniffen konnte sie |
|
sogar auf den Datensatz zugreifen]. So waren persönliche Daten von 18.500 |
|
Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 |
|
CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen, |
|
ungeschützt im Netz einsehbar. [5][In Googles Play Store] verzeichnet |
|
„CDUconnect“ eine Wertung von 1,4 von 5 Sternen – „Die App zeigt perfekt |
|
die Kompetenz der CDU im Internet“, schreibt ein User. |
|
|
|
Auch mitgeschriebene Gesprächsverläufe konnte die Sicherheitsforscherin |
|
einsehen. „Bundeskanzler soll ein Mann sein und keine links-grün versiffte |
|
Frau“, sagte etwa eine 50-Jährige aus Göttingen den CDU-Mitarbeitenden. |
|
|
|
Wittmann konnte zudem auf die Daten von rund 500.000 befragten Personen |
|
zugreifen. Daraufhin wurde die unsichere Datenbank zwischenzeitlich vom |
|
Netz genommen, die CDU versprach, die Fehler zu beheben. |
|
|
|
Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel |
|
9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche |
|
Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die |
|
persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen |
|
bestanden hat“, sagt die Landesdatenschutzbeauftragte. |
|
|
|
Verstöße gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder |
|
bis zu 4 Prozent des Jahresumsatzes des Unternehmens verhängt werden. |
|
|
|
## CCC wünscht CDU viel Glück |
|
|
|
„Schon im Austausch mit der Sicherheitsforscherin stellte die CDU |
|
rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration |
|
und Inkompetenz“, sagt Linus Neumann, Sprecher des CCC. |
|
|
|
Der CCC kritisiert das Vorgehen der CDU [6][in seiner Stellungnahme] |
|
scharf. So verstoße die Partei gegen das in der IT-Sicherheitskultur |
|
etablierte [7][Prinzip der responsible disclosure]. Der Ausdruck bezeichnet |
|
das Verfahren, wenn Entdecker:innen die Sicherheitslücken an die |
|
zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, |
|
wenn sie behoben sind. Normalerweise wird den Entdecker:innen gedankt, |
|
manchmal eine Belohnung gezahlt, mitunter [8][sogar in Millionenhöhe]. |
|
Nicht bei der CDU. Die „Shooting the Messenger“-Strategie der Union |
|
kritisiert der CCC. Anstatt die Sicherheitslücken einer App zu schließen, |
|
werde die Person angegriffen, die auf das Problem hinwies. |
|
|
|
„Das macht die CDU nicht nur in diesem Fall, sondern auch mit der |
|
Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt |
|
Neumann. Insofern sei dieses destruktive Vorgehen nur konsequent. Um |
|
künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der |
|
CCC künftig auf das Melden von Sicherheitslücken bei der CDU verzichten. |
|
Für künftige IT-Probleme wünscht Neumann der Partei viel Glück. |
|
|
|
Der Artikel wurde am 06.08.2021 um 09:45 Uhr aktualisiert. |
|
|
|
4 Aug 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://twitter.com/watch_union/status/1423331396320432133 |
|
[2] https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisier… |
|
[3] https://twitter.com/LilithWittmann/status/1422997468439007233?s=20 |
|
[4] https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisier… |
|
[5] https://play.google.com/store/apps/details?id=de.connect17.app&hl=de&am… |
|
[6] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-… |
|
[7] https://en.wikipedia.org/wiki/Responsible_disclosure |
|
[8] https://www.forbes.com/sites/daveywinder/2019/12/20/apple-confirms-iphone-h… |
|
|
|
## AUTOREN |
|
|
|
Denis Gießler |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
Schwerpunkt Chaos Computer Club |
|
DSGVO |
|
CDU/CSU |
|
Datenbank |
|
BSI |
|
IG |
|
GNS |
|
Schwerpunkt Überwachung |
|
IG |
|
Schwerpunkt Überwachung |
|
Polizei |
|
Kolumne Digital Naives |
|
Schwerpunkt Überwachung |
|
|
|
Schwerpunkt Überwachung |
|
Dokumentarfilm |
|
IG |
|
Schwerpunkt Coronavirus |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei |
|
|
|
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke |
|
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen. |
|
|
|
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ |
|
|
|
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App |
|
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. |
|
|
|
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt |
|
|
|
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin |
|
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz |
|
verstoßen? |
|
|
|
Berichterstattung vom Polizeikongress: Sie müssen draußen bleiben |
|
|
|
„Netzpolitik.org“ kritisiert den Europäischen Polizeikongress. Zum |
|
wiederholten Mal verwehrten die Veranstalter Akkreditierung. |
|
|
|
Cyberstrategie 2021: Horsts Hacker |
|
|
|
Alle, die man fragt, haben ernsthafte Bedenken – trotzdem beschließt man |
|
beim Rausgehen fix eine neue Strategie. Willkommen in der deutschen |
|
Cybersicherheit! |
|
|
|
Spionagesoftware „Pegasus“: BKA kaufte Spähsoftware bei NSO |
|
|
|
Die umstrittene Spionagesoftware wird offenbar auch in Deutschland von |
|
Sicherheitsbehörden genutzt. Die Opposition ist entsetzt. |
|
|
|
Verstöße gegen DSGVO: Rekordstrafe für WhatsApp Irland |
|
|
|
Wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung muss |
|
WhatsApp Irland 225 Millionen Euro zahlen. Ein finanzieller Klacks für das |
|
Unternehmen. |
|
|
|
Erkennung von Nacktbildern bei iOS: Apple gegen Kinderpornografie |
|
|
|
Nach einem Update des Betriebssystems sollen Geräte von Apple künftig |
|
Bilder mit sexuellem Missbrauch von Kindern erkennen und melden. |
|
Datenschützer wittern Zensur. |
|
|
|
Doku über den Chaos Computer Club: Komputer und Lederhose |
|
|
|
Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des |
|
Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial. |
|
|
|
Forscherin über frühe Hackerszene: „Stasi ließ Hacker anfangs gewähren“ |
|
|
|
Ein Gespräch mit der Historikerin Julia Gül Erdogan über die Bedeutung des |
|
Hackens und die frühen Vorläufer der Hackerszene in der BRD und DDR. |
|
|
|
Luca-App startet in Berlin: Konsum first, Datenschutz second |
|
|
|
Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin |
|
einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen |
|
ungeklärt. |
