Hackerangriff auf CDU: Neuer Fall für Datenschutz-Aufsichtsbehörde

Der große Hackerangriff auf die CDU macht die Partei auch zum Fall für die Datenschutz-Aufsicht. Dort laufen gegen sie schon mehrere Verfahren.

Man konnte sich das Aufstöhnen bildlich vorstellen: nicht auch noch der Terminkalender des Parteivorsitzenden ... Als die CDU Anfang Juni Opfer eines Cyberangriffes wurde, gelangten zahlreiche interne Papiere und Informationen in fremde Hände. Friedrich Merz sprach vom "schwersten Angriff auf eine IT-Struktur, den jemals eine politische Partei in Deutschland erlebt habe". Kurz darauf musste er feststellen: Auch sein Terminkalender war betroffen.

Ein Hackerangriff ist ein bisschen so, wie wenn ein Fremder plötzlich in den eigenen Schränken und Schubladen herumwühlt. Er gehört zu den unangenehmsten Attacken auf die eigene Intimsphäre, die man sich vorstellen kann. Seit Wochen muss die CDU nun große Teile ihrer Arbeit analog abwickeln. Den vollständigen Datenschutz-Gau hofft die Partei mit der Abschaltung ihrer zentralen Mitgliederdatei abgewendet zu haben: Die Daten der 363.000 Mitglieder sollten damit noch vor den Angreifern geschützt werden.

Spätestens mit der Nachricht von Merz' angezapftem Terminkalender war aber klar: Es sind nicht nur die eigenen Daten bei der Union Betriebs GmbH betroffen. Die CDU ist damit auch ein Fall für die Datenschutz-Behörde. Und das nicht zum ersten Mal.

Dem Opfer der Hackerattacke könnte somit auch noch ein Bußgeldverfahren drohen: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) wartet auf detaillierte Angaben der CDU zu dem Hack und den betroffenen Daten. Vorsorglich hatte die CDU bereits eine Datenpanne bei der Berliner Aufsichtsbehörde gemeldet, was binnen 72 Stunden erfolgen muss. Wenn in einem Verfahren entsprechendes Verschulden nachgewiesen werden kann, reicht der Sanktionsrahmen von einer Verwarnung bei kleineren Verstößen bis hin zu Bußgeldern bei wiederholten oder schweren Verstößen.

Löchrige Software und Sammelwut

Die Angaben der CDU wird die Berliner Datenschutzbeauftragte dann ebenso prüfen wie die technischen und organisatorischen Gegenmaßnahmen der Partei. Die Behörde wird sich aber auch die Umstände anschauen: Gibt es Anlass, wegen möglicher Missstände im Vorfeld noch genauer zu prüfen? Bei der Datenschutzbeauftragten stauen sich bereits Verfahren gegen die Bundes-CDU. Untersuchungen laufen seit drei Jahren. Es geht um löchrige Software, aber auch um Sammelwut.

Angesichts des großen Hacks nimmt sich ein weiterer aktueller Fall fast lächerlich aus: Die CDU muss der Datenschutzbehörde auch eine Stellungnahme schicken zu einer Umfrage zum Verbot des Verbrennermotors auf ihrer Internetseite. Das Ergebnis – 83 Prozent stimmten für die Beibehaltung des Verbots – hatte so gar nicht zum Kurs der CDU gepasst und war für Generalsekretär Carsten Linnemann erklärungsbedürftig: Er beklagte, eine vermeintliche Manipulation und sprach von "krimineller Energie".

Angesichts der kaum vorhandenen Sicherheitsvorkehrungen gab es umgekehrt Spott aus dem Netz – und eben Eingaben bei der Datenschutzbehörde: Einige "mutmaßlich Betroffene" haben dort vorgetragen, aus der Umfrage könnten Daten abgeflossen sein, andere gaben an, personenbezogene Daten seien möglicherweise mit Abstimmungsergebnissen verknüpft worden.

Nutzerprofile für Parteien wertvoll

Namen oder E-Mail-Adressen wurden in der Umfrage zwar nicht erfragt, aber die Sorge vor Verknüpfungen, mit denen Profile erstellt werden, ist nicht abwegig. Parteien wollen wissen, wer wie tickt, um dann mit der richtigen Ansprache und den richtigen Themen auf Profile zugeschnitten mobilisieren zu können. Diese Form des politischen Marketings, die auch als Microtargeting bezeichnet wird, galt 2016 als ein Schlüssel für den Wahlsieg von Donald Trump, als mithilfe des britischen Datenanalyse-Unternehmens Cambridge Analytica illegal Persönlichkeitsprofile von Millionen von Menschen erstellt worden waren.

Vor der Europawahl hatte die Berliner Datenschutzbeauftragte alle Parteien noch einmal ermahnt und auf ein Verfahren hingewiesen, das auf den Bundestagswahlkampf 2021 zurückgeht: Die Behörde prüft, wie Parteien durch den Einsatz von Microtargeting auf Facebook gegen die Datenschutzgrundverordnung verstoßen haben. Es ist ein Verfahren, bei dem es neben der CDU auch um SPD, Grüne, AfD, Linke und FDP geht.

Die Christdemokraten waren im Wahlkampfjahr 2021 bereits mit einer Sicherheitslücke in ihrer App Connect aufgefallen. "CDUConnect" wurde programmiert als Instrument für den Haustürwahlkampf. Beim Gang von Tür zu Tür kann von Wahlkampfhelfern hinterlegt werden, ob und von wem die Tür geöffnet wurde, was die besuchte Person über die CDU sagt oder was das Thema des Gesprächs war.

Daten von Wahlkampfhelfern frei abrufbar

Die Sicherheitsforscherin Lilith Wittmann stellte fest, dass sie ohne großen Aufwand knapp 20.000 Datensätze mit persönlichen Daten einsehen konnte. 18.500 davon beinhalteten nach ihren Angaben die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos. Ebenso einsehbar waren persönliche Daten von 1.350 Unterstützern, die von den Wahlkampfhelfern geworben und registriert worden waren. Die Staatsanwaltschaft Berlin hielt später fest: "Die Daten waren (...) nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar". Dass Wittmann daran gelangt war, war also auch keine Straftat.

Komplizierter wird der Fall der Connect-App bei der Frage, inwieweit Datenpunkte personenbezogen sind, also, ob sich Angaben an Haustüren auch für Außenstehende bestimmten Personen identifizierbar zuordnen lassen. In einzelnen Fällen war das offensichtlich, in anderen ist der Nachweis aufwendig, ist aber offenbar notwendig, um einen Verstoß für eine nötige Anzahl von Fällen zu zeigen.

Auch deshalb läuft nach t-online-Informationen nach drei Jahren immer noch die Prüfung, und es ist nicht entschieden, ob diese in ein Bußgeldverfahren überführt wird. Hinzu kommt aber auch, dass die Berliner Datenschutzaufsicht nach Ansicht vieler Fachleute überlastet ist. Nach t-online-Informationen ist in der Behörde mit 80 Mitarbeitern eine Stelle für Datenschutzfragen bei Parteien vorgesehen.

Heiz-Ärger zum Adressensammeln genutzt

Im Frühjahr 2023 wurde dort zudem das nächste, größere Prüfverfahren gestartet: Die CDU hatte das Ampelchaos um das Heizungsgesetz für eine Kampagne mit Namen "Fair-Heizen" genutzt und mit dieser Daten unzufriedener Bürger gesammelt. Sie forderte dazu auf, sich auf einer Internetseite zu registrieren, um Unmut über das Heizungsgesetz zu bekunden. In einem parteiinternen Rundschreiben hieß es zur Kampagne, weil auch die Postleitzahl erhoben wurde, "können wir allen Landesverbänden die Daten der Unterstützer aus ihrem jeweiligen Bundesland zur Verfügung stellen".

Die Datenschutzerklärungen und die Zusammenarbeit mit einer neuen Agentur sowie der Einsatz von Trackern lieferten Hinweise, dass die CDU das Ziel hatte, personalisierte Profile von Nutzern zu erstellen. Zudem wurde die Zustimmungserklärung, wofür die Daten dienen, nach Start der Kampagne noch mehrfach geändert. Dem Hackerkollektiv Anonymous gelang es, automatisiert massenhaft Mails zu registrieren und so zu prüfen, ob E-Mail-Adressen bereits für die Kampagne registriert worden waren. Die CDU informierte anschließend Betroffene und die Datenschutzbehörde.

Auch dieses Verfahren läuft noch. Die CDU hat eine Anfrage bislang nicht beantwortet.