# taz.de -- Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt
> Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin
> Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz
> verstoßen?
IMG Bild: „Völlig nutzloser Datensumpf“: Das „D“ in CDU steht eben nicht für digitale Kompetenz
Berlin taz | Die Staatsanwaltschaft Berlin hat das Verfahren gegen Lilith
Wittmann eingestellt, wie die IT-Sicherheitsforscherin [1][auf Twitter] und
[2][in einem Blogeintrag] ausführlich darlegt. Im Mai 2021 hatte Wittmann
in der CDU-Wahlkampf-App „CDUconnect“ [3][gravierende Sicherheitslücken
entdeckt] und den zuständigen Behörden weitergeleitet: dem Bundesamt für
Sicherheit in der Informationstechnik BSI, der Berliner
Datenschutzbeauftragten und den verantwortlichen Stellen in der Union.
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin,
Abteilung Cybercrime, ermittelte seitdem gegen die ehrenamtliche
IT-Sicherheitsforscherin wegen eines Verstoßes gegen Paragraf 202a/b/c
StGB, den von der Zivilgesellschaft kritisierten sogenannten
Hackerparagrafen, der 2007 von der Großen Koalition eingeführt worden war.
Nach massivem öffentlichem Druck zog die CDU die Anzeige zurück und
[4][entschuldigte sich bei Wittman]. Die Ermittlungen gegen die
Sicherheitsforscherin gingen jedoch weiter.
Wittmann zitiert nun [5][in ihrem Blogpost] aus der 150 Seiten dicken
Ermittlungsakte. Die Ermittler:innen bestätigten, was Wittmann bereits
im Mai feststellte: Sensible Daten lagen ungesichert in der CDU-Wahl-App.
„Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und
aus technischer Sicht öffentlich abrufbar“, schreiben die Ermittler:innen.
Einfache Abrufe über die Programmierschnittstelle hatten gereicht, um
Zugriff erlangen zu können, ohne dass dabei einfachste Mechanismen wie eine
Passwortabfrage überwunden werden mussten, wie [6][auch ein Video auf
Youtube zeigt].
Gleichzeitig stellten die Ermittler:innen von Staatsanwaltschaft und
der Cybercrime-Stelle fest, dass es in der CDU-App tatsächlich eine
Sicherheitslücke gegeben hat. Weil die Daten demzufolge öffentlich abrufbar
waren, greife auch der Hackerparagraf nicht. [7][Denn dieser besagt], man
müsse sich unbefugt Zugang zu Daten verschaffen unter Überwindung der
Zugangssicherung. Die Staatsanwaltschaft habe deshalb das Verfahren
eingestellt. Die Rücknahme der Anzeige seitens der CDU habe damit
allerdings nichts zu tun.
## Tiefe Einblicke in die Digitalkompetenz der CDU
In der Ermittlungsakte finden sich weitere aufschlussreiche Informationen,
die „tiefe Einblicke in die Digitalkompetenz“ geben, wie Wittmann in ihrem
Post schreibt. So habe die CDU die durch den „Haustürwahlkampf“ erhobenen
Daten überhaupt nicht ausgewertet, sondern lediglich gesammelt, ein laut
Wittmann „völlig nutzloser Datensumpf“.
Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren.
Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht
und welche die politischen Meinungen zur CDU im entsprechenden Haushalt
waren.
Wittmann konnte mit simplen Abfragen auf die Daten von rund 500.000
befragten Personen zugreifen. So waren persönliche Daten von 18.500
Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350
CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen
ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet CDUconnect
eine Wertung von 1,4 von 5 Sternen. „Die App“, so schreibt ein User, „zeigt
perfekt die Kompetenz der CDU im Internet.“
Auch dass Wittmann die Sicherheitslücke über das in der
IT-Sicherheitskultur etablierte [8][Prinzip der Responsible Disclosure]
gemeldet hatte, unterschlug die CDU in ihrer Anzeige. Der Ausdruck
bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an
die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen,
wenn sie behoben sind.
Außerdem wird ein weiterer Vorwurf der CDU entkräftet. Diese behauptete,
dass Wittmann alle in der CDU-App gesammelten Datensätze [9][auf Pastebin]
veröffentlicht hätte, einer Webanwendung, die man zur anonymen
Veröffentlichung von Texten nutzen kann. Wittmann bestritt, Daten aus der
App gespeichert, veröffentlicht oder gar weiterverbreitet zu haben. In der
Ermittlungsakte wird ersichtlich, dass auch die Staatsanwaltschaft dafür
keine Beweise fand.
## Hat die CDU-App gegen die DSGVO verstoßen?
Nun wird es für die CDU noch ungemütlicher. Denn seit Juli prüft die
Berliner Landesdatenschutzbeauftragte, ob die CDU-Wahlkampf-App womöglich
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Ziel sei es zu
prüfen, ob die App „den Anforderungen des Datenschutzes entsprochen hat“
und „ob die durch den externen Prüfbericht [von Wittmann; die Red.] bekannt
gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt
wurden“, sagte ein Sprecher der Berliner Landesdatenschutzbeauftragten der
taz.
Das Verfahren werde priorisiert bearbeitet, da sich die Berliner
Datenschutzbeauftragte der Relevanz des Verfahrens vor dem Hintergrund des
laufenden Wahlkampfs bewusst sei, sagte der Sprecher weiter. Da es sich bei
den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO
handele, also etwa politische Meinungen und weltanschauliche Überzeugungen,
„besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte
und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“,
sagte ein Sprecher der Landesdatenschutzbeauftragten [10][der
Aktivistengruppe UnionWatch] Anfang August. Verstöße gegen die DSGVO können
mit Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des
Jahresumsatzes des Unternehmens geahndet werden.
„Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und
natürlich die CDU ganz dringend wegmüssen“, schreibt Wittmann in ihrem
Post. „Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil
sie sogar in einem ‚Spiel‘, in dem sie sich selbst die Regeln geschrieben
hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.“
17 Sep 2021
## LINKS
DIR [1] https://twitter.com/LilithWittmann/status/1438533408796332032
DIR [2] https://lilithwittmann.medium.com/die-staatsanwaltschaft-sagt-ich-habe-die-cdu-nicht-gehackt-86c1ebf83f63
DIR [3] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754
taz.de:70 /!5802205:117: line too long