URI: 

       # taz.de -- Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App
       
       > Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun
       > prüft die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.
       
   IMG Bild: Womöglich wird es für die CDU wegen ihrer Wahlkampf-App bald richtig teuer
       
       Berlin taz | Die Berliner Landesdatenschutzbeauftragte prüft, ob die
       CDU-Wahlkampf-App „CDUconnect“ womöglich gegen die
       Datenschutzgrundverordnung (DSGVO) verstößt, wie aus einer Antwort der
       Behörde auf die Aktivistengruppe „UnionWatch“ [1][auf Twitter hervorgeht].
       
       Ziel sei es, zu prüfen, ob die App den Anforderungen des Datenschutzes
       entsprochen hat. Die Behörde bezieht sich in ihrer Antwort [2][auf den
       externen Prüfbericht der IT-Sicherheitsexpertin Lilith Wittmann], die im
       Mai auf massive Sicherheitslücken in der App hinwies.
       
       Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin
       ermittelt seitdem gegen die ehrenamtliche IT-Sicherheitsforscherin. Nach
       massivem öffentlichen Druck zog die CDU die Anzeige zurück und
       entschuldigte sich bei Wittman.
       
       Unklar ist, ob auch das Verfahren eingestellt wird. Bis Donnerstagvormittag
       gab die Staatsanwaltschaft Berlin dazu keine Stellungnahme ab. Wittmann
       [3][sammelt Gelder für die Strafverteidigung]. Mehr als 2.300 Euro sind
       laut Patreon für die Anzahlung der Strafverteidigung bislang
       zusammengekommen.
       
       ## Bußgelder in Millionenhöhe
       
       Im Mai 2021 hatte die Sicherheitsforscherin in der CDU-Wahlkampf-App
       „CDUconnect“ gravierende Sicherheitslücken entdeckt und den zuständigen
       Behörden weitergeleitet: dem Bundesamt für Sicherheit in der
       Informationstechnik, der Berliner Datenschutzbeauftragten und den
       verantwortlichen Stellen in der Union.
       
       Die CDU nutzt „CDUconnect“, um den Haustür-Wahlkampf digital zu
       koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet
       wurde oder nicht und welche die politischen Meinungen zur CDU im
       entsprechenden Haushalt waren. Die CDU bestritt vor Wittmanns Nachhaken,
       dass die App überhaupt Daten erhebe.
       
       Witmann bewies nicht nur das Gegenteil. [4][Mit ein paar Kniffen konnte sie
       sogar auf den Datensatz zugreifen]. So waren persönliche Daten von 18.500
       Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350
       CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen,
       ungeschützt im Netz einsehbar. [5][In Googles Play Store] verzeichnet
       „CDUconnect“ eine Wertung von 1,4 von 5 Sternen – „Die App zeigt perfekt
       die Kompetenz der CDU im Internet“, schreibt ein User.
       
       Auch mitgeschriebene Gesprächsverläufe konnte die Sicherheitsforscherin
       einsehen. „Bundeskanzler soll ein Mann sein und keine links-grün versiffte
       Frau“, sagte etwa eine 50-Jährige aus Göttingen den CDU-Mitarbeitenden.
       
       Wittmann konnte zudem auf die Daten von rund 500.000 befragten Personen
       zugreifen. Daraufhin wurde die unsichere Datenbank zwischenzeitlich vom
       Netz genommen, die CDU versprach, die Fehler zu beheben.
       
       Da es sich bei den Daten auch um besondere Kategorien im Sinne von Artikel
       9 der DSGVO handele, also etwa politische Meinungen und weltanschauliche
       Überzeugungen, „besteht die Möglichkeit, dass ein hohes Risiko für die
       persönlichen Rechte und Freiheiten einer Vielzahl von natürlichen Personen
       bestanden hat“, sagt die Landesdatenschutzbeauftragte.
       
       Verstöße gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder
       bis zu 4 Prozent des Jahresumsatzes des Unternehmens verhängt werden.
       
       ## CCC wünscht CDU viel Glück
       
       „Schon im Austausch mit der Sicherheitsforscherin stellte die CDU
       rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration
       und Inkompetenz“, sagt Linus Neumann, Sprecher des CCC.
       
       Der CCC kritisiert das Vorgehen der CDU [6][in seiner Stellungnahme]
       scharf. So verstoße die Partei gegen das in der IT-Sicherheitskultur
       etablierte [7][Prinzip der responsible disclosure]. Der Ausdruck bezeichnet
       das Verfahren, wenn Entdecker:innen die Sicherheitslücken an die
       zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen,
       wenn sie behoben sind. Normalerweise wird den Entdecker:innen gedankt,
       manchmal eine Belohnung gezahlt, mitunter [8][sogar in Millionenhöhe].
       Nicht bei der CDU. Die „Shooting the Messenger“-Strategie der Union
       kritisiert der CCC. Anstatt die Sicherheitslücken einer App zu schließen,
       werde die Person angegriffen, die auf das Problem hinwies.
       
       „Das macht die CDU nicht nur in diesem Fall, sondern auch mit der
       Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt
       Neumann. Insofern sei dieses destruktive Vorgehen nur konsequent. Um
       künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der
       CCC künftig auf das Melden von Sicherheitslücken bei der CDU verzichten.
       Für künftige IT-Probleme wünscht Neumann der Partei viel Glück.
       
       Der Artikel wurde am 06.08.2021 um 09:45 Uhr aktualisiert.
       
       4 Aug 2021
       
       ## LINKS
       
   DIR [1] https://twitter.com/watch_union/status/1423331396320432133
   DIR [2] https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d
   DIR [3] https://twitter.com/LilithWittmann/status/1422997468439007233?s=20
   DIR [4] https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d
   DIR [5] https://play.google.com/store/apps/details?id=de.connect17.app&hl=de&gl=US
   DIR [6] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
   DIR [7] https://en.wikipedia.org/wiki/Responsible_disclosure
   DIR [8] https://www.forbes.com/sites/daveywinder/2019/12/20/apple-confirms-iphone-hacking-reward-of-15-million/
       
       ## AUTOREN
       
   DIR Denis Gießler
       
       ## TAGS
       
   DIR Schwerpunkt Überwachung
   DIR Schwerpunkt Chaos Computer Club
   DIR DSGVO
   DIR CDU/CSU
   DIR Datenbank
   DIR BSI
   DIR IG
   DIR GNS
   DIR Schwerpunkt Überwachung
   DIR IG
   DIR Schwerpunkt Überwachung
   DIR Polizei
   DIR Kolumne Digital Naives
   DIR Schwerpunkt Überwachung
   DIR WhatsApp
   DIR Schwerpunkt Überwachung
   DIR Dokumentarfilm
   DIR IG
   DIR Schwerpunkt Coronavirus
       
       ## ARTIKEL ZUM THEMA
       
   DIR IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei
       
       Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke
       hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen.
       
   DIR Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“
       
       Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App
       Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
       
   DIR Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt
       
       Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin
       Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz
       verstoßen?
       
   DIR Berichterstattung vom Polizeikongress: Sie müssen draußen bleiben
       
       „Netzpolitik.org“ kritisiert den Europäischen Polizeikongress. Zum
       wiederholten Mal verwehrten die Veranstalter Akkreditierung.
       
   DIR Cyberstrategie 2021: Horsts Hacker
       
       Alle, die man fragt, haben ernsthafte Bedenken – trotzdem beschließt man
       beim Rausgehen fix eine neue Strategie. Willkommen in der deutschen
       Cybersicherheit!
       
   DIR Spionagesoftware „Pegasus“: BKA kaufte Spähsoftware bei NSO
       
       Die umstrittene Spionagesoftware wird offenbar auch in Deutschland von
       Sicherheitsbehörden genutzt. Die Opposition ist entsetzt.
       
   DIR Verstöße gegen DSGVO: Rekordstrafe für WhatsApp Irland
       
       Wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung muss
       WhatsApp Irland 225 Millionen Euro zahlen. Ein finanzieller Klacks für das
       Unternehmen.
       
   DIR Erkennung von Nacktbildern bei iOS: Apple gegen Kinderpornografie
       
       Nach einem Update des Betriebssystems sollen Geräte von Apple künftig
       Bilder mit sexuellem Missbrauch von Kindern erkennen und melden.
       Datenschützer wittern Zensur.
       
   DIR Doku über den Chaos Computer Club: Komputer und Lederhose
       
       Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des
       Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial.
       
   DIR Forscherin über frühe Hackerszene: „Stasi ließ Hacker anfangs gewähren“
       
       Ein Gespräch mit der Historikerin Julia Gül Erdogan über die Bedeutung des
       Hackens und die frühen Vorläufer der Hackerszene in der BRD und DDR.
       
   DIR Luca-App startet in Berlin: Konsum first, Datenschutz second
       
       Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin
       einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen
       ungeklärt.