Der große Hackerangriff auf die CDU macht die Partei auch zum Fall für die Datenschutz-Aufsicht. Dort laufen gegen sie schon mehrere Verfahren.
Man konnte sich das Aufstöhnen bildlich vorstellen: nicht auch noch der Terminkalender des Parteivorsitzenden … Als die CDU Anfang Juni Opfer eines Cyberangriffes wurde, gelangten zahlreiche interne Papiere und Informationen in fremde Hände. Friedrich Merz sprach vom „schwersten Angriff auf eine IT-Struktur, den jemals eine politische Partei in Deutschland erlebt habe“. Kurz darauf musste er feststellen: Auch sein Terminkalender war betroffen.
Ein Hackerangriff ist ein bisschen so, wie wenn ein Fremder plötzlich in den eigenen Schränken und Schubladen herumwühlt. Er gehört zu den unangenehmsten Attacken auf die eigene Intimsphäre, die man sich vorstellen kann. Seit Wochen muss die CDU nun große Teile ihrer Arbeit analog abwickeln. Den vollständigen Datenschutz-Gau hofft die Partei mit der Abschaltung ihrer zentralen Mitgliederdatei abgewendet zu haben: Die Daten der 363.000 Mitglieder sollten damit noch vor den Angreifern geschützt werden.
Spätestens mit der Nachricht von Merz‘ angezapftem Terminkalender war aber klar: Es sind nicht nur die eigenen Daten bei der Union Betriebs GmbH betroffen. Die CDU ist damit auch ein Fall für die Datenschutz-Behörde. Und das nicht zum ersten Mal.
Dem Opfer der Hackerattacke könnte somit auch noch ein Bußgeldverfahren drohen: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) wartet auf detaillierte Angaben der CDU zu dem Hack und den betroffenen Daten. Vorsorglich hatte die CDU bereits eine Datenpanne bei der Berliner Aufsichtsbehörde gemeldet, was binnen 72 Stunden erfolgen muss. Wenn in einem Verfahren entsprechendes Verschulden nachgewiesen werden kann, reicht der Sanktionsrahmen von einer Verwarnung bei kleineren Verstößen bis hin zu Bußgeldern bei wiederholten oder schweren Verstößen.
Die Angaben der CDU wird die Berliner Datenschutzbeauftragte dann ebenso prüfen wie die technischen und organisatorischen Gegenmaßnahmen der Partei. Die Behörde wird sich aber auch die Umstände anschauen: Gibt es Anlass, wegen möglicher Missstände im Vorfeld noch genauer zu prüfen? Bei der Datenschutzbeauftragten stauen sich bereits Verfahren gegen die Bundes-CDU. Untersuchungen laufen seit drei Jahren. Es geht um löchrige Software, aber auch um Sammelwut.
Angesichts des großen Hacks nimmt sich ein weiterer aktueller Fall fast lächerlich aus: Die CDU muss der Datenschutzbehörde auch eine Stellungnahme schicken zu einer Umfrage zum Verbot des Verbrennermotors auf ihrer Internetseite. Das Ergebnis – 83 Prozent stimmten für die Beibehaltung des Verbots – hatte so gar nicht zum Kurs der CDU gepasst und war für Generalsekretär Carsten Linnemann erklärungsbedürftig: Er beklagte, eine vermeintliche Manipulation und sprach von „krimineller Energie“.
Angesichts der kaum vorhandenen Sicherheitsvorkehrungen gab es umgekehrt Spott aus dem Netz – und eben Eingaben bei der Datenschutzbehörde: Einige „mutmaßlich Betroffene“ haben dort vorgetragen, aus der Umfrage könnten Daten abgeflossen sein, andere gaben an, personenbezogene Daten seien möglicherweise mit Abstimmungsergebnissen verknüpft worden.
Namen oder E-Mail-Adressen wurden in der Umfrage zwar nicht erfragt, aber die Sorge vor Verknüpfungen, mit denen Profile erstellt werden, ist nicht abwegig. Parteien wollen wissen, wer wie tickt, um dann mit der richtigen Ansprache und den richtigen Themen auf Profile zugeschnitten mobilisieren zu können. Diese Form des politischen Marketings, die auch als Microtargeting bezeichnet wird, galt 2016 als ein Schlüssel für den Wahlsieg von Donald Trump, als mithilfe des britischen Datenanalyse-Unternehmens Cambridge Analytica illegal Persönlichkeitsprofile von Millionen von Menschen erstellt worden waren.
Vor der Europawahl hatte die Berliner Datenschutzbeauftragte alle Parteien noch einmal ermahnt und auf ein Verfahren hingewiesen, das auf den Bundestagswahlkampf 2021 zurückgeht: Die Behörde prüft, wie Parteien durch den Einsatz von Microtargeting auf Facebook gegen die Datenschutzgrundverordnung verstoßen haben. Es ist ein Verfahren, bei dem es neben der CDU auch um SPD, Grüne, AfD, Linke und FDP geht.
Die Christdemokraten waren im Wahlkampfjahr 2021 bereits mit einer Sicherheitslücke in ihrer App Connect aufgefallen. „CDUConnect“ wurde programmiert als Instrument für den Haustürwahlkampf. Beim Gang von Tür zu Tür kann von Wahlkampfhelfern hinterlegt werden, ob und von wem die Tür geöffnet wurde, was die besuchte Person über die CDU sagt oder was das Thema des Gesprächs war.