Leak oder Diebstahl? Wie der Datenstreit zwischen BSW und Correctiv zu bewerten ist
Datenleck beim BSW: Wie konnte es zum Leak kommen? Und darf Correctiv einen Teil der Daten nutzen? Ein datenschutzrechtlicher Einordnungsversuch.
Bei der Partei Bündnis Sahra Wagenknecht (BSW) wurde ein neues Datenleck offengelegt. Es erstreckt sich auf personenbezogene Daten von rund 70.000 Personen. Der Inhalt des Datensatzes umfasst "neben persönlichen Kontaktinformationen offenbar auch codierte Mitgliederlisten, Zusagen zu einer Wahlparty sowie Details zu Landesbeauftragten und Unterstützern in verschiedenen Bundesländern".
Nach Angaben des BSW handele es sich dabei vorrangig um E-Mail-Adressen, Vor- und Nachnamen, nicht aber Adress- und Kontodaten.
Aufmerksam gemacht wurde das BSW über das Datenleck offenbar vom Recherchekollektiv Correctiv, das den Verein mit dem Leck und einem Fragenkatalog konfrontierte. Das BSW reagierte, indem es am Montagabend eine Sonderausgabe seines Newsletters an Abonnent:innen verschickte, die zuständigen Staatsanwaltschaften und Datenschutzbehörden informierte.
Während Correctiv schildert, der Datensatz sei noch im Juni frei über die BSW-Website zugänglich und frei verfügbar für den Download gewesen, behauptet das BSW allerdings, der Datensatz sei bei einem "Hackerangriff erbeutet" worden.
Bitter: Die Nachricht über Datenlecks beim BSW ist damit schon die Zweite ihrer Art innerhalb weniger Monate. Schon im März hatte der Spiegel über einen geleakten Datensatz berichtet, der etwa 35.000 Personen und ihre personenbezogenen Daten betraf. Darunter befanden sich auch Namen und E-Mail-Adressen von ca. 5.000 Unterstützern der Partei, inklusive der Höhe der Spenden, die sie dem BSW hatten zukommen lassen.
Sensibles Thema – sensible Daten
Personenbezogene Daten sind immer schutzwürdig, denn nur die Person, die sie betreffen, hat das Recht, über den Umgang mit ihren Daten zu entscheiden. In diesem Fall geht es um Namen und E-Mail-Adressen – Daten, die zwar personenbezogen sind, auf den ersten Blick jedoch bisher nicht besonders viel über eine Person aussagen.
Die geleakten Daten umfassen jedoch Mitglieder- und Unterstützernamen, stehen also in einem bestimmten politischen Kontext: Wer auf einer Unterstützerliste für das BSW steht, die anderen Menschen in die Hände fällt, kann diesen gegenüber aus seiner politischen Meinung kein Geheimnis mehr machen.
Nach dieser Argumentation handelt es sich gemäß Art. 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) bei den geleakten Daten um personenbezogene Daten, aus denen politische Meinungen hervorgehen und die nur in besonderen Ausnahmefällen überhaupt verarbeitet werden dürfen. In jedem Fall sind diese Daten besonders schutzwürdig.
Für den Umgang mit personenbezogenen Daten (insbesondere mit besonders sensiblen Daten) sieht die DSGVO, die seit 2018 für den gesamten europäischen Raum gilt, bestimmte Regeln und Grundsätze vor.
Art. 5 DSGVO bestimmt etwa, dass personenbezogene Daten für eindeutige und legitime Zwecke erhoben werden und ihre Verarbeitung auf ebendiese Zwecke beschränkt sein muss. Außerdem, so Art. 5 Abs. 1 lit. f DSGVO, müssen sie "in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor (…) unbeabsichtigtem Verlust".
Verantwortliche für die Verarbeitung personenbezogener Daten müssen diese "Integrität und Vertraulichkeit" bei der Datenverarbeitung immer sicherstellen und haben gemäß Art. 5 Abs. 2 DSGVO auch eine Rechenschaftspflicht – sie müssen also auch nachweisen können, dass sie ihrer Pflicht Folge leisten.
Gemäß Art. 24 Abs. 1 S. 1 DSGVO hat der Verantwortliche entsprechende "technische und organisatorische Maßnahmen" umzusetzen, die gewährleisten, dass die Integrität und Vertraulichkeit der Datenverarbeitung gewahrt wird. Diese Maßnahmen müssen, so der Verordnungswortlaut, auf das Risiko abgestimmt sein, das für die "Rechte und Freiheiten natürlicher Personen" entsteht, wenn die Daten nicht verordnungsgemäß verarbeitet werden.
Mit anderen Worten: Der Verantwortliche für die Datenverarbeitung muss dafür sorgen, dass personenbezogene Daten durch technische Vorkehrungen geschützt sind und eben nicht öffentlich werden.
Als geeignete Maßnahmen sieht Art. 32 Abs. 1 lit. A DSGVO etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten vor – außerdem soll regelmäßig überprüft werden, wie wirksam die Schutzmaßnahmen noch sind.
Konkret zuständig für die Einhaltung dieser Pflichten ist in jeder datenverarbeitenden Stelle der Datenschutzbeauftragte, der gemäß Art. 37 DSGVO schon dann bestellt werden muss, wenn bei der entsprechenden Stelle mindestens 20 Personen regelmäßig personenbezogene Daten verarbeiten. Auf der Website des BSW wird ein entsprechender Beauftragter nicht namentlich aufgeführt.
Datenschutz beim BSW
Ob das BSW diese Pflichten befolgt hat, ist nicht ganz einfach zu beurteilen. Nach Angaben von Correctiv konnte der ganze Datensatz auf der Website frei heruntergeladen werden. Entspricht das den Tatsachen, muss man davon ausgehen, dass die Partei die Daten ungenügend bis überhaupt nicht mit den entsprechenden technischen und organisatorischen Maßnahmen geschützt und dementsprechend ihre datenschutzrechtlichen Pflichten nicht erfüllt hat.
Mangels genauerer Informationen über die datenschutzrechtlichen Maßnahmen des BSW lässt sich das allerdings nicht mit Sicherheit sagen.
Nach Angaben der Partei selbst geht der Datenverlust allerdings auf einen Hackerangriff zurück. Auch vor einem Hackerangriff muss der Verantwortliche für eine Datenverarbeitung die betroffenen Daten schützen – ebenfalls mit entsprechenden Schutzmaßnahmen. Auch hier fehlen Informationen dazu, was die Partei zum Schutz vor Hackerangriffen unternommen hat.
Sollte die Prüfung durch die Datenschutzbehörden ergeben, dass der Schutz vor Hackerangriffen nicht ausreichend war oder der Datensatz sogar tatsächlich bis Juni frei auf der Website verfügbar war, wäre das angesichts des ersten Vorfalls beim Unterstützerverein des BSW im März besonders brisant.
Denn nach einem Hackerangriff muss genau analysiert werden, auf welche technischen Schwachstellen der Angriff zurückging und welche Verbesserungen im IT-Bereich der betroffenen Stelle gemacht werden können.
Mit anderen Worten: Im Hinblick auf Datenschutz muss die datenverarbeitende Stelle mindestens einen Gang hochschalten. Denklogisch galt das auch für Wagenknechts Partei, denn wenn der Unterstützerverein des BSW aufgrund seiner Daten offenbar begehrtes Angriffsziel ist, dürfte die Partei selbst nicht weniger gefährdet sein.
Schnell und richtig reagiert
Kommt es zu Verletzungen des Schutzes personenbezogener Daten, muss das nach Art. 33 Abs. 1 S. 1 DSGVO unverzüglich der Aufsichtsbehörde gemeldet werden. Laut dem BSW ist diese Meldung genauso unverzüglich erfolgt. Auch die von dem Leck betroffenen Personen wurden ordnungsgemäß nach Art. 34 Abs. 1 DSGVO am Montagabend in Form des Newsletters informiert.
Laut eigenen Angaben arbeitet das BSW außerdem eng mit den Datenschutzbehörden zusammen. Auch deren Rolle ist in diesem Fall interessant. Denn die Behörden haben gemäß Art. 57, 58 DSGVO die Pflicht, auf die Einhaltung der DSGVO-Vorgaben zu achten, bei Datenschutzverstößen Untersuchungen bei datenverarbeitenden Stellen durchzuführen und Verantwortliche dazu aufzufordern, ihre Datenschutzmaßnahmen innerhalb einer bestimmten Frist auf ein verordnungsgemäßes Niveau anzuheben.
Zwischen Baden-Württemberg und Berlin
Im Fall des BSW-Datenlecks ist vorwiegend die Zuständigkeit der Behörden maßgeblich. Auch diese stellt sich im vorliegenden Fall als komplex heraus. Denn anders als der Vorläuferverein "BSW – für Vernunft und Gerechtigkeit e. V." mit Sitz in Baden-Württemberg hat die Partei selbst ihren Sitz in Berlin.
Für den Vorfall im März, der den Gründungsverein betraf, war aufgrund seines Sitzes in Baden-Württemberg die entsprechende Datenschutzbehörde zuständig. Doch auch die Berliner Datenschutzbeauftragte war über den Vorfall informiert worden. Auch bei dem März-Vorfall soll es sich um einen Angriff auf die Daten des Gründungsvereins gehandelt haben.
Die Generalstaatsanwaltschaft in Karlsruhe, die Ermittlungen in dem Fall aufgenommen hat, geht nach Angaben des Vereins inzwischen von einem Angriff bei einem externen E-Mail-Dienstleister aus. Es seien damit nicht die vereinseigenen Server gewesen, die Ziel des Angriffs waren – das habe eine forensische Untersuchung der infrage kommenden Rechner ergeben.
Inwiefern zwischen der baden-württembergischen Datenschutzbehörde und der Berliner Datenschutzbeauftragten ein Austausch darüber stattgefunden hat, dass nach dem ersten Vorfall im März nun auch das Risiko eines Datenschutzvorfalls bei der Partei Wagenknechts in Berlin erhöht ist, ist unklar. Hilfreich wäre das sicher gewesen – nicht zuletzt, weil die Datenschutzbehörden untereinander zur Kooperation angehalten sind (Art. 57 Abs. 1 lit. G DSGVO).
Correctiv nutzt Daten weiter
Abseits der Spekulationen über angemessenen oder unzureichenden Schutz personenbezogener Daten durch das BSW stellt sich die Frage, inwiefern Correctiv selbst angemessen mit den Daten umgegangen ist, die dem Recherchekollektiv in die Hände gespielt wurden.
Denn nach eigenen Angaben wurden mithilfe der unrechtmäßig geleakten Daten 150 Personen von Correctiv kontaktiert. Nicht nur das Kontaktieren der Personen, sondern auch das Speichern des Datensatzes sind sogenannte Verarbeitungstätigkeiten, die gemäß Art. Art. 6 Abs. 1 DSGVO nicht ohne eine passende Rechtsgrundlage erfolgen dürfen.
Im Interesse der Presse- und Meinungsfreiheit gilt allerdings gemäß Art. 85 DSGVO das sogenannte Medienprivileg, das auch im Rundfunkstaatsvertrag geregelt ist. Journalistinnen und Journalisten gestattet dieses Privileg, personenbezogene Daten auch ohne Rechtsgrundlage zu verarbeiten, wenn das allgemeine Persönlichkeitsrecht der betroffenen Personen dadurch nicht beeinträchtigt wird.
Der Gesetzgeber, so der Hintergrund dieser Regelung, billigt der Meinungs- und Pressefreiheit einen besonderen Spielraum zu und schützt auch den investigativen Journalismus.
Das Medienprivileg erstreckt sich auf den Kernbereich der journalistischen Tätigkeit und damit auf Recherche und Vorbereitung eines Presseerzeugnisses. Die Betroffenen, die Correctiv kontaktiert hat, wurden mutmaßlich deshalb kontaktiert, um mehr über das Datenleck herauszufinden und entsprechende Informationen in den Artikel aufzunehmen, den Correctiv am 27. August veröffentlicht hat.
Als Medienhaus, das sich auf investigativen Journalismus spezialisiert hat, ist Correctiv auch Nutznießer des Medienprivilegs. Insofern ist gegen die Datenverarbeitung durch das Recherchekollektiv nichts einzuwenden.
Datenleck könnte teuer werden
Für das BSW könnte das Datenleck allerdings finanzielle Folgen haben. Denn nach Art. 82 DSGVO haben Betroffene eines Datenschutzverstoßes einen Anspruch auf Schadensersatz. Die Aufsichtsbehörden können außerdem Bußgelder in beträchtlicher Höhe verhängen.
Vermeiden kann das BSW solche finanziellen Sanktionen nur, wenn es nachweisen kann, dass es für das Datenleck keine Verantwortung trägt, sich also verordnungskonform verhalten hat. Diese Frage wird die Ermittlung der Staatsanwaltschaft klären, die mit dem Vorfall befasst ist.
Fazit
Als junge Partei inmitten wichtiger Landtagswahlen in ist Ostdeutschland hat das BSW einen besonderen Ruf zu verlieren. Gerade in diesen Bundesländern setzen Wählerinnen und Wähler große Hoffnungen in das Bündnis. Wahlen sind emotional, und es kommt auf das Vertrauen an, das Parteien bei Wähler:innen für sich gewinnen können.
Ein nachlässiger Umgang mit personenbezogenen Daten ist alles andere als vertrauenerweckend. Einen bitteren Beigeschmack hinterlässt auch der kurze Abstand, der zwischen dem ersten und dem zweiten Datenschutzvorfall lag und der Zweifel daran schürt, dass man aus dem ersten Vorfall gelernt hat.
Andererseits ist es zu früh für Vorverurteilungen – weder die Aussage, es habe sich bei dem jüngsten Vorfall um einen erneuten Hackerangriff gehandelt, noch die Aussage, der Datensatz sei auf der BSW-Website frei zugänglich gewesen, sind aktuell für Außenstehende überprüfbar.
Deshalb geht es auch bei der Aufklärung des Falles um Vertrauen – nämlich jenes in Staatsanwaltschaft und Aufsichtsbehörden. Ein Gewinn ist die Berichterstattung über das Datenleck in jedem Fall deshalb, weil sie den Schutz personenbezogener Daten wieder in den Fokus rückt und vor Augen führt, warum er wichtig ist. Und auch, weil das BSW nun wirklich dazu angehalten ist, sich mit der Sicherheit der bei ihnen gespeicherten Daten auseinanderzusetzen.