CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft

Sicherheit (Pexels, allgemeine Nutzung)Kleine Meldung zum Abschluss der Woche. Die Schwachstelle in der CDU-Wahlkampf-App CDU Connect hat vermutlich ein Nachspiel für die beiden Partelen CDU und CSU (beide verwenden diese App). Die Landesdatenschutzbeauftragte des Landes Berlin hat wegen der Sicherheitslücken in der Wahlkampf-App CDU Connect bereits im Juli 2021 ein Prüfverfahren wegen möglicher Verstöße gegen die DSGVO eingeleitet.


Anzeige

CDU Connect und die Schwachstellen

Ich hatte die Tage ja im Blog-Beitrag Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik über das Thema berichtet. CDU und CSU verwenden seit 2017 eine sogenannte CDU Connect Wahlkampf-App. Die App soll Wahlhelfer bei der Dokumentation der Haustürgespräche von aufgesuchten Bürgern unterstützen. Die Wahlkampf-App der CDU ist aber eine wandelnde Datenschleuder. 

Die Sicherheitsforscherin Lilith Wittmann hatte bereits im Mai 2021 eine gravierende Sicherheitslücke in der CDU Connect-App gefunden. Wittmann war in der Lage, auf die dahinter liegende Datenbank zuzugreifen und die Daten von Wahlhelfern sowie Bürgern anzusehen. Im Rahmen eines Responsible Disclosure (RD) meldete die Sicherheitsforscherin die Schwachstelle samt möglichem DSGVO-Verstoß an das BSI, dass CERT-Bund und an die CDU. Die CDU nahm dann die App bzw. die dahinter steckenden Server zeitnah offline, und meldete den Sicherheitsvorfall wohl auch der Datenschutzaufsicht.

Inzwischen haben wir August 2021 und es sind zwei Dinge passiert. Die CDU setzt die Wahlkampf-App CDU Connect wohl wieder für Haustürbesuche ein. Und jemand aus der CDU hat Anzeige gegen die Sicherheitsforscherin Lilith Wittmann erstattet. Jetzt ermittelt das LKA gegen die Sicherheitsforscherin, wodurch die Sache diese Woche erneut hochkochte. Die CDU versuchte zwar die Sache durch eine Entschuldigung aus der Welt zu schaffen und behauptete, die Anzeige zurück gezogen zu haben (CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück). Aber es liegt wohl nicht mehr in Hand der Partei, ob die Anzeige weiter verfolgt wird oder nicht. Lilith Wittmann hat heise ein ausführliches Interview zum Sachverhalt gegeben.

Die Sicherheitsforscherin hat jetzt zudem einen Anwalt zur Verteidigung eingeschaltet, der wohl 350 Euro/Stunde Honorar bekommt – wie man obigem Tweet entnehmen kann. Negative Berichterstattung ist der CDU auf jeden Fall weiterhin sicher – und ich frage mich: wie kann man nur so dämlich sein.

DSGVO-Prüfverfahren läuft

Da durch die aufgedeckte Sicherheitslücke besonders schützenswerte Daten von Wahlkämpfern und teilweise Wählern abrufbar waren, erfolgte auch eine Meldung an die Datenschutzaufsicht des Landes Berlin. Die Datenschutzbeauftragte von Berlin hat daher bereits im Juli 2021 ein DSGVO-Prüfverfahren wegen des Sachverhalts eingeleitet.

 DSGVO-Prüfverfahren wegen CDU Connect

CDU-Watch hat anlässlich der aktuellen Entwicklung bei der Datenschutzbeauftragten des Landes Berlin nachgefragt und in obigem Tweet die Antwort dieser Behörde veröffentlicht. Die Behörde hat ein DSGVO-Prüfverfahren wegen der CDU / CSU Connect-App bereits im Juli 2021 eingeleitet, welches aber noch nicht abgeschlossen ist. heise hat bei der CDU nachgefragt, aber laut diesem Artikel bisher keine Antwort erhalten.


Anzeige

Ähnliche Artikel:
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft

  1. Uwe Bieser sagt:

    Es fällt mir Angesichts der Tatsache, dass alle Schilderungen bislang nur auf Lilith Witmmans Darstellung basieren, schwer, in irgendeiner Richtung ein Urteil zu fällen ohne dass der klärende Strafantrag der CDU offen liegt.
    Frau Wittmann dramatisiert in meinen Augen allerdings in der Darstellung. Sie braucht keine Anzahlung für eine Strafverteidung leisten, denn das würde ja bedeuten, dass die Staatsanwaltschaft bereits von einer Straftat Wittmanns ausgeht, was aber m. W. nicht der Fall ist.
    Sie hat sich anwaltlichen Beistand für die Ermittlungsphase geholt und dass kann je nach Anschuldigung auch sinnvoll sein. Da man bislang nicht weiß, was ihr konkret von den Ermittlungsbehörden vorgeworfen wird, kann man bislang auch nicht über die Beweggründe Hennewigs und ob Frau Wittman sich stärker belastet hat, als sie glaubte nicht urteilen.

    Es stimmt zwar, dass die Entscheidung, ob ein Unterschungsverfahren zurückgezogen wird bei der Staatsanwaltschaft liegt, aber dennoch ist die Aussage Hennewigs für Frau Wittmann hilfreich, da dies durchaus auf die Staatsanwaltschaft begünstigend einwirken kann ein Verfahren einzustellen.

    UnionWatch erweckt im Aufmacher den Eindruck, als würde die Datenschutzbehörde in Sachen CDU-Connect bereits die Strafsumme ausrechnen. Bislang ermittelt diese noch und die relevante Antwort ist im Konjunktiv verfasst.

    • rebootnix sagt:

      Witmman dramatisiert?
      Wasn das für ne grotesk schwachmatische Wahrnehmung – cdu fanboy? Etwas offensichtlich dieser "post"…
      die Neuland-"partei" hat zutiefst ins Klo gegriffen – und bekommt jetzt die Folgen serviert – so schauts aus! und richig so.

      • Dat Bundesferkel sagt:

        Er sieht die Situation genau so, wie sie ist. Nüchtern, neutral, mit vorhandenem Wissen als Außenstehender betrachtend.

        Was Du hier gerade betreibst ist beleidigend und verleumderisch. Nur weil man etwas in Frage stellt, ist man lange kein Fanboy von irgend was.

        Ich teile seine Ansicht. Und ich halte auch das Stunden-Honorar des Anwaltes für Unsinn. RVG (ex BRAGO), hooray. Und ja, einige RAe nehmen eine Vorleistung, insbesondere dann, wenn Mandanten bekannt dafür sind, ihre Rechnungen nicht zu begleichen… aber ich will ja nichts behaupten.

        Vielleicht sind die beiden ja auch verbandelt, man könnte ja konstruieren, daß das Geld nun als Spende, in die Tasche des anderen wandert. Kann das wer ausschließen?

        Es fehlen Fakten, Informationen. Bislang gibt es nur blah blah. Damit läßt sich nicht arbeiten, schon gar nicht mit dümmlichen Twitter-Äußerungen.

    • Mark Heitbrink sagt:

      IANAL, aber was ihr vorgeworfen wird ist Recht eindeutig: #hackerparagraph
      https://www.gesetze-im-internet.de/stgb/__202c.html

    • Andreas W. sagt:

      @Uwe Bieser: Bester Beitrag bisher hier – nüchtern, abwägend, Lücken aufzeigend. Wenn man einen Konflikt verstehen will, muss man beide Seiten hören und alle relevanten Dokumente zur Kenntnis nehmen. Das kann man derzeit leider (noch) nicht.

      Die CDU hat in dieser Sache schwere Fehler gemacht. Aber auch Frau Wittmann befindet sich auf Abwegen, indem sie Sachverhalte recht eigenwillig verknüpft und unverhohlen Wahlkampf gegen die CDU macht. Das ist sicherlich nicht die Aufgabe einer ethischen Hackerin.

      Und 350 EUR Honorar pro Stunde? Bitte, das ist auch unter Rechtsanwälten ein Mondsatz! Aber wer unbedingt einen Rolls Royce haben will, sollte hinterher nicht wegen der hohen Rechnung jammern und den Hut für Spenden aufstellen. Wenn ich rechtlichen Beistand brauche, muss ich mich auch an die einschränkenden Vorgaben meiner Rechtsschutzversicherung halten.

      Und rebootnix? Der hat hier ganz tief ins Klo gegriffen, wirklich ganz tief. Ich würde mir wünschen, dass Günter Born diesen offen beleidigenden Kommentar als Hausherr löscht.

  2. Stephan sagt:

    Für Selbstständige und Firmen lautet es :

    "Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist)"

    So, dann wollen wir mal Abwarten, wie viel CDU/CSU Bezahlen werden.
    Wird bestimmt alles runtergespielt und ist ja nicht so schlimm.

    Ich frage mich, wann bei Politiker das Gewissen Komplett Verschwunden und die Selbstverherrlichung und Skrupellosigkeit Übernommen hat.
    Früher haben Politiker noch Konsequenzen aus ihren Handlungen gezogen, das ist schon lange vorbei.

    • Günter Born sagt:

      Für den Sachverhalt an sich gilt der DSGVO-Erwägungsgrund 55 (siehe auch diese Bundestags-Stellungnahme zum Sonderstatus).

      Wie das Konzernprivileg gemäß diesem Bundestagsdokument zu bewerten ist, habe ich noch nicht durchdrungen. Ich gehe aber davon aus, dass die Parteien sich von einer Verfolgung durch die DSGVO bei Verstößen, zumindest in Deutschland, ausgenommen haben. Ist so wie bei Behörden, denen keine Strafe auferlegt werden kann. We will see.

    • janil sagt:

      Man sagt, unser Land wäre 10-20 Jahre später soweit…

      "Amerika first…"

      Und wir sollen uns jetzt alle an Ungarn ein Beispiel nehmen, laut Fox-News…
      ist es nämlich viel demokratischer als der Rest der EU… (Fox…was solls)

      Stimme Dir bei Deinen Argumenten aber voll zu, man wird sich wieder raus mauscheln.

    • Ralf S. sagt:

      "Früher haben Politiker noch Konsequenzen aus ihren Handlungen gezogen, das ist schon lange vorbei."

      Genau, und vor allem, die betroffenen Politiker haben wirklich noch SELBST (!) Verantwortung übernommen und sind sogar freiwillig (!) – oft noch verbunden mit einer Entschuldigung für ihre Fehler – zurückgetreten! Heute werden sie ja noch nicht einmal mehr gegangen, sondern es wird noch die schützende Hand der Chefin(nen) und Chefs über sie gehalten – egal wie groß der Bockmist ist/war, den sie verbrochen haben… Und klar, nach dem Ende der Legislaturperiode, wollen diese fähigen Personen natürlich wieder ein Amt haben, sofern das dann durch das Wahlergebnis wieder möglich ist… Selbstkritik, Selbstreflektion? Totale Fehlanzeige!

      • Zocker sagt:

        Im besten Fall werden sie heutzutage wegbefördert. Sie werden also aus der Schusslinie gebracht, um woanders ihre Fehler fortzuführen und kassieren dafür weiter fleißig ab. Im Grunde genommen wird dadurch alles nur noch schlimmer gemacht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.