Massive Datenschutzpanne bei der Bundeswahlleiterin

Wie unsere Vertrauensperson aus dem Landesverband Bayern mitteilte, hat sich das Büro der Bundeswahlleiterin bei seiner heutigen Rückmeldung an die Vertrauenspersonen der Parteien, die um eine Zulassung zur Bundestagswahl ringen, eine massive Datenpanne geleistet.

Beim Versand einer E-Mail wurden, wie leider schon oft auch an anderer Stelle, alle Empfänger in das „Cc“-Feld eingefügt (ein sogenannter offener Verteiler) – damit haben nun alle Empfangenden die Möglichkeit, alle anderen Empfangenden entweder als Person zu identifizieren oder anzuschreiben. Es handelt sich dabei aller Voraussicht nach um einen der Verletzung der Regeln zum Schutz personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO – insbesondere da die Datenschutzpanne zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen kann.

Welches Risiko besteht?

Aufgrund der Tatsache, dass es sich bei allen Empfängern um einen sehr kleinen und thematisch eng begrenzten Personenkreis handelt, könnten gezielte Angriffe per E-Mail (sog. Spear-Phishing) zu einer deutlich erhöhten Gefährdung der Kommunikationssysteme der Vertrauenspersonen führen.

Da es sich bei Vertrauenspersonen aller Wahrscheinlichkeit nach nicht immer um Hinterbänkler oder Basismitglieder einer Partei handelt, sondern um Personen mit privilegierten Zugängen zu den parteiinternen Kommunikationssystemen, stellen sie für den politischen Gegner ein Ziel erster Klasse dar, insbesondere bei Parteien, die in der Regel wenig Respekt vor Andersdenkenden haben.

Was ist zu tun?

Die Bundeswahlleiterin muss umgehend, ohne Zeitverzug und keinesfalls unter Ausnutzung einer 72-Stunden-Frist, Meldung an die Aufsichtsbehörde machen. Neben der Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO besteht nach Art. 34 Abs. 1 DSGVO die Verpflichtung, die Betroffenen (die relativ sicher einer erhöhten Gefährdung unterliegen) unverzüglich zu informieren.

Darf man selbst alle warnen?

Als Vertrauensperson darf man meiner Ansicht nach nicht einfach alle Personen per „Allen Antworten“ über das Problem informieren, da man in diesem Fall der offene Verteiler (bei einer Antwort an alle wären diese wieder im „Cc“) erneut verwendet – das wäre wohl eine eher unkluge Lösung, siehe oben.

Auch mit einem geschlossenem Verteiler ( „Bcc“ ) könnte es Probleme geben, da man die Zieladressen nicht wirklich auf regulärem Weg erhalten hat. Dies E-Mail könnte dann, obwohl der Inhalt gut und wichtig wäre, als Spam betrachtet werden was auch eher ungünstig ausgehen kann.

Was tun?

Allen Vertrauenspersonen rate ich: Am besten die E-Mailadresse wechseln, wenn dies nicht geht in Zukunft alle ankommenden E-Mails, und sehen diese auch noch so authentisch aus, extrem kritisch zu betrachten. Klicken sie auf keine Links, öffnen sie keine Anhänge. Deaktivieren sie Vorschau von Anhängen in Ihrem E-Mailprogramm sofern sie diese gefährliche Praxis nutzen.

Tipp an die IT der Bundeswahlleiterin

Mit persönlich ist es ja schleierhaft, warum es keine Schutzmaßnahmen vor dem Versand an eine offenen Verteiler gibt. Vielleicht könnte man mal automatisiert überprüfen was so passiert – also ohne Inhalte zu lesen. Einfach dann, wenn mehr als – sagen wir mal 10 – Empfangende außerhalb der Bundesbehörden im CC stehen, den Versand stoppen und nachfragen.

Nur so als Tip, und ja, das kann man auch ohne „KI“ 😉