DatenschutzChaos Computer Club spricht von „Datenleak“ auf Chamber-Webseite

Wer in Luxemburg an einer Petition teilnimmt, muss seinen Namen und seinen Wohnort angeben – und kann sich dann dafür oder dagegen entscheiden, diese Daten veröffentlichen zu lassen. Seit Juni waren laut einer Pressemitteilung der Chamber allerdings die Namen und Wohnorte von mindestens 24.000 Petitionsteilnehmern online auf chd.lu sichtbar – möglicherweise ohne deren Zustimmung.

Doch wie ist das Problem überhaupt identifiziert worden? Ein aufmerksamer Nutzer habe den Fehler bemerkt und anschließend gemeldet, heißt es in dem Schreiben der Abgeordnetenkammer. Das Problem sei dann am 2. August behoben worden. Ursache: ein technischer Fehler, heißt es in der Mitteilung. Laurent Scheek, Generalsekretär der Kammer, erklärt: „Es handelt sich nicht um ein Leck oder eine böswillige Handlung. Keine andere Art von Daten ist betroffen.“

Dennis Fink vom Luxemburger Chaos Computer Club (CCC) ist da anderer Meinung: „Da es sich um private Daten handelt, schätzen wir diesen Fall als gravierend ein“, erklärt er gegenüber dem Tageblatt. „Wir würden aber, hingegen der Meinung des Generalsekretärs der Kammer, Laurent Scheek, schon von einem Datenleak reden, denn eigentlich sollten diese Daten nicht abrufbar sein.“ Die chd.lu-Webseite verfüge über keine besonders gute technische Umsetzung, bemängelt Fink weiter – „deswegen verwundert uns dieses Datenleak nicht sonderlich“.

Die Chamber meldet, dass der Fall derzeit analysiert werde. Die Datenschutzbeauftragte habe eine Analyse vorgenommen und die Nationale Datenschutzkommission (CNPD) sei informiert worden. Laut Scheek seien die Daten nicht auf der neuen Internetseite petitiounen.lu zugänglich gewesen, welche der Einreichung, Unterzeichnung und Einsichtnahme in öffentliche Petitionen dient.

Der Abgeordnete Sven Clement (Piratenpartei) zeigt sich im Gespräch mit dem Tageblatt erschrocken über den Vorfall. Er selbst habe über die Pressemitteilung davon erfahren. „Da sehen Sie mal, wie gut die Abgeordneten informiert sind, wenn es um solche Chamber-Themen geht“, sagt der Abgeordnete. Um welche Petitionen es genau gehe, wisse er nicht. Dass innerhalb relativ kurzer Zeit zwei solcher Fehler auf einer öffentlichen Chamber-Seite vorgekommen seien, bezeichnet Clement aber als „bedenklich“.

Zur Erinnerung: Bei der „Chamber-Leaks“-Affäre Anfang 2018 hatte der Radiosender 100,7 enthüllt, dass es auf der Webseite der Abgeordnetenkammer eine Sicherheitslücke gegeben hatte. Dabei seien Dokumente auf der Seite einsehbar gewesen, die eigentlich nicht für die Öffentlichkeit bestimmt waren, darunter Kandidaturen, Berichte der Geheimdienstkontrollkommission oder parlamentarische Notizen. Der damalige Parlamentspräsident Mars di Bartolomeo schaltete damals daraufhin die Staatsanwaltschaft ein, die gegen Journalisten des Senders ermittelte. Das Verfahren wurde letztendlich eingestellt. „Wenigstens gab es in diesem Fall keine Klage“, sagt Clement am Donnerstag gegenüber dem Tageblatt. „Scheinbar wurde da aus Fehlern gelernt.“

Die Erneuerung der Webseite der Abgeordnetenkammer sei schon seit mehreren Jahren fällig, moniert Clement. Schon im Jahr 2019 sagte Parlamentspräsident Fernand Etgen, dass noch nicht feststehe, wann die neue Internetpräsenz der Chamber online gehe. Die neue Seite sei jetzt allerdings endlich in Arbeit, so Clement – die entsprechende Ausschreibung sei abgeschlossen und die neue Seite bereits seit ein paar Monaten in Arbeit. „Ich hoffe, dass die ganzen Altlasten und Probleme dann endlich der Vergangenheit angehören“, sagt er. Zudem habe die Chamber seit Anfang Juni einen neuen IT-Chef, verrät der Abgeordnete.

Auch Fink vom CCC sieht bei der Chamber-Webseite Verbesserungsbedarf: „Unserer Meinung nach müsste die Webseite und generell alle Dienste des Staatsapparats einer Sicherheitsüberprüfung unterzogen werden“, erklärt er. Die Internetseite könne zudem eine generelle Neuumsetzung vertragen. Die betroffenen Menschen, deren Daten abrufbar waren, sollten unbedingt kontaktiert werden, mahnt Fink. „Und wir müssen aufpassen, dass es nicht wie beim ‚Chamber-Leaks’-Fall dazu kommt, dass die Person, die diese Lücke aufgedeckt hat, juristisch belangt wird.“

Die Datenschutzkommission darf aufgrund ihres Berufsgeheimnisses keine Details zu dem Vorfall kommunizieren, erklärt Sprecher Tom Kayser auf Tageblatt-Anfrage. Allerdings hat die Kommission Ratschläge für die Menschen, die von dem technischen Fehler betroffen sind. „Für betroffene Personen, die mehr Informationen erhalten oder ihre Rechte gemäß der DSGVO geltend machen möchten, empfehlen wir zunächst, sich direkt an den Verantwortlichen zu wenden“, erklärt Kayser. Sollte deren Antwort den Betroffenen nicht zufriedenstellen, könnte dieser eine Beschwerde bei der CNPD einreichen. Dabei verweist er auf deren Webseite unter dem Reiter „Ihre Rechte geltend machen“.

Nach dem Erhalt einer Meldung zu einer Datenschutzverletzung analysiere die Kommission den jeweiligen Sachverhalt. Dabei gehe es zum Beispiel um die Art und den Umfang der Daten, die Ursache der Datenschutzverletzung und die möglichen Konsequenzen. Diese Analyse sei dazu da, „um festzustellen, ob wir mit der Risikoeinschätzung des Verantwortlichen einverstanden sind“, erläutert Kayser. „Ist dies nicht der Fall, besprechen wir seine Risikoanalyse mit ihm.“ In diesem Zusammenhang sei die CNPD insbesondere berechtigt, von dem Verantwortlichen zu verlangen, die Betroffenen zu benachrichtigen.

Zu dem aktuellen Fall schreibt der Sprecher: „Die CNPD ist sich des Ausmaßes der vorliegenden Datenschutzverletzung bewusst.“ Er erwähnt zudem, dass die Chamber mit dem Informieren der Betroffenen einen richtigen Schritt getan habe: „Die Abgeordnetenkammer ist ihrer Meldepflicht nachgekommen und hat, insbesondere gegenüber den betroffenen Personen, Transparenz bewiesen und ihre Rechenschaftspflicht erfüllt.“

Es sei wichtig, dass die Verantwortlichen dieser Pflicht nachkommen – dadurch könnten negative Konsequenzen einer Datenschutzverletzung minimiert oder sogar völlig ausgeschlossen werden. Eine abwartende oder intransparente Handhabung von Datenschutzverletzungen könne wiederum Probleme schaffen oder möglicherweise bereits bestehende Probleme vergrößern. Luxemburg ist laut der CNPD eines der europäischen Länder mit den höchsten Meldequoten in dieser Hinsicht. „Dies zeigt, dass den hiesigen Verantwortlichen bewusst ist, wie wichtig Transparenz und Kommunikation im Zusammenhang mit Datenschutzverletzungen sind“, schlussfolgert Kayser.