Datenschutzbeschwerden gegen EU-Parlament wegen Datenleck
Die österreichische Organisation Noyb hat zwei Datenschutzbeschwerden gegen das EU-Parlament eingelegt. Hintergrund ist ein Datenleck in der Rekrutierungsplattform “People” des Parlaments, das Anfang des Jahres bekannt geworden war.
Von der Datenpanne Betroffene hatten Sorge geäußert, dass ihre Daten beispielsweise für Identitätsdiebstahl missbraucht werden könnten. In der für Bewerbungszwecke eingesetzten Plattform sind demzufolge die Informationen sämtlicher aktiven und ehemaligen Mitarbeiter gespeichert – die nach dem Ausscheiden aus dem Europaparlament für weitere zehn Jahre gespeichert werden.
Wie aus den nun eingereichten Datenschutzbeschwerden hervorgeht, sollen mehr als 8000 Personen betroffen sein. Zu den kompromittierten Dokumenten zählen demnach unter anderem Personalausweise und Reisepässe sowie Aufenthaltspapiere und Dokumente über Ausbildungen. Auch besonders sensible Informationen wie Strafregisterauszüge und selbst Heiratsurkunden sollen in dem System hinterlegt sein – diese könnten etwa Aufschluss über die ethnische Zugehörigkeit, politische Überzeugung oder sexuelle Orientierung einer Person geben, so Noyb.
Wie Noyb am Donnerstag mitteilte, wurden die Beschwerden im Namen von vier Parlamentsmitarbeiterinnen und -mitarbeitern beim Europäischen Datenschutzbeauftragten (EDSB) Wojciech Wiewiórowski eingereicht. Dieser soll das Parlament anweisen, seine Datenverarbeitung in Einklang mit der Datenschutzgrundverordnung (DSGVO) zu bringen. Die Organisation schlägt zudem vor, eine Verwaltungsstrafe zu verhängen.
Die Pressestelle des EU-Parlaments hatte Ende Mai gegenüber Posteo bestätigt, dass alle betroffenen Nutzerinnen und Nutzer der “People”-Plattform über das Datenleck informiert worden sind.
Hintergründe weiter unklar
Noyb kritisiert, es sei weiterhin unklar, wie es zu der Datenpanne gekommen ist. Den betroffenen Personen sei lediglich mitgeteilt worden, dass all ihre hochgeladenen Dokumente kompromittiert wurden – und sie ihre Ausweise und Pässe vorsorglich ersetzen sollten. Damit verbundene Kosten würden vom Parlament übernommen.
Lorea Mendiguren, Datenschutzjuristin bei Noyb, sagte: “Diese Datenpanne folgt auf eine Reihe von Cybersicherheitsvorfällen in EU-Institutionen im letzten Jahr. Das Parlament ist verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen.”
Die Organisation bemängelt, das EU-Parlament würde mehr Daten als erforderlich speichern – und das jeweils über einen Zeitraum von zehn Jahren. Damit würde es sich nicht an die DSGVO-Grundsätze der Datenminimierung und Speicherbegrenzung halten. Einer der Beschwerdeführer habe nach Bekanntwerden des Datenlecks einen Löschantrag gestellt – dieser sei mit Hinweis auf die zehnjährige Aufbewahrungsfrist abgelehnt worden.
Mangelnde IT-Sicherheit
Das Datenleck im EU-Parlament sei außerdem “besonders beunruhigend”, weil die Schwachstellen seit langem bekannt seien. Noyb verweist auf einen Bericht der Nachrichtenseite Politico über interne Dokumente zu einer IT-Sicherheitsprüfung der zuständigen Abteilung. Demnach hatten die IT-Experten im November 2023 festgestellt, dass die IT-Sicherheit der Institution “noch nicht den Industriestandards” und “nicht in vollem Umfang dem Bedrohungsniveau” entspreche.
Max Schrems, Vorsitzender von Noyb, mahnte: “Als EU-Bürger ist es besorgniserregend, dass die EU-Institutionen immer noch so anfällig für Angriffe sind. Solche sensiblen Informationen im Umlauf zu haben, ist nicht nur für die Betroffenen beängstigend.” Sie könnten auch genutzt werden, um demokratische Entscheidungen zu beeinflussen.
Der Spiegel hatte im Mai unter Berufung auf Sicherheitskreise berichtet, einige der mutmaßlich gestohlenen Datensätze seien auf Kanälen des Messengerdienstes Telegram angeboten worden. Ein gezielter Angriff auf das System aus Russland werde nicht ausgeschlossen.
Die Piratenpartei hatte im Mai erklärt: “Das Ausmaß dieser Sicherheitslücke, die eine der größten demokratischen Institutionen Europas und ihre Mitarbeiter betrifft, sollte uns darauf aufmerksam machen, wie dringend wir unsere Demokratie und unsere Privatsphäre schützen müssen.” (js)