Bündnis Sahra Datenleck

Das Bündnis Sahra Wagenknecht (BSW) hat offenbar ein Problem mit dem Schutz und der Sicherheit der Daten seiner Mitglieder und Unterstützer. Nachdem schon im März bekannt geworden war, dass wegen eines Lecks auf der BSW-Webseite Namen und weitere persönliche Daten mehrerer Tausend Personen abrufbar waren, wurde CORRECTIV jetzt erneut auf ein solches Leck aufmerksam gemacht – in noch weit größerem Umfang.

Aus der Pressestelle der Partei heißt es „nach dem erneuten Vorfall“ – gemeint ist wohl das von CORRECTIV benannte Datenleck – habe man „alle professionellen Verfahren streng eingehalten“, man kooperiere „eng mit den Behörden“. Um welche Verfahren es sich hierbei handelt, blieb offen.

In der Datei, die der Redaktion vorliegt, stehen rund 70.000 Personendaten. Darunter finden sich Mitgliederlisten und Angaben zu Unterstützern und sogenannten „Landesbeauftragten“. Die jüngsten Daten stammen aus dem Juni dieses Jahres und konnten zu dem Zeitpunkt weiterhin über die Webseite heruntergeladen werden. Ein Informant bestätigt CORRECTIV gar, dass das Leck trotz öffentlicher massiver Berichterstattung nach dem ersten Vorfall im März nicht geschlossen wurde. CORRECTIV kann dies nicht unabhängig überprüfen.

Die baden-württembergische Datenschutzbehörde teilt mit: Im März habe der Verein sie unterrichtet. Daraufhin habe sie Informationen von diesem angefordert. Die Rückmeldung allerdings habe Fragen offengelassen, „insbesondere hinsichtlich der Ursache der Datenpanne“, sodass man erneut an den Verein herantreten sei. Das Verfahren laufe noch. Montagabend sei erneut eine Datenpannen-Meldung vom Verein eingegangen, hierzu lasse sich noch nichts Weiteres sagen.

Partei stellt sich als Opfer dar

Der erneute Datenabfluss könnte auch finanzielle Konsequenzen haben. Geschädigte von Datenlecks haben grundsätzlich Anspruch auf Schadenersatz, wenn sie dadurch einen spürbaren Schaden erleiden. Betroffenen können bis zu mehreren Hundert Euro pro Person zustehen. Außerdem können die Behörden gemäß Art. 83 DSGVO Bußgelder von bis zu zwanzig Millionen Euro verhängen.

CORRECTIV hat am Montag mehr als 150 Personen kontaktiert, die im neuen Datenleck auftauchen und sie gefragt, ob sie bereits vor unserer Anfrage an die Partei über den Datenabfluss informiert worden waren. Die ersten antworteten bis heute Morgen. Über den BSW-Newsletter wurde über eine allgemeine Datenpanne informiert.

Nachdem CORRECTIV der Partei am Montagmorgen eine Fragenliste geschickt hatte, machte diese am späten Montagabend in einem Newsletter an ihre Unterstützer selbst auf die Datenpanne aufmerksam – gab dem Vorfall allerdings einen anderen Spin: Das BSW sei „wahrscheinlich das Ziel eines Cyberangriffs geworden“. Im Newsletter teilte die Partei zudem mit, sie habe den Vorfall unverzüglich der Staatsanwaltschaft und den zuständigen Datenschutzbehörden gemeldet. Das Bündnis schreibt auch: „Correctiv wollte uns diesen Datensatz leider nicht vorlegen“, hatte jedoch die Redaktion nicht danach gefragt.

Auf die Fragen von CORRECTIV, wie es zu der aktuellen Datenpanne kam, ab wann die Partei davon wusste und warum offenbar bereits länger bestehende Sicherheitslücken nicht geschlossen wurden, machte die Partei keine Angaben: Zu laufenden Ermittlungen und Partei-Interna wolle man sich nicht äußern, hieß es vonseiten der Pressestelle.

Erster Datenabfluss im März

Bereits im März war ein Datenleck beim BSW bekannt geworden. Es ermöglichte Unbefugten den Zugriff auf persönliche Daten von Spendern und Newsletter-Abonnenten. Unmittelbar nach dem Bekanntwerden des Vorfalls hatte das BSW die zuständigen Datenschutzbehörden informiert, wie diese jetzt auf CORRECTIV-Anfrage bestätigten.

Damals waren bereits E-Mail-Adressen von etwa 5.000 Spendern sowie von 30.000 Newsletter-Abonnenten betroffen. BSW-Schatzmeister Ralph Suikat erklärte damals laut Spiegel, das Bündnis habe eine Strafanzeige gegen Unbekannt vorbereitet und seine Dienstleister kontaktiert, um Sicherheitsmaßnahmen zu überprüfen.

Die Generalstaatsanwaltschaft in Karlsruhe bestätigte nun auf Anfrage, ein Ermittlungsverfahren zu führen. Aus der Pressestelle der Partei hieß es, „nach dem Vorfall im März wurden der betroffene Rechner forensisch untersucht und die Verfahren überprüft, ohne dass eine Kompromittierung festgestellt wurde.“ Daher vermute man einen „gezielten Angriff bei einem externen, jedoch sorgfältig ausgesuchten E-Mail-Dienstleister“.

Welche Maßnahmen danach von der Partei und ihrem externen Dienstleister getroffen wurden, ist jedoch angesichts des neuen Datenlecks fraglich. Der Datensatz enthält nicht nur persönliche Kontaktinformationen, sondern führt die Personen auch als Mitglieder, beinhaltet Angaben über die Teilnahme an Wahlpartys und Details zu Unterstützern in verschiedenen Bundesländern und 42 sogenannten „Landesbeauftragten“. Tatsächlich stimmen die Namen der „Landesbeauftragten“ größtenteils mit Bundestagsabgeordneten, Parteivorständen, Landtagskandidaten und anderen Funktionären überein, was einen Einblick in die Parteistruktur gibt.

Das Leck wurde offenbar erst geschlossen, nachdem die Aktivistin Ornella Allami, im Netz als „N3LL4“ bekannt, öffentlich auf die Lücke Anfang Juni aufmerksam machte. Ob dieser Ablauf genau so zutrifft, ist jedoch nicht unabhängig überprüfbar.

Frage nach Rolle der Aufsichtsbehörden

Der erneute Datenabfluss bei der Partei wirft auch die Frage auf, wie ernsthaft die zuständigen Beauftragten für Datenschutz die Ursachen für das erste Leck geprüft haben. Laut Artikel 83(1) haben die Behörden eine Pflicht, „in jedem Einzelfall wirksame, verhältnismäßige und abschreckende“ Strafen zu verhängen.

Der Vorfall im März sei beim Unterstützerverein der Partei geschehen, sagte damals eine Sprecherin des BSW – dieser hat seinen Sitz in Baden-Württemberg. Deshalb sei die baden-württembergische Datenschutzbeauftragte zuständig gewesen. Für die Partei selbst ist allerdings die Berliner Datenschutzbeauftragte zuständig. Beide Behörden bestätigen auf CORRECTIV-Anfrage, damals informiert worden zu sein. Eine Datenübermittlung zwischen Verein und Partei bedürfen laut Datenschutzbeauftragten von Baden-Württemberg einer gesonderten Rechtsgrundlage.

Auf die Frage, was sie als Konsequenz unternehmen, schreibt die Berliner Behörde sinngemäß, sie sei nicht wirklich zuständig gewesen, sondern die Kollegen in Baden-Württemberg.

Ob aus dem Vorfall tatsächlich Schadenersatzansprüche resultieren und wenn ja, gegen wen diese zu richten sind, bedarf wohl einer gerichtlichen Klärung. Ob eine solche stattfindet, hängt auch davon ab, ob Geschädigte klagen. Denn Schadenersatz muss in solchen Fällen individuell eingeklagt werden.

In vielen Fällen übersteigen die Prozesskosten jedoch den potenziellen Schadenersatz, was Geschädigte von Klagen abhält. Und ob ausgerechnet die Unterstützer und Mitglieder der Partei sich dafür entscheiden, diese nun zu belangen, ist fraglich. Sollte sich jedoch bewahrheiten, dass Verletzungen von Datenschutz und Datensicherheit stattgefunden haben, drohen den Verantwortlichen empfindliche Bußgelder.

Recherche: Shammi Haque, Alexej Hock, Anna Kassin, Jean Peters, Leon Ueberall
Redaktion: Anette Dowideit
Faktencheck: Gesa Steeger