"Super-GAU": DatenschĂĽtzer nehmen Letzte Generation nach Leck ins Visier
Die bayerische Aufsicht prĂĽft die Panne einer offenen Liste mit hochsensiblen Personendaten der Klima-Aktivisten, die ĂĽber ihre Profilbildung nicht informierte.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat ein Prüfverfahren gegen die "Letzte Generation" eingeleitet. Es reagiert damit auf Berichte über ein massives Datenleck bei der Klimaschutzbewegung: Diese sammelte demnach persönliche Daten von über 2200 Anhängern und Interessenten mit teils hochsensiblen politischen Einschätzungen auf einer Excel-Liste, die sie frei zugänglich auf den Cloud-Dienst Google Drive einstellte. Darauf verzeichnet waren Anmerkungen wie: "Zu ängstlich für Gefängnis."
Risikobewertung läuft noch
Zentrale Frage ist für die Kontrolleure, ob die Daten wirklich für jedermann einsehbar oder Zusatzkenntnisse wie "ein spezifischer Zugangslink erforderlich" gewesen seien, erklärte eine BayLDA-Sprecherin gegenüber heise online. Im zweiten Fall wäre dann die Ausgestaltung der Weitergabe der URL einzuschätzen. "Letztendlich bewerten wir bei einem solchen Vorfall das Risiko für die betroffenen Personen", heißt es bei der Aufsicht. Sei dieses hoch, müssten diese auch von dem Vorfall unterrichtet werden.
"Zusätzlich legen wir bei der Aufarbeitung von Sicherheitsverletzungen grundsätzlich großen Wert darauf, dass sich diese nicht ohne Weiteres nochmals ereignen können", betont die Sprecherin. Dabei gehe es etwa um die zusätzliche Absicherung einer Datei in der Cloud mit einem "starken Passwort". Generell sei das BayLDA für die Webseite letztegeneration.de zuständig. Ob das auch so bei der Frage der sonstigen Verarbeitung personenbezogener Daten bleibe, werde sich erst im Laufe des Verfahrens herausstellen. Im Impressum des Webauftritts der Gruppe ist ein Techniker mit Wohnsitz in Augsburg als Verantwortlicher eingetragen.
Nach Ansicht des Berliner Rechtsanwalts Niko Härting, der die Panne als "Daten-Super-GAU" bezeichnete, dürften die besonders schützenswerten persönlichen Informationen aber auch nicht auf einem Google-Drive-Konto gespeichert werden, das mit restriktiven Zugriffsrechten besser abgeschirmt ist. Er bemängelte in diesem Sinne auch die Datenschutzerklärung auf der Webseite der Klima-Aktivisten gegenüber heise online: "Da es die Excel-Liste gibt, wissen wir, dass man Profile zu einzelnen Personen erstellt." In der Erklärung finde sich aber nur der Hinweis: "Deine Daten werden zum einen dadurch erhoben, dass du uns diese mitteilst." Über eine Profilbildung informiere die Gruppe also nicht, genauso wenig über deren Zwecke und wer die Zusammenstellung erhalten und nutzen könne.
Bitte um einen "Moment Geduld"
Laut der BayLDA-Sprecherin gab es bislang für die Behörde "keinen Anlass, die Datenschutzerklärung zu prüfen". Aufgrund der Vielzahl von Webseiten gebe es keine anlasslosen Kontrollen. Sollte dazu aber etwa eine Datenschutzbeschwerde eingehen oder andere Faktoren vorhanden sein, die ein höheres Risiko in diesem Zusammenhang ergeben, "dann wird diese Prüfung entsprechend der angezeigten Priorisierung unserer Aufgaben durchgeführt". Zum Fall der Letzten Generation hätten das Amt noch keine Eingaben Betroffener erreicht.
Laut Artikel 33 der Datenschutz-Grundverordnung (DSGVO) müssen Verantwortliche bei einem Verstoß diesen nach Bekanntwerden "unverzüglich und möglichst binnen 72 Stunden" melden. Ob die Letzte Generation sich fristgerecht an die Behörde wendete, ist offen. Das BayLDA erteilt dazu nach eigenen Angaben grundsätzlich keine Auskunft. Die Letzte Generation äußerte sich auf Anfrage von heise online seit Mittwoch nicht zu dem Thema und möglicherweise inzwischen ergriffenen Vorsichtsmaßnahmen. Ein Sprecher bat am Donnerstag lediglich um einen weiteren "Moment Geduld".
Vielen Politikern stößt das Leck übel auf. "Wer Menschen anleiten und vernetzen will, dem kommt eine besondere Verantwortung beim Schutz ihrer persönlichen Daten zu", hob Konstantin von Notz, Vize der Grünen-Bundestagsfraktion, gegenüber heise online hervor. Die Zuständigen der Letzten Generation seien dem absolut nicht gerecht geworden. Auch an ersten beschwichtigenden, den gravierenden Vorfall herunterspielenden Statements werde deutlich: Offenkundig hätten sich die Verantwortlichen "bislang viel zu wenig mit grundlegenden Fragen von Grundrechtsschutz und IT-Sicherheit beschäftigt". Nachhaltigkeit im Digitalen bedeute aber auch, "sichere und datenschutzkonforme Systeme zu nutzen".
Kritik und Empfehlungen
Manuel Höferlin, innenpolitischer Sprecher der FDP-Bundestagsfraktion, kündigte eine schärfere Beobachtung der Organisation an: "Wer die Bereitschaft seiner Mitglieder erfasst, ins Gefängnis zu gehen und sie für Blockadeaktionen schult, der hat offensichtlich strafrechtlich relevante Absichten. Da sich die Letzte Generation immer weiter radikalisiert, ist es richtig, dass wir ihre Blockadeaktionen zukünftig in einem bundesweiten Lagebild erfassen." Das Leck zeige aber auch, wie wichtig digitale Bildung sei: "Angehende Klimachaoten sollten neben dem How-to-Festnahme-Seminar vielleicht auch einen Crashkurs in Datenschutz absolvieren."
Die Vereinigung als kriminell abzustempeln, wie es zuvor Politiker von CDU und SPD getan hatten, hält die Psychologin Maria-Christina Nimmerfroh für falsch: "Das stärkt deren Gemeinschaft eher, statt sie aufzubrechen", sagte sie der "Frankfurter Neuen Presse". Sinnvoller sei es, etwa darauf hinzuweisen, dass Klebeblockaden noch mehr Staus und Abgase verursachten. Beim Marketing und der Rekrutierung handle es sich um "eine absolut professionelle Organisation". Ein so straffes Vorgehen mit Telefon-Marketing, Ansprache vor Ort, raschem Nachfassen und emotionaler Bindung sowie Betreuung sei im zivilgesellschaftlichen Bereich selten.
Inzwischen hat die "Letzte Generation" auf eine Anfrage von heise online geantwortet und erklärt: "Die Daten waren über einen nicht öffentlichen Link zugänglich. Nur Menschen in internen Chatgruppen konnten auf ihn zugreifen." Der Zugang sei am 2. Februar gelöscht beziehungsweise "stärker geschützt" worden. Die Daten stammen demnach aus dem vergangenen Sommer und Herbst.
(mho)