Technologie

Datenleck in Regierungssoftware: Mitarbeiter verklagen EU-Parlament

Datenleck EU-Parlament, EU, Europäische Union, EU-Parlament,
Pixabay / Gerd Altmann
geschrieben von Maria Gramsch

Bei einem Datenleck im EU-Parlament konnten persönliche Daten von mehr als 8.000 aktuellen und ehemaligen Beschäftigten abgegriffen werden. Das Europäische Zentrum für digitale Rechte hat deshalb nun zwei Beschwerden beim Europäischen Datenschutzbeauftragten eingereicht.

Im Mai 2024 hat das EU-Parlament seine Angestellten über ein massives Datenleck in der Rekrutierungsplattform „PEOPLE“ informiert. Mehrere Monate zuvor war es allerdings bereits zu der Datenpanne gekommen.

Dabei hatten Kriminelle Zugriff auf sensible Daten von mehr als 8.000 aktuellen und ehemaligen Beschäftigten. NOYB, das Europäische Zentrum für digitale Rechte, hat deshalb nun zwei Beschwerden im Namen von vier Parlamentsmitarbeiter:innen beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht.

Datenleck im EU-Parlament macht sensible Daten angreifbar

Wer sich beim Europäischen Parlament auf einen Job bewerben möchte, muss sich zunächst bei der Rekrutierungsplattform „PEOPLE“ registrieren. Im Registrierungsprozess müssen Interessierte dann auch zahlreiche persönliche Daten angeben.

Aber auch Dokumente müssen diese hier hochladen. Dazu gehören Personalausweis und Reisepass sowie Aufenthalts- und Bildungspapiere. Aber auch Strafregisterauszüge und Heiratsurkunden geben Bewerber:innen hier an.

Doch genau an dieser Stelle des Bewerbungsprozesses ist es beim EU-Parlament zu einem enormen Datenleck gekommen. Am 26. April 2024 informierte das EU-Parlament den Europäischen Datenschutzbeauftragten über die Datenpanne.

Anfang Mai folgte dann die Information der Beschäftigten. Doch die Datenpanne lag schon mehrere Monate zurück. Jedoch ist laut NOYB bis heute nicht klar, wann genau die Daten abgegriffen wurden und wie es dazu kam.

Das EU-Parlament informierte jedoch seine Mitarbeiter:innen, dass alle bei „PEOPLE“ hochgeladenen Dokumente kompromittiert wurden. Deshalb riet das Parlament auch dazu, Pässe und Ausweise erneuern zu lassen. Die dadurch entstehenden Kosten werde das Parlament übernehmen.

IT-Schwachstellen sind nicht neu auf EU-Ebene

Doch dieser Vorfall ist laut NOYB kaum überraschend. Denn das Parlament sei sich „seit langem über Schwachstellen in seiner eigenen Cybersicherheit bewusst“.

„Diese Datenpanne folgt auf eine Reihe von Cybersicherheitsvorfällen in EU-Institutionen im letzten Jahr“, erklärt Lorea Mendiguren, Datenschutzjuristin bei NOYB. „Das Parlament ist verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen. Schließlich sind die Mitarbeiter:innen ein beliebtes Ziel für böswillige Akteur:innen.“

Bereits im November 2023 kam die IT-Abteilung des EU-Parlaments nach einer Prüfung der eigenen Systeme zu einem ernüchternden Schluss. Die eigene Cybersicherheit entspreche „noch nicht den Industriestandards“ hieß es in dem Bericht.

Risiken, die von staatlich gesponserten Hacker:innen ausgehen, würden durch die bestehenden Maßnahmen „nicht in vollem Umfang dem Bedrohungsniveau“ entsprechen.

„Als EU-Bürger ist es besorgniserregend, dass die EU-Institutionen immer noch so anfällig für Angriffe sind“, bemängelt Max Schrems, Vorsitzender von NOYB. „Solche sensiblen Informationen im Umlauf zu haben, ist nicht nur für die Betroffenen beängstigend. Sie kann auch genutzt werden, um demokratische Entscheidungen zu beeinflussen.“

Datenleck im EU-Parlament: NOYB reicht zwei Beschwerden ein

Aufgrund der Vorfälle hat NOYB nun zwei Beschwerden im Namen von vier Mitarbeiter:innen beim Europäischen Datenschutzbeauftragten eingereicht. Denn laut NOYB scheint das EU-Parlement gegen die Artikel 4(1)(c) und (f) sowie 33(1) der EU-DSGVO zu verstoßen.

Das EU-Parlament müsse seine Datenverarbeitung in Einklang mit den DSGVO-Vorschriften bringen. Diese sehen beispielsweise Grundsätze zur Datenminimierung und Speicherbegrenzung vor.

EU-Organe dürfen nur Daten verarbeiten, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind. Dennoch betrage die Aufbewahrungsfrist der Rekrutierungsplattform zehn Jahre.

Auch seien besonders sensible Daten hier enthalten. Diese können Aufschluss über sexuelle Orientierung, ethnische Zugehörigkeit oder politische Überzeugungen geben. Damit handle es sich um besonders geschützte Daten gemäß Artikel 9 der EU-DSGVO.

Auch interessant:

Über den Autor

Maria Gramsch

Maria ist freie Journalistin und technische Mitarbeiterin an der Universität Leipzig. Seit 2021 arbeitet sie als freie Autorin für BASIC thinking. Maria lebt und paddelt in Leipzig und arbeitet hier unter anderem für die Leipziger Produktionsfirma schmidtFilm. Sie hat einen Bachelor in BWL von der DHBW Karlsruhe und einen Master in Journalistik von der Universität Leipzig.