Anfang Mai 2024 informierte das EU-Parlament seine Belegschaft über ein massives Datenleck in der Rekrutierungsplattform “PEOPLE”. Davon betroffen waren die persönlichen Daten von mehr als 8.000 Personen, darunter Personalausweise und Pässe, Strafregisterauszüge, Aufenthaltsdokumente und sensible Daten wie Heiratsurkunden. Letztere können unter anderem Aufschluss über die sexuelle Orientierung einer Person geben. Das Parlament erfuhr erst Monate nach dem Vorfall von der Datenpanne. Die Ursache scheint bis heute unklar. Das ist besonders besorgniserregend, weil sich das Parlament seit langem über Schwachstellen in seinem IT-Sicherheitssystem bewusst ist. noyb hat nun zwei Beschwerden im Namen von vier Parlamentsmitarbeiter:innen beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht.
Die Daten aller Personen an einem Ort. Bevor man sich auf eine Stelle beim Europäischen Parlament bewerben kann, muss man sich auf der Rekrutierungsplattform PEOPLE registrieren. Dort stellt man der Institution haufenweise persönliche Daten zur Verfügung. Dazu gehören Personalausweise und Reisepässe, Aufenthalts- und Bildungspapiere, aber auch sensible Daten wie Strafregisterauszüge und Heiratsurkunden. Letztere können Aufschluss über die sexuelle Orientierung einer Person geben. Umso wichtiger ist es, dass das EU-Parlament entsprechende Sicherheitsvorkehrungen trifft, um diese Daten vor dem Zugriff durch Dritte zu schützen.
Tausende Betroffene. Am 26. April informierte das EU-Parlament den Europäischen Datenschutzbeauftragten (EDSB) über ein massives Datenleck bei PEOPLE, von dem mehr als 8.000 aktuelle und ehemalige Mitarbeiter:innen betroffen waren. Bis heute ist unklar, wann und wie es zu dieser Panne kam. Den Betroffenen wurde lediglich mitgeteilt, dass alle hochgeladenen Dokumente kompromittiert wurden. Am 31. Mai riet ihnen das Parlament deshalb, ihre Ausweise und Pässe vorsorglich zu ersetzen – und bot an, die damit verbundenen Kosten zu erstatten. Zum Zeitpunkt der Einreichung dieser Beschwerde ist noch immer unklar, wie lange auf die persönlichen Daten der Bewerber:innen zugegriffen werden konnte.
Lorea Mendiguren, Datenschutzjuristin bei noyb: “Diese Datenpanne folgt auf eine Reihe von Cybersicherheitsvorfällen in EU-Institutionen im letzten Jahr. Das Parlament ist verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen. Schließlich sind die Mitarbeiter:innen ein beliebtes Ziel für böswillige Akteur:innen.”
Bekannte Schwachstellen in der Cybersicherheit. Der Vorfall ist besonders beunruhigend, da sich das Parlament seit langem über Schwachstellen in seiner eigenen Cybersicherheit bewusst ist: Im November 2023 überprüfte die IT-Abteilung des Parlaments die eigenen Systeme – und kam zu dem Schluss, dass die Cybersicherheit der Institution “noch nicht den Industriestandards entspricht” und dass die bestehenden Maßnahmen “nicht in vollem Umfang dem Bedrohungsniveau” entsprechen, das von staatlich gesponserten Hackern ausgeht. Darüber hinaus fiel der PEOPLE-Angriff zeitlich mit einer Reihe anderer Cyberangriffe auf EU-Institutionen zusammen. Russische Hackergruppen griffen im November 2022 die Website des Parlaments und im Herbst 2023 zahlreiche europäische Regierungen an. Im Februar 2024 wurde der Unterausschuss für Sicherheit und Verteidigung angegriffen. Zwei Abgeordnete und ein Mitarbeiter fanden israelische Spionagesoftware auf ihren Geräten.
Max Schrems, Vorsitzender von noyb: „Als EU-Bürger ist es besorgniserregend, dass die EU-Institutionen immer noch so anfällig für Angriffe sind. Solche sensiblen Informationen im Umlauf zu haben, ist nicht nur für die Betroffenen beängstigend. Sie kann auch genutzt werden, um demokratische Entscheidungen zu beeinflussen.“
Viel mehr Daten als erforderlich. Der Vorfall zeigt außerdem, dass das Parlament sich nicht an die DSGVO-Grundsätze der Datenminimierung und Speicherbegrenzung hält. Nach Artikel 4(1)(c) der EU-DSGVO dürfen EU-Organe nur Daten verarbeiten, die “dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt” sind. Dennoch beträgt die Aufbewahrungsfrist der Rekrutierungsplattform des EU-Parlaments 10 Jahre. Das ist auch deshalb besorgniserregend, weil diese auch sensible (und besonders geschützte) Daten gemäß Artikel 9 EU-DSGVO enthalten. Diese können Aufschluss über die ethnische Zugehörigkeit, politische Meinungen, politische Überzeugungen oder die sexuelle Orientierung von Personen geben. Im aktuellen Fall hatte ein Beschwerdeführerin ihre Heiratsurkunde auf PEOPLE hochgeladen. Diese erlaubt den Rückschluss auf ihre sexuelle Orientierung.
Zwei Beschwerden beim EDSB. noyb hat nun zwei Beschwerden im Namen von vier Mitarbeiter:innen beim Europäischen Datenschutzbeauftragten eingereicht. Dieser ist für Datenschutzverstöße von EU-Institutionen verantwortlich. Das EU-Parlament scheint gegen Artikel 4(1)(c) und (f) sowie Artikel 33(1) der EU-DSGVO verstoßen zu haben. Darüber hinaus lehnte das Parlament einen (nach dem Datenleck gestellten) Antrag auf Löschung ab – und verwies den Beschwerdeführer lediglich auf die 10-jährige Aufbewahrungsfrist. noyb fordert den EDSB nun dazu auf, das Parlament anzuweisen, seine Datenverarbeitung in Einklang mit den DSGVO-Vorschriften zu bringen. Darüber hinaus schlägt noyb die Verhängung einer Verwaltungsstrafe vor. Diese soll ähnliche Verstöße in der Zukunft verhindern.