NationbuilderEU-Parlament teilte Wählerdaten mit umstrittener Firma, die auch für Trump und Brexit arbeitete

Das Europäische Parlament wollte vor der Europawahl Wähler mobilisieren. Dabei setzte es auf eine Plattform aus den USA. Das sorgt nun für Ärger mit EU-Datenschützern.

Graffito mit Trump und Johnson
Graffito mit Donald Trump und Boris Johnson vor dem Brexit-Referendum im Juni 2016 CC-BY-NC 2.0 duncan c

Das Europäische Parlament hat Daten von Wählerinnen und Wählern an eine umstrittene Firma weitergegeben, die durch ihre Arbeit für Donald Trump bekannt wurde. Das Parlamentsverwaltung geriet dadurch mit EU-Datenschützern in Konflikt. Der Europäische Datenschutzbeauftragte gab heute bekannt, den Fall zu untersuchen.

Konkret geht es um Nationbuilder. Die Firma mit Sitz in Los Angeles bietet eine Plattform für digitale Kampagnen. Sie galt als „Geheimwaffe“ von Donald Trump im US-Wahlkampf 2016 und arbeitete nach eigenen Angaben vor dem Brexit-Referendum für beide Seiten.

Nationbuilder hilft Kampagnengruppen, Webseiten zu bauen, die Daten von Unterstützern zu sammeln und ihnen gezielte Newsletter zu senden sowie Spenden zu sammeln.

Politiker und Aktivisten rund um der Welt nutzen Nationbuilder. Frankreichs Präsident Emmanuel Macron und der britische Premier Boris Johnson sind Kunden, Trump-Konkurrent Bernie Sanders setze auf den Dienst und auch der Rechtsextreme Tommy Robinson.

Vor der Europawahl im Mai 2019 schloss das EU-Parlament einen Vertrag über 135.000 Euro mit Nationbuilder ab. Die Firma sollte dem Parlament bei einer Kampagne zur Wählermobilisierung helfen.

"This time I'm voting"
Die Kampagne des EU-Parlaments - Alle Rechte vorbehalten European Union

Auf der zugehörigen Webseite sammelte das Parlament die Namen, E-Mail-Adressen und Herkunftsländer von Unterstützern – die Daten landeten auf den Servern von Nationbuilder in den USA.

Wie die Daten dort verarbeitet wurden und ob sie rechtswidrig an andere Firmen weitergegeben wurden, ist Gegenstand der Untersuchung des EU-Datenschutzbeauftragten.

Facebook fürchtete Datenabfluss

Nationbuilder ist bei Datenschützern umstritten. Die Plattform lässt ihre Kunden Wählerdaten aus unterschiedlichen Quellen abgleichen und zusammenführen.

Kunden können etwa in der „Match“-Funktion die E-Mail-Adressen eines möglichen Wählers eingeben, Nationbuilder ergänzt wie von Zauberhand seine Profile in sozialen Medien.

Wegen dieser Funktion stand Nationbuilder gemeinsam mit Cambridge Analytica bei Facebook intern auf dem Prüfstand, das zeigen interne E-Mails des Konzerns aus den Jahren 2015 und 2016. Mitarbeiter von Facebook waren damals beunruhigt, dass Nutzerdaten aus dem sozialen Netzwerk abfließen könnten.

Nach der Wahl von Trump und dem Brexit-Votum wurde schließlich bekannt, dass Cambridge Analytica die Daten von bis zu 87 Millionen Nutzern von Facebook absaugte. Die Kampagne von Trump nutzte die Daten, um maßgeschneiderte politische Werbung in sozialen Medien zu machen.

Bei Nationbuilder wollte Facebook kein Fehlverhalten entdecken. Allerdings berichtete der „Daily Telegraph“ zuletzt, Nationbuilder habe mit der Marketingfirma FullContact zusammengearbeitet. FullContact habe in der Vergangenheit im großen Stil Nutzerdaten von Facebook abgesaugt und dabei interne Regeln Facebooks verletzt.

Nationbuilder will bis heute keine öffentlichen Angaben darüber machen, wie es Adressdaten und Social-Media-Konten miteinander abgleicht.

Die französische Datenschutzbehörde untersagte Nationbuilder 2017 den Abgleich von Wählerdaten mit Social-Media-Konten. Die britische Datenschutzbehörde ging nicht so weit, mahnte aber in einem Bericht, dass Betroffene über die Verwendung ihrer Daten informiert werden müssten.

EU-Parlament: Keine Verknüpfung mit Social Media

Der dubiose Ruf von Nationbuilder bei Datenschützern schreckte das EU-Parlament dennoch nicht davon ab, mit der Firma zusammenzuarbeiten. Das Parlament habe die Plattform thistimeimvoting.eu ab März 2018 eingesetzt, um „mit potenziellen Wählern in Kontakt zu bleiben“.

„Interessenten konnten sich auf eigene Initiative bei einer Plattform anmelden, die in den 24 Arbeitssprachen der Europäischen Union verfügbar war, um vom [Europäischen Parlament] Informationen über die Europawahlen zu erhalten“, schrieb eine Sprecherin des EU-Parlaments auf Anfrage von netzpolitik.org im September.

Als Beispiel für die von thistimeimvoting.eu verteilten Informationen nannte die Sprecherin „allgemeine Informationen“ zum Urnengang und Veranstaltungen in der Nähe der Interessenten.

Das Parlament sammelte Namen, E-Mail-Adressen, bevorzugte Sprachen und den Wohnort der Nutzer. Die Daten landeten in der Plattform von Nationbuilder, über die die Kampagne abgewickelt werden sollte.

Auf Anfrage von netzpolitik.org verneinte die Sprecherin, dass die Daten mit Social-Media-Profilen verknüpft worden seien. „Es wurden keine Daten mit anderen Systemen geteilt und es wurden keine Daten von anderen Datensätzen gekauft oder hochgeladen“, schrieb sie in einer E-Mail im September.

In einem Dokument der Kommunikationsabteilung, das auf der Webseite des Parlaments abrufbar ist, hieß es vor der Wahl allerdings noch, man wolle im Rahmen der Mobilisierung auch Daten aus Aktivitäten in sozialen Medien verarbeiten: „Shares, Likes, Comments, Retweets, Tweets, Posts.“

Datenschützer ordneten Löschung an

Der Einsatz von Nationbuilder durch das EU-Parlament rief die Kontrollbehörde auf den Plan. Der Europäische Datenschutzbeauftragte untersucht den Fall seit Februar 2019, äußerte sich zur Frage der Datenzusammenführung bisher aber nicht.

Erstmals öffentlich bekannt wurden die Ermittlungen diese Woche. Der neue Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sagte bei einer Anhörung in Straßburg auf die Frage einer Abgeordneten nach dem Cambridge-Analytica-Skandal, „Probleme in diesem Bereich“ könne es sogar im EU-Parlament geben.

Der oberste Datenschützer der EU-Institutionen ordnete nach eigenen Angaben dem Parlament an, den Vertrag der betreffenden Firma aufzulösen. Die Daten müssten von den Servern der Firma entfernt werden.

Der Datenschutzbeauftragte machte seine Untersuchung nach unserer Presseanfrage öffentlich. Über die Webseite des EU-Parlaments seien persönliche Daten von 329.000 Menschen gesammelt worden, berichtete die Behörde heute in einer Pressemitteilung.

Die Behörde bemängelt nicht nur ausreichende Kontrolle der Daten beim Auftragsverarbeiter, sondern auch die mangelhafte Datenschutzerklärung durch das Parlament.

Der oberste EU-Datenschützer hat in der Sache erstmals eine Rüge an eine EU-Institution ausgesprochen. Das Parlament schrieb uns auf eine frühere Anfragte, es habe Nationbuilder nach Ablauf des Vertrags aufgefordert, die Daten endgültig zu löschen.

Eine aktuelle Stellungnahme gab das EU-Parlament zunächst nicht ab.

NationBuilder teilte auf Anfrage von netzpolitik.org mit, die Firma „engagiere sich für die höchsten Standards an Privatsphäre und Datenschutz“. Zu den konkreten Umständen des Falls nahm die Firma keine Stellung.

Die Untersuchungen in der Sache laufen noch. Der EU-Datenschutzbeauftragte will sie voraussichtlich bis Jahresende abschließen.

Seine Handlungsmöglichkeiten in der Sache seien „nicht auf Rügen alleine beschränkt“, droht der Datenschutzbeauftragte. Seiner Behörde darf laut den internen Datenschutzregeln der EU-Institutionen Disziplinarmaßnahmen vornehmen, die bis hin zur Entlassung der Verantwortlichen in der Parlamentsverwaltung reichen.

Update vom 29. November 2019: Die Stellungnahme von Nationbuilder wurde nachträglich eingefügt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Mir ist in dem Artikel etwas unklar. Was ich meine verstanden zu haben, das EU-Parlament hat „nationbuilder“ pesonenbezogene Daten übertragen, die sie über „thistimeimvoting.eu“ gesammelt haben. Also nicht im engen Sinn Wählerdaten oder Wähler:innen-Register, sondern Daten von Menschen, die sich dort registriert haben?

    1. Es handelt sich um Daten von Wählerinnen und Wählern, also „Wählerdaten“. Also nein, keine Daten aus dem Wählerregister. Ich hoffe, das geht aus dem Text hinreichend hervor.

      1. Entschuldigung mir ist es immer noch nicht so klar: Handelt es sich um Wählerdaten in dem Sinne, dass es Daten sind von Leuten, die erklärt haben Wählen zu wollen und sich auf der Plattform registriert haben? Oder Daten von *allen* Wählern?

  2. Gibt es Informationen zu dem Anforderungskatalog vom EP und wie die Ausschreibung verlaufen ist? Wer verhandelt so etwas?

  3. An der Stelle endet die Möglichkeit des Refactorings, wenn nicht Köpfe rollen. Die richtigen bitte :)…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.