Das Europäische Parlament hat über ein Jahr lang die Druckaufträge von Abgeordneten und ihren Assistenten gesammelt – ohne darüber aufzuklären. Die Namen und die Inhalte der Dokumente speicherte die Parlamentsverwaltung für 18 Monate für Disziplinarverfahren und verwaltungsrechtliche Ermittlungen. Gebremst hat die parlamentsinterne Vorratsdatenspeicherung erst eine Untersuchung des EU-Datenschutzbeauftragten.
Eine Recherche von netzpolitik.org bringt die ungewöhnliche Datensammelei des Parlaments ans Tageslicht. Auf unsere Informationsanfrage gab die Datenschutzbehörde Dokumente aus dem Verfahren heraus.
Wie „gangbang.pdf“ auf dem Server landet
Ein im September 2018 eingeführtes Drucksystem erlaubt es Abgeordneten, ihren Mitarbeitenden und anderen Beschäftigten des Parlaments, überall im Gebäude auf Gemeinschaftsgeräten mit einer personalisierten Chipkarte Dokumente zu drucken und zu scannen.
Was vermutlich die wenigsten der Betroffenen wussten: Das Parlament sammelt persönliche Informationen über die Druckaufträge, darunter die E-Mail-Adresse und den Nutzungsnamen sowie „den Namen des Dokuments und den Inhalt des Dokuments“, wie eine Sprecherin des Parlaments in einer E-Mail an netzpolitik.org schrieb. Dass die Informationen für 18 Monate gespeichert wurden, stand bloß im Kleingedruckten einer im Intranet versteckten Datenschutzerklärung.
Ein fiktives Beispiel: Wenn sich der ungarische Abgeordnete József Szájer vor der Teilnahme an einer illegalen Sexparty das Dokument „Wegbeschreibung-zum-Gangbang.pdf“ über einen der Drucker am Korridor ausgedruckt hätte, dann hätte das Parlament das in einer Datenbank auf den eigenen Servern gespeichert.
Gesammelt werden die Daten auf Druck der Generaldirektion Personal des Parlaments. Diese habe verlangt, „personenbezogene Daten für einen längeren Zeitraum aufzubewahren, um sie für Ermittlungen und Disziplinarverfahren zu verwenden“, rechtfertigt sich die Parlamentsverwaltung in einer E-Mail.
In welchen und in wie vielen Verfahren die Daten genau verwendet wurden, bleibt unklar. Das Parlament betont auf Anfrage, diese Information sei vertraulich.
Abgeordneten stehen in ihren Büros auch eigene Drucker zur Verfügung. Allerdings findet ein großer Anteil der parlamentarischen Arbeit in Sitzungsräumen, Ausschüssen und Plenarsälen der beiden weitläufigen Parlamentsgebäude in Brüssel und Straßburg statt. Den Betroffenen konnte bei Nutzung der Gemeinschaftsgeräte nicht klar werden, wie lange ihre Daten dort gespeichert werden.
Speicherfrist nun auf 192 Stunden verkürzt
Ins Rollen brachte den Fall die Beschwerde eines Beschäftigen des Parlaments, der über fehlende und unzureichende Information über das neue Druckersystem klagte. Die Behörde des obersten EU-Datenschützers Wojciech Wiewiórowski nahm daraufhin die Arbeit auf.
Erst nach mehrmonatigen Untersuchungen lenkte die Parlamentsverwaltung ein. Seit April 2020 beträgt die Speicherfrist nunmehr 192 Stunden, nach dem Ende der Corona-Pandemie soll der Zeitraum auf 96 Stunden verkürzt werden.
Der EU-Datenschutzbeauftragte machte bislang keine Informationen über den Fall öffentlich, gab aber im Februar Empfehlungen für die Datenverarbeitung bei Druckern heraus. Auf Anfrage von netzpolitik.org bestätigte die Behörde, dass die Untersuchung abgeschlossen sei und das Parlament die Speicherdauer verkürzte habe.
Es handelt sich nicht um die erste Datenschutzpanne des EU-Parlaments. Vor der EU-Wahl 2019 teilte es persönliche Daten aus einer Wahlbeteiligungskampagne mit der umstrittenen US-Firma Nationbuilder. Zeitgleich sammelte die Parlamentsverwaltung Daten von Nutzer:innen seines öffentlichen Wifis, berichtete die Nachrichtenseite EUObserver. Für Kritik von Abgeordneten sorgte zuletzt auch, dass in einigen Ausschüssen über die App iVote abgestimmt wurde, die nur auf Apple-Geräten funktioniert.
Oberster Chef der Parlamentsverwaltung ist der frühere CDU-Politiker Klaus Welle. Das Parlament reagierte nicht auf unsere Frage, ob Welle als Generalsekretär des Parlaments über die Speicherung von Druckerdaten auf Vorrat informiert war.
Hallo zusammen,
ich habe den Artikel gerade gelesen und frage mich, wieso „sexparty.docx“ (Titel) und „gangbang.pdf“ (Abschnittsüberschrift) als Beispiele genannt werden. Weil Sex sells? Oder ist das tatsächlich vorgekommen?
Nicht falsch verstehen: Die Tatsache, dass Druckaufträge (Name der Person, Titel und Inhalt der Dokumente) gespeichert werden, will ich nicht gut heißen oder klein reden. Mir erschließt sich nur nicht, warum ausgerechnet sexparty.docx (und nicht z. B. zimtwaffeln.docx) und gangbang.pdf (und nicht z. B. skat.pdf) als Beispiele gewählt wurden.
Auch verstehe ich nicht, wieso Herr József Szájer auf dem Titelbild zu sehen ist. Steht er – abgesehen vom fiktiven Beispiel im Text – in irgendeinem Verhältnis zu diesem Fall?
Viele Grüße
Carl-Friedrich
Lieber Carl-Friedrich, es stimmt, Herr Szájer hat mit der Sache nichts zu tun, außer als fiktives Beispiel. Es geht mir darum, mit einem (zugegebenermaßen drastischen) Beispiel zu veranschaulichen, wie sensibel die persönlichen Daten von Abgeordneten sein können, selbst wenn es sich „nur“ um die Namen von Druckaufträgen handelt.
Wir haben die alternative Headline „EU-Datenschutzbeauftragter stellt Mängel bei der Speicherung von Druckaufträgen fest“ in Fokusgruppen getestet, uns dann aber doch für die gegenwärtige Variante entschieden.
Hallo Alexander,
die Ausführung und Begründung finde ich nachvollziehbar und sinnvoll, danke! :-)
Viele Grüße
Carl-Friedrich
Ich fand das schon eher grenzwertig. Da hätte sich doch sicher ein weniger reißerischer Zusammenhang herstellen lassen. Mich hat das beim Lesen stark abgelenkt.
Dieser Szájer ist sicher ein Fall für sich. Aber irgendwie werten so eine Überschrift und dieser seltsam zusammengebastelte fiktive Fall den ansonsten guten Artikel doch herab.
Der Begriff „Datenschutzpanne“ ist meiner Meinung nach übrigens unpassend, der wird schon geradezu inflationär im Netz benutzt. Das hier ist doch kein Versehen durch Schusseligkeit, sondern war blanke Absicht. Ihr benennt es ja sogar als VDS. Ich würde das schon fast einen Skandal, mindestens aber eine Frechheit der Parlamentsverwaltung nennen.
Zum Thema Fokusgruppen: wie darf man sich das denn vorstellen? Mir ist es neu, dass NP so etwas nutzen würde, das würde ich gerne genauer wissen. Gerne auch im Podcast :)
Das mit den Fokusgruppen war ein Witz. Und ja, die „Sexparty“ in den Titel zu nehmen war ein Versuch, Leser:innen anzuziehen, das gebe ich offen zu.
„Ich fand das schon eher grenzwertig. Da hätte sich doch sicher ein weniger reißerischer Zusammenhang herstellen lassen. “
Da kann ich Simon nur zustimmen. Das hat fast schon einen Hauch von BILD-Niveau…
Bitte lasst das und konzentriert euch auf Fakten.
Die Überschrift ist doch ein Bezug auf ein Faktum? Was passiert, wenn…
Klar ist das weniger Tsuke und so, aber es passt gut in die Zeit. Überall Schnüffler und Schranken und Filter, während Abgeordnete mutmaßlich ungeniert weiterdrucken. So blockiert Steam z.B. jetzt schon einmal alles mit Nackt und oder Sex, nur für Deutschland :), wobei Gewalt doch noch nicht oder kaum geblockt wird. Sind auch die dickeren Studios mit Gewalt und so.
„Was vermutlich die wenigsten der Betroffenen wusste“
wusste + n
Danke für eure Arbeit.
Danke, ist korrigiert.
Wer Dokumente speichert ,wird ja schon erfahren haben das, das Programm die Überschrift als Titel speichert.
Was mich wundert, das man nicht Open Source Endungen nimmt !?
Das ist schon realistisch. Es gibt eben keine finanzstarke Open-Source Lobby.