#FairheizenCDU verbrennt sich die Finger bei Datensammel-Aktion

Per Online-Formular sammelt die CDU gerade E-Mail-Adressen und Postleitzahlen von Menschen, die etwas gegen die Klimapolitik der Ampel haben – und will diese anscheinend an ihre Landesverbände weitergeben. Als unter Verweis auf die Datenschutzbestimmungen Vorwürfe laut werden, wird der Partei die Situation offenbar zu heiß.

Frau hält brennendes Blatt in der Hand.
Kaum gab es die Kritik, hat die CDU wohl die Datenschutzerklärung fairheizt geändert. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Erica Magugliani

Unter dem Motto #fairheizen hat die CDU am gestrigen Donnerstag eine Kampagne gegen die Energiewendepläne der Ampel-Regierung gestartet. Doch zum Verheizen vorgesehen waren offenbar die Daten der Menschen, die bei der Kampagne mitmachen. Das berichtet der Account @aushoywoj auf Twitter, der sich selbst einen „Kommunalpolitiknerd“ nennt, der die „Radikalisierung der CDU Bautzen“ dokumentiere.

Demnach habe die CDU ein internes Schreiben versandt, in dem steht:

Verbreiten Sie die Webseite auf allen Wegen. Das Besondere: Da wir die PLZ erheben, können wir allen Landesverbänden die Daten von allen Unterstützern aus ihrem jeweiligen Bundesland zur Verfügung stellen.

Das interne Schreiben befindet sich öffentlich einsehbar auf mehreren Facebookseiten, darunter auch auf der eines Lokalpolitikers der CDU, wie netzpolitik.org nachvollziehen konnte. Die CDU hat auf eine kurzfristige Presseanfrage von netzpolitik.org zur Echtheit des Schreibens allerdings noch nicht geantwortet. (Update: Die CDU-Pressestelle hat nun geantwortet, siehe unten.)

Auszug Datenschutzbestimmungen
In einer zwischenzeitlichen Version war die Weitergabe an Landesverbände nun plötzlich aufgetaucht. - Alle Rechte vorbehalten Screenshot aktion.cdu.de

In den ursprünglich auf der Webseite verlinkten Datenschutzbestimmungen war nicht zu lesen, dass die Daten der Kampagne an die Landesverbände der Partei weitergegeben werden können. Das änderte sich, nachdem der Tweet mit dem internen Schreiben viel Aufmerksamkeit generiert hatte.

Datenschutzerklärung mehrfach geändert

Nach Auskunft des Twitter-Accounts, hat die CDU die Datenschutzbestimmungen seit dem Start der Kampagne mehrfach geändert. Eine offenbar frühere Änderung ist hier als Screenshot dokumentiert. Demnach soll ein Hinweis über die Weitergabe der Daten an die Landesverbände hinzugefügt worden sein; auch soll das zuvor genaue Datum geändert worden sein zu „Mai 2023“. In der aktuellen Version der Datenschutzregelungen, Stand Freitagabend, ist die Weitergabe an die Landesverbände hingegen nicht zu sehen. Die CDU hat auf eine kurzfristige Presseanfrage, ob die Datenschutzbestimmungen nach Start der Kampagne verändert wurden, nicht geantwortet.

Um sich an die Bestimmungen zum Datenschutz zu halten, müsste die Partei die erhaltenen Daten so behandeln, wie es in der zu diesem Zeitpunkt gültigen Datenschutzerklärung steht. Rückwirkende Änderungen für bereits erhaltene Daten wären nicht gültig. Derzeit ist unklar, wie die CDU nun mit den unter offenbar unterschiedlichen Datenschutzbestimmungen gesammelten Daten weiter verfährt. Eine kurzfristige Anfrage von netzpolitik.org hierzu hat die CDU nicht beantwortet.

Gerichtet ist die Kampagne #fairheizen offenbar an Gegner:innen der Grünen, die dann von den Landesverbänden zum Beispiel im Wahlkampf angesprochen werden könnten.

Es wäre nicht das erste Mal, dass die CDU Probleme mit dem Datenschutz hat. Schon im Jahr 2021 waren etwa 100.000 Datensätze von Bürger:innen in der CDU-Connect-App offen einsehbar. Die CDU reagierte damals mit einer Anzeige gegen die Sicherheitsforscherin Lilith Wittman, die dies herausgefunden hatte. Später zog die CDU den Strafantrag zurück, die Staatsanwaltschaft stellte das Verfahren ein.

Update 12. Mai 21:55 Uhr

Nach Erscheinen des Artikels hat die CDU Pressestelle geantwortet. Von einer Datenweitergabe an die Landesverbände will die Parteizentrale jetzt nichts mehr wissen. Im Widerspruch zu dem öffentlich gewordenen internen Schreiben sagt ein Pressesprecher der Bundes-CDU nun, es gehe lediglich darum, dass die Bundesgeschäftsstelle die Daten für regionale Aktionen und Mobilisierungselemente nutzen wolle. Warum die Datenweitergabe dann zwischenzeitlich in die Datenschutzbestimmungen geschrieben wurde, erklärte der Sprecher nicht.

Hier die Antwort im Volltext:

Wir wurden von extern darauf aufmerksam gemacht, dass die Datenschutzbestimmungen zur Nutzung unserer Landingpage unterschiedlich interpretierbar sind. Diese wurden daraufhin angepasst. Geändert wurden die Datenschutzbestimmungen für den Besuch der Website. Dies ist grundsätzlich zulässig. Die jeweilige Zustimmung bezieht sich auf diejenige, die zum betreffenden Zeitpunkt galt.
Eine meldepflichtige Datenpanne liegt nach unserer Einschätzung nicht vor.
Die auf Twitter kursierende Mail bezieht sich darauf, dass die Bundesgeschäftsstelle der CDU die erhobenen Daten für regionale Aktionen und Mobilisierungselemente nutzen kann. Nicht gemeint ist eine tatsächliche Weitergabe der Daten.
Ich hoffe, ich konnte Ihnen damit weiterhelfen.

Update 13. Mai 0:28 Uhr:
Laut Informationen des RND hat sich die Berliner Datenschutzbehörde in den Fall eingeschaltet und ein Prüfverfahren gegen die CDU wegen der Sache eingeleitet. Im Artikel heißt es:

Der Vorgang werde von Juristen geprüft, auch die CDU werde man um eine Stellungnahme bitten, teilte ein Sprecher der Behörde dem RND mit. Die Prüfung könne allerdings einige Wochen dauern.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. An Markus: Gehört hier zwar nicht hinein, aber dennoch:

    Bei deinem Artikel „Geodaten und Personalisierung: Datenschutzrisiko Deutschlandticket“ funktioniert die Kommentarfunktion nicht.

    1. Die Website lädt dazu auch noch ungefragt Daten aus dem Cloudflare CDN. Geht man davon aus das die Einbindung von Google Fonts schon Problematisch könnte das für die CDU auch zum Problem werden. Habe dieses Problem auch schon an die Datenschützer in Berlin übermittelt.

  2. Die CDU hätte die Anzeige gegen Wittman zurückgezogen und das Verfahren sei eingestellt worden? Ist das nicht ein bisschen doppelt gemoppelt?

    Wenn ich die Sache richtig im Kopf habe, dann hat damals die CDU behauptet, sie hätte die Anzeige zurückgezogen, ungeachtet dem, dass es gar nicht so einen Mechanismus gibt und man die Anzeige gar nicht zurückziehen kann.

    Eingestellt wurde die Anzeige dann, weil die Daten nicht geschützt waren und damit es keinen Zugriff auf besonders zu schützende Daten gab.

    Kann sein, dass ich mich falsch daran erinnere, aber falls ich das noch richtig im Kopf habe, dann war die Lüge, die Anzeige wäre zurückgezogenen worden, eine Arschlochaktion die angeprangert werden sollte und nicht wiederholt.

  3. Niemand hat die Absicht, eine Mauer …….

    Datenschutz aller CDU 9 Keine automatisiere Entscheidungsfindung (einschließlich Profiling)
    Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden.

    Na da wird die „junge Union “ wohl in einer Nachtschicht die Akten sortieren.

  4. CDU-Pressestelle sagt: „Die auf Twitter kursierende Mail bezieht sich darauf, dass die Bundesgeschäftsstelle der CDU die erhobenen Daten für regionale Aktionen und Mobilisierungselemente nutzen kann.“

    Uhm, was sind Mobilisierungselemente? Stützrädchen zur Erkundung von #neuland?

  5. Noch ist doch noch nichts passiert, das war ja lediglich die Ankündigung der Weitergabe (bzw. der Plan dessen); im Weiteren wäre die sicherlich noch auf ihre rechtlichen Aspekte gepürft worden. Im Zuge dieser Prüfung wäre wohl festgestellt worden, daß man die bisher erhobenen Daten insofern nicht weitergeben darf. Dann hätte man sich etwas anderes überlegt (z.B. Landesverbände leiten Werbung an Bundesgeschäftsstelle weiter und diese versendete sie im eigenen Namen) oder man hätte die Abonennten per Mail um ihre Zustimmung zu der Weitergabe gebeten.

    Nun ist dieses Problem durch Twitter der CDU früher aufgefallen und man hat schnell seine Datenschutzbestimmungen geändert um zukünftig erhobene Daten enschrechend weitergeben zu können; die Anzahl der bisher erhobenen Daten war wohl im Vergleich zu den erwarteteten Daten gering und somit wäre es wohl versmerzbar für die CDU, wenn man sie nicht entsprechend verarbeiten kann. Oder man bitte sie später halt um erneute Zustimmung zur Weitergabe.

    Und daraus dreht man der CDU nun einen angeblichen Datenskandal?!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.