Datenschutzverletzung bei Bewerbungsapp des EU-Parlaments
Das EU-Parlament hat am Montag (6. Mai) eine interne Mitteilung an seine Mitarbeiter geschickt, die Euractiv einsehen konnte. Darin geht es um eine Verletzung des Datenschutzes in der App PEOPLE, die für die Einstellung von befristetem Personal verwendet wird.
Das EU-Parlament hat am Montag (6. Mai) eine interne Mitteilung an seine Mitarbeiter geschickt, die Euractiv einsehen konnte. Darin geht es um eine Verletzung des Datenschutzes in der App PEOPLE, die für die Einstellung von befristetem Personal verwendet wird.
Am 25. April wurde nach einer Bewertung durch die Cybersicherheitsspezialisten des EU-Parlaments bestätigt, dass PEOPLE eine Verletzung des Datenschutzes erlitten hat, hieß es in der E-Mail. PEOPLE ist eine externe App mit Sitz in Luxemburg, die zur Erleichterung der Einstellungsverfahren für Zeitbedienstete entwickelt wurde.
Zu den Zeitbediensteten des EU-Parlaments gehören Praktikanten, Berater, Vertragsbedienstete und Assistenten.
Die Mitteilung, die von Euractiv eingesehen wurde, wurde von Kristian Knudsen, einem Generaldirektor des EU-Parlaments, am Montag (6. Mai) per E-Mail verschickt.
Die Empfänger wurden über die Möglichkeit informiert, dass die Verletzung „Ihre persönlichen Daten einem unbefugten Zugriff durch externe Parteien ausgesetzt haben könnte.“
In der E-Mail von Knudsen heißt es, „der Vorfall ereignete sich Anfang 2024.“
Ein Sprecher des EU-Parlaments teilte Euractiv mit, dass die Infrastruktur des Parlaments nicht beeinträchtigt worden sei. Es sei derzeit nicht bekannt, ob die Verletzung das Ergebnis eines Hackerangriffs war.
Eingeleitete Schritte
Die PEOPLE-App wurde deaktiviert und die Sicherheitslücke wurde behoben, hieß es in der E-Mail.
„Die zuständigen Dienststellen prüfen derzeit jede einzelne der personenbezogenen Dateien, um festzustellen, ob/welche Daten betroffen sind“, hieß es weiter. Die Mitarbeiter würden „in den kommenden Tagen über weitere Entwicklungen, die Sie betreffen, informiert.“
Der Mitteilung zufolge zielten die laufenden technischen Untersuchungen auch darauf ab, die Ursache und das Ausmaß der Sicherheitsverletzung zu ermitteln. Darüber hinaus würden weitere Vorsichtsmaßnahmen ergriffen, bevor die Funktionalität der App wiederhergestellt werde.
Europäischer Datenschutzbeauftragter
In der Mitteilung wurde auch erwähnt, dass der Europäische Datenschutzbeauftragte (EDSB) am 26. April über die Sicherheitsverletzung informiert und die zuständige nationale Behörde in Luxemburg ebenfalls benachrichtigt wurde.
„Das Parlament steht in ständigem Kontakt mit dem Europäischen Datenschutzbeauftragten, um die vollständige Einhaltung der geltenden Verordnung zum Schutz Ihrer Privatsphäre und Ihrer persönlichen Daten zu gewährleisten“, hieß es in der E-Mail.
Der EU-Datenschutzbeauftragte bestätigte gegenüber Euractiv, dass er in weniger als 72 Stunden, nachdem das EU-Parlament davon Kenntnis erlangt hatte, über den Datenschutzverstoß informiert worden war.
„Wir haben sofort gehandelt, um sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen geschützt werden, und haben das Europäische Parlament und seinen Datenschutzbeauftragten bei allen notwendigen Maßnahmen im Zusammenhang mit dieser Verletzung des Schutzes personenbezogener Daten aktiv unterstützt“, erklärte der EU-Datenschutzbeauftragte gegenüber Euractiv.
Es hieß, man warte „derzeit auf die endgültigen Schlussfolgerungen bezüglich der Mitteilung über die Verletzung des Schutzes personenbezogener Daten.“
Die E-Mail steht im Einklang mit Artikel 34 der Verordnung 2018/1725. Darin geht es um die „Meldung einer Verletzung des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten.“
Die Verordnung 2018/1725 betrifft den Datenschutz in den EU-Institutionen, -Einrichtungen, -Ämtern und -Agenturen sowie die Verarbeitung personenbezogener Daten durch diese Instanzen. Sie gewährleistet die Einhaltung der Datenschutzgrundsätze und schützt die Rechte natürlicher Personen auf Privatsphäre innerhalb der EU-Institutionen.
Im März stellte der EU-Datenschutzbeauftragte fest, dass die EU-Kommission bei der Nutzung von Microsoft 365 gegen diese Verordnung verstoßen hatte. Dies führte zur Verhängung von Abhilfemaßnahmen.
Vorschläge
In der Mitteilung wurden einige Präventivmaßnahmen für Mitarbeiter vorgeschlagen, „unabhängig davon, ob auf Ihre Daten zugegriffen wurde oder nicht.“
Dazu gehört der Vorschlag, die Passwörter für alle Apps des EU-Parlaments und die bei der Rekrutierung verwendeten privaten E-Mails zurückzusetzen. Zudem sollten sie vorsichtig sein, wenn sie Nachrichten von unbekannten oder gefälschten Konten des EU-Parlaments erhalten, vor allem wenn es um persönliche Daten geht.
Den Mitarbeitern wurde auch geraten, ihre Verwandten und engen Freunde über die Verletzung des Datenschutzes zu informieren. Dadurch soll verhindert werden, dass sie auf Betrügereien oder Anfragen nach persönlichen Daten oder Geld hereinfallen.
Die Datenschutzverletzung ereignete sich nur einen Monat vor den Wahlen zum EU-Parlament vom 6. bis 9. Juni, bei denen die Angst vor Cyberangriffen und Desinformationskampagnen eine immer größere Rolle spielt.
Im Februar enthüllte eine andere interne E-Mail, über die Politico berichtete, dass der Verteidigungsausschuss des EU-Parlaments Gegenstand eines Telefon-Hackings war. Zuvor waren Insider der Meinung, dass die Cybersicherheit der EU-Institution nicht auf die Wahlen und die damit verbundenen möglichen Angriffe vorbereitet sei.
Ebenfalls im Februar berichtete Euractiv, dass die Nutzung von TikTok durch das Parlament im Wahlkampf für die EU-Wahlen im Juni, trotz vorheriger Verbote aufgrund der Cybersicherheit, Fragen zu deren sicherer Umsetzung aufwirft.
[Bearbeitet von Zoran Radosavljevic/Kjeld Neubert]
