EU-Parlament wird wegen Datenschutzverletzung verklagt
Im April 2024 hatte das Europäische Parlament in einem Einstellungsverfahren sensible persönliche Daten offengelegt. Am Donnerstag (22. August) wurden nun zwei Klagen gegen das EU-Parlament wegen angeblicher Verstöße gegen das Datenschutzgesetz eingereicht.
Im April 2024 hatte das Europäische Parlament in einem Einstellungsverfahren sensible persönliche Daten offengelegt. Am Donnerstag (22. August) wurden nun zwei Klagen gegen das EU-Parlament wegen angeblicher Verstöße gegen das Datenschutzgesetz eingereicht.
Im Mai teilte das Parlament mit, dass es eine Datenpanne in seiner Software PEOPLE gab, die für die Einstellung von Zeitarbeitskräften verwendet wird. Der Verstoß wurde zuerst im April bestätigt, als sensible persönliche Daten wie Ausweispapiere, Strafregister und Berufserfahrung offengelegt wurden.
Damals wurden Bedenken hinsichtlich der verspäteten Benachrichtigung und des möglichen Missbrauchs der kompromittierten Daten geäußert. Das Parlament empfahl den Betroffenen, ihre Ausweise und Pässe vorsichtshalber zu ersetzen und bot an, die damit verbundenen Kosten zu übernehmen.
Die Nichtregierungsorganisation für digitale Rechte Noyb hat im Namen von vier Parlamentsmitarbeitern zwei Beschwerden beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht. Sie wiesen darauf hin, dass die Daten von mehr als 8.000 Mitarbeitern betroffen waren, einschließlich der Daten ehemaliger Mitarbeiter.
„Als EU-Bürger ist es besorgniserregend, dass die EU-Institutionen immer noch so anfällig für Angriffe sind. Solche Informationen im Umlauf zu haben, ist nicht nur für die betroffenen Personen beängstigend, sondern sie können auch dazu verwendet werden, demokratische Entscheidungen zu beeinflussen“, sagte Max Schrems, Aktivist und Vorsitzender von Noyb.
Im Mai bestätigte der EU-Datenschutzbeauftragte gegenüber Euractiv, dass er innerhalb von weniger als 72 Stunden nach Bekanntwerden der Sicherheitsverletzung darüber informiert worden sei.
Die Aufsichtsbehörde kann Beschwerden untersuchen und Abhilfemaßnahmen ergreifen, wenn EU-Institutionen gegen die Datenschutzvorschriften verstoßen. Dazu gehören das Aussprechen von Warnungen, die Durchsetzung der Befolgung von Anträgen auf Datenzugang, das Verbot von Datenverarbeitungsvorgängen, die Verhängung von Geldbußen oder die Verweisung von Fällen an den Gerichtshof der Europäischen Union.
Die Beschwerden
Nyob ist der Ansicht, dass der Verstoß die Nichteinhaltung der Anforderungen der Allgemeinen Datenschutzverordnung (GDPR) zur Datenminimierung und -aufbewahrung durch das Parlament verdeutlicht.
Die Vorschriften der Datenschutzverordnung zur Datenminimierung verpflichten Organisationen, die für einen bestimmten Zweck erforderliche Mindestmenge an personenbezogenen Daten zu erfassen und aufzubewahren. Die Vorratsdatenspeicherung legt Grenzen fest, wie lange diese Daten gespeichert werden können, um sicherzustellen, dass sie nicht länger als nötig aufbewahrt werden.
Eine der rechtlichen Beschwerden betrifft die Verweigerung des Parlaments, Daten nach dem Verstoß zu löschen. Dabei beriefen sie sich auf eine zehnjährige Aufbewahrungspolitik, trotz der Bedenken des Betroffenen und der Tatsache, dass er seit Jahren nicht mehr bei der EU-Institution gearbeitet hatte.
Die NGO forderte den Datenschutzbeauftragten außerdem auf, seine Korrekturbefugnisse zu nutzen, um die EU-Einrichtung in Übereinstimmung mit den Vorschriften zu bringen. Ebenfalls soll eine Geldstrafe verhängt werden, um zukünftige Verstöße zu verhindern.
Nach der Datenschutz-Grundverordnung sollten Daten nur verarbeitet werden, wenn sie notwendig und relevant sind, erklärte Noyb. Die zehnjährige Aufbewahrungsfrist, die das Parlament für Einstellungsunterlagen vorsieht, geht über diesen Standard hinaus und gibt Anlass zu Bedenken.
Zumal diese Akten sensible Daten enthalten können, die nach der Datenschutz-Grundverordnung (DSGVO) geschützt werden sollten. Dazu gehören ethnische Zugehörigkeit, politische Meinungen und sexuelle Orientierung. Ein Kläger wies zusätzlich darauf hin, dass eine hochgeladene Heiratsurkunde versehentlich die sexuelle Ausrichtung eines Mitarbeiters enthüllte, führte die NGO weiter aus.
Noyb zufolge ist der Hack besonders besorgniserregend, da das Parlament bekanntermaßen Schwächen in der Cybersicherheit aufweist. Bei einer Überprüfung im November 2023 wurde festgestellt, dass die Sicherheitsvorkehrungen unter dem Industriestandard liegen und nicht vollständig auf die Bedrohungen durch staatlich gesponserte Hacker abgestimmt sind.
Der Hack auf die PEOPLE Software ist Teil einer Reihe von Cyberangriffen, darunter russische Hacks in den Jahren 2022 und 2023 und israelische Spionagesoftware, die Anfang 2024 auf Geräten von Mitgliedern des Europäischen Parlaments entdeckt wurden.
[Bearbeitet von Rajnish Singh/Kjeld Neubert]
