Internet-Wahlkampf Parteien schlampen beim Datenschutz im Netz

Wer bei Parteien spendet oder deren Seiten anschaut, der wird registriert. Denn nicht alle nehmen den Datenschutz so genau, wie sie müssten

Die Parteien missachten mit ihren Internetangeboten geltendes Datenschutzrecht. Das ist das Ergebnis einer Studie, bei der 48 Netzangebote von Parteien auf Bundes- und Landesebene, von parteinahen Stiftungen und Vereinigungen untersucht wurden. Teilweise erheblich sei die Diskrepanz zwischen dem öffentlich geäußerten Anspruch, die Daten der Bürger zu schützen und der Wirklichkeit der eigenen Netzangebote, schreiben die Autoren von der Xamit Bewertungsgesellschaft. Das Düsseldorfer Unternehmen berät Firmen in Fragen der IT-Sicherheit und des Datenschutzes und hat sich angesichts des Internetwahlkampfes die Angebote von SPD, CDU, CSU, FDP, Grüne, und Linkspartei angeschaut.

"Die SPD verhält sich in höchstem Maße unverantwortlich gegenüber ihren Spendern", ist eines der Ergebnisse der Studie. So verspricht die SPD-Seite: "Ihre Daten werden nicht an Dritte weitergegeben. Darauf können Sie sich verlassen!" Tatsächlich aber würden die Daten an die „infin – Ingenieurgesellschaft für Informationstechnologien mbH & Co. KG“ übermittelt. Deren "Payment-Plattform" nämlich wird für die Abwicklung des Zahlungsverkehrs genutzt.

Der Datentransfer selbst erfolgt mit Hilfe von "iFrames". Diese dienen auf Webseiten dazu, fremde Inhalte, beispielsweise Grafiken, einzubinden. Sie sehen aus wie das eigentliche Angebot, sind aber ein Fenster zu einer anderen Seite. Der Nachteil ist, dass ein Nutzer nicht erkennen kann, dass er das ursprüngliche Angebot verlässt. So ist bei der SPD lediglich im Quelltext zu sehen, dass die Spendenseite eben nicht auf spd.de liegt, sondern bei infin-online.de.

Kritisch beurteilt die Studie auch das Vorgehen der CSU: Sie biete ausschließlich Paypal als Online-Spendenverfahren an. Paypal aber ist eine Tochter des US-Konzerns eBay. Und daher werden die Daten auch in den USA verarbeitet, wo weitaus laschere Datenschutzgesetze gelten. Xamit-Geschäftsführer Niels Lepperhoff hält es für "ausgesprochen unklug", amerikanischen Konzernen und womöglich sogar der US-Regierung einen Überblick über Spendeneinnahmen und Spender zu verschaffen: "Zumindest müsste man die Spender darauf hinweisen, wer Paypal ist und wo die Daten hingehen."

Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz Schleswig Holstein (ULD) unterstreicht Lepperhoffs Haltung und verweist auf die Datensammelwut der US-Regierung bei Flug- und Bankdaten.

Doch sind das längst nicht alle Schlampereien. Die Linkspartei beispielsweise hat nicht alle ihrer Spendenseiten verschlüsselt, sodass entsprechende Daten problemlos mitgeschnitten werden können. Außerdem verzichte sie auf einen "Authentizitätsnachweis". Mit diesem könnte der Nutzer sicher sein, dass die Spenden tatsächlich an die gewünschte Partei gehen und nicht an andere Organisationen. Die FDP verschlüsselt zwar, unterlässt es aber ebenfalls, sich gegenüber dem Spender eindeutig zu authentifizieren.

Gelobt werden in der Studie die Lösungen von Grünen und der CDU: Sie handelten "vorbildlich, indem sie verschlüsseln und dem Spender mit Hilfe eines erweiterten
Zertifikats anzeigen, dass die Webpräsenz authentisch ist".

Beim Thema Nutzerdaten auf den Internetseiten selbst sieht es auch nicht besser aus. Fast alle Parteien beobachten ihre Internetbesucher. Hier kritisiert die Studie wiederum die CSU. Sie werte auf allen untersuchten Internetseiten ihre Besucher mit Hilfe von Google Analytics aus. Aber auch die Interessenten der Landesparteien und parteinahen Organisationen von CDU und SPD müssen mit einer Beobachtung durch Google rechnen.

In einer Stellungnahme kritisiert das ULD den Google Dienst, weil die Daten ohne Wissen des Nutzers in die USA übertragen würden, keine Möglichkeit bestünde, die Verkehrsdaten zu löschen und Google zumindest technisch in der Lage sei, den Nutzer über andere Internetseiten zu verfolgen und dann ein Nutzerprofil zu erstellen. Kritiker fürchten, dieses Nutzerprofil könne sich sogar auf die Kreditwürdigkeit des Nutzers auswirken.

Bei den Kontaktformularen schneidet die SPD am schlechtesten ab. Fast 90 Prozent ihrer untersuchten Formulare verfügen nicht über die gesetzlich vorgeschriebene Datenschutzerklärung. Auch bei der CDU fehlt diese bei über 60 Prozent der entsprechenden Seiten. Am besten lösen CSU und die Grünen diese Aufgabe: Bei beiden ist die Erklärung überall vorhanden – auch wenn sie nicht immer ordentlich verlinkt ist.

Einen Punkt gibt es, bei dem alle Parteien versagt haben: Staatliche und private Stellen, die personenbezogene Daten verarbeiten, sind verpflichtet, dies in einem sogenannten "Verfahrensverzeichnis" zu dokumentieren. Es soll darüber informieren, wer welche Daten wofür und von wem verarbeiten lässt, auf welcher Rechtsgrundlage er das tut, und ob die Daten in einen Drittstaat übertragen werden (sollen). Der Datensammler ist verpflichtet, das Verzeichnis auf Verlangen jedem Interessierten auszuhändigen.

Eine Testperson bat die Parteien um dieses Verzeichnis. 75 Prozent der Adressaten scheiterten an der gestellten Aufgabe. Die Grünen in Nordrhein-Westfalen zogen die Mail gar ins Lächerliche und empfahlen eine Internetsuche. FDP und Linke reagierten nicht oder verstanden die Bitte nicht. Zuschicken konnten das Verzeichnis 50 Prozent der Seitenbetreiber von CSU und SPD, und noch rund 30 Prozent der angefragten CDU- und Grünen-Seiten.

Fazit der Studie: Bei den Parteien herrscht eine "weit verbreitete Unkenntnis datenschutzrechtlicher Bestimmungen" sowie eine "deutliche Abwehrhaltung gegenüber legalen Auskunftsersuchen". Diese bildeten "den Nährboden für die zahlreichen und vielfältigen Datenschutzverstöße".