AfD-Datenpanne: Mitgliedsanträge waren für jeden im Internet abrufbar

Im Internet war frei abrufbar, wer der AfD neu beitreten wollte – mit privaten Daten der Betroffenen. Die Partei hat die Lücke jetzt geschlossen. t-online sprach mit Betroffenen.

Gustav K. ist Unternehmer. Er ist im Januar 54 Jahre alt geworden. Er wohnt in der Mitte eines kleinen bayerischen Ortes. Sein Haus ist groß, hat Solarzellen auf dem Dach, im Garten gibt es einen Pool. Gustav K. hat am Freitag einen Aufnahmeantrag für die AfD gestellt.

Das lässt sich alles so genau sagen, weil Mitgliedsanträge mit allen Daten für jedermann abrufbar waren. Der AfD ist offenbar ein gravierender Datenschutzverstoß unterlaufen.

Gustav K. hat durch einen Anruf von t-online davon erfahren, dass seine Daten frei verfügbar im Netz zu finden waren. "Mir doch egal, ich steh’ dazu", sagte er. t-online hat den Namen zu seinem Schutz dennoch geändert und ihm das angekündigt. An seiner Einstellung zu Journalisten ändert das nichts: "Auf Euch Saubande kommen wir auch noch zu." Dann legt er auf. In seinem Mitgliedsantrag hat er in die Spalte zu früheren Parteimitgliedschaften eingetragen: "Widerstand (2020-2023)".

Datenpanne ist selbst verschuldet

Dass seine Daten und die von weiteren Neumitgliedern öffentlich einsehbar waren, ist der IT-Sicherheitsexpertin Ornella Al-Lami aufgefallen, die online als "N3ll4" auftritt. Sie musste dafür nicht illegal irgendwelche Daten hacken. Sie fand die frei abrufbare Adresse, unter der die Neuanträge abgespeichert sind, als sie nachschaute, welche Unteradressen es zu der Hauptseite afd.de gibt und welche Pfade dort existieren. Dabei stieß sie auf die Seite, in der die Mitgliedsanträge als PDFs liegen. t-online konnte das nachvollziehen und rund ein Dutzend der Anträge einsehen.

Alle trugen das Datum vom Freitag. N3ll4 zufolge waren im Laufe des Morgens einzelne Anträge verschwunden und neue hinzugekommen. Denkbar ist, dass sie nach Bearbeitung verschoben wurden.

Bestand die Lücke schon lange?

N3ll4 ist Hacktivistin, nutzt also ihre IT-Fähigkeiten, um auf politische und soziale Umstände aufmerksam zu machen. Sie veröffentlichte auf Twitter den Hinweis auf die Lücke, ohne die genaue Internetadresse anzugeben. Sie schaltete auch die Berliner Datenschutzbeauftragte ein, wies aber mit dem Tweet auch die AfD darauf hin. Damit gab sie der Partei die Möglichkeit, die Lücke zu schließen.

"Ich habe das heute erst gesehen, aber es ist auch denkbar, dass die Daten seit Wochen oder Monaten gesammelt wurden. Möglich wäre das", sagte sie. Kurz nach einem Anruf von t-online bei der AfD wurde die Seite für den Zugriff gesperrt. Ein Sprecher sagte, dass es Zugriffsmöglichkeit auf "im Höchstfall bis zu 15 Mitgliedsanträgen" von Antragstellern gegeben habe.* Das würde dann bedeuten, dass die Seite erst am Freitag eingerichtet worden wäre oder erst ab Freitag frei abrufbar war. Eine Nachfrage dazu hat die AfD noch nicht beantwortet.

Die "theoretische Zugriffsmöglichkeit" sei unmittelbar nach Bekanntwerden geschlossen worden – das war allerdings vier Stunden nach dem Tweet. Es laufe eine Klärung, ob Verstöße gegen Datenschutzverordnungen vorgekommen seien. In solchen Fällen sind Parteien, Organisationen oder Unternehmen verpflichtet, die Datenschutzbeauftragte und Betroffene zu informieren.

Und nicht allen ist die Datenpanne so egal wie Gustav K.: t-online erreichte auch einen Beamten im technischen Dienst aus Nordrhein-Westfalen, der schockiert reagierte. Alle Daten im Aufnahmeantrag seien richtig – aber er habe nie vorgehabt, AfD-Mitglied zu werden und keinen Antrag gestellt, sagte er am Telefon.

*Der Text wurde mit der Stellungnahme der AfD ergänzt.