Die Letzte Generation sorgte am Montag ausnahmsweise nicht mit ihrem Klimaaktivismus, sondern mit einem Datenleck für Schlagzeilen. Die Bewegung hatte personenbezogene Daten von mehr als 2.200 Mitgliedern ohne ausreichende Schutzmaßnahmen auf Google Drive gespeichert. Einzusehen waren dort die Wohnorte, E-Mail-Adressen, Telefonnummern, Auszüge aus E-Mails – und Angaben zur möglichen Bereitschaft, wegen der Proteste ins Gefängnis zu gehen. Was ein Rechtsanwalt gegenüber der "Welt am Sonntag" als "Daten-Super-GAU" bezeichnet hat, beschäftigt nun auch Datenschützer.

Ganz konkret hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gegenüber "Heise" angekündigt, den Vorfall prüfen zu wollen. Ziel sei herauszufinden, ob tatsächlich jeder auf die Daten zugreifen konnte – oder ob zum Beispiel ein "Zugangslink erforderlich" war. "Letztendlich bewerten wir bei einem solchen Vorfall das Risiko für die betroffenen Personen", sagen die Behördenvertreter gegenüber "Heise". Unter Umständen sei es notwendig, diese zu informieren. Außerdem wolle man eine Wiederholung des Datenvorfalls verhindern, heißt es weiter.

Besonders sensibel

Gegenüber der "Welt" sagte der Berliner Datenschutzanwalt Niko Härting, dass es sich vor allem deshalb um einen "Daten-Super-GAU" handle, weil die einzusehenden Daten besonders sensibel seien. Unter anderem würden diese Rückschlüsse auf die politischen Ansichten der betroffenen Klimaaktivsten ermöglichen. Diese auf Google Drive abzulegen sei laut ihm selbst dann fahrlässig, wenn dieser mit Zugangsrechten versehen ist. Hinzu komme außerdem, dass die Datenschutzerklärung auf der Website der Letzten Generation "völlig unzureichend" und nicht DSGVO-konform sei.

Nach Veröffentlichung des Zeitungsberichts wurden die besagten Informationen gesperrt. Laut der Letzten Generation sei die Sammlung jedoch notwendig gewesen, weil die Bewegung so schnell wächst. Außerdem benötige man die Kontaktinformationen, um die eigenen Mitglieder überhaupt kontaktieren zu können.

Unklare Zuständigkeit

Ob das BayLDA tatsächlich für den Vorfall zuständig ist, muss erst geklärt werden. Laut "Heise" sei dieses zwar für die Website der Aktivisten verantwortlich, weil im Impressum ein Augsburger eingetragen ist. Unklar sei aber noch, wie es mit der Datenverarbeitung abseits der Seite – und somit auch auf Google Drive – aussehe. (red, 10.2.2023)