Personalausweise, Reisepässe, Auszüge aus Strafregistern und Arbeitserfahrungsdokumente gehörten laut Angaben zu den personenbezogenen Daten von Mitarbeitern des Europäischen Parlaments, die bei einem Datenverstoß kompromittiert wurden eine interne E-Mail, die am Montag (22. Mai) verschickt und von Euractiv eingesehen wurde.
Das Europäische Parlament hat seine Mitarbeiter über eine Datenschutzverletzung bei der Rekrutierungsanwendung PEOPLE informiert, die für die Einstellung von befristet Beschäftigten verwendet wird, berichtete Euractiv am 6. Mai.
Der Verstoß ereignete sich Anfang 2024 und wurde am 25. April von Generaldirektor Kristian Knudsen in einer E-Mail bestätigt.
Am Montag (22. Mai) wurde in einer neuen E-Mail, die vom PEOPLE-Anwendungsteam verschickt und von Euractiv eingesehen wurde, den einzelnen Mitarbeitern detailliert mitgeteilt, welche in der PEOPLE-App hochgeladenen Dokumente Teil des Verstoßes waren. In den E-Mails, die Euractiv einsehen konnte, wurden fast alle hochgeladenen Dokumente als betroffen aufgeführt.
„Nach der Analyse wurden allen aktiven und inaktiven Nutzern am 22.05. im Einklang mit der Empfehlung des EDSB detaillierte Informationen zur Verfügung gestellt“, sagte ein Parlamentssprecher gegenüber Euractiv.
Es ist noch immer nicht bekannt, ob der Verstoß auf einen Hackerangriff oder eine andere Schwachstelle zurückzuführen ist. Der Parlamentssprecher äußerte sich auf Euractivs Anfrage vom 23. Mai nicht dazu, wie viele Personen betroffen waren.
Die Anwendung PEOPLE, ein HR-Tool, wurde nach dem Datendiebstahl deaktiviert. Den Mitarbeitern wurde geraten, ihre Passwörter zurückzusetzen und bei verdächtigen Nachrichten vorsichtig zu sein.
Der Europäische Datenschutzbeauftragte (EDSB) und die luxemburgische Landesbehörde untersuchen den Verstoß noch.
Die betroffenen Dokumente beziehen sich auch auf Personenstand, Wohnsitz und Wohnsitz, Ausbildung oder Erfahrung, militärische Verpflichtungen, Ehrenerklärungen, Urkunden zur individuellen Anspruchsbegründung und Verträge.
Die Cybersicherheitsexperten des Parlaments und die luxemburgische Polizei „führen weiterhin eine eingehende Analyse durch, um alle Umstände im Zusammenhang mit dem Verstoß zu klären“, fügte der Parlamentssprecher hinzu.
„Die PEOPLE-Anwendung wird derzeit gesichert und wird bald wieder online sein“, heißt es in der E-Mail.
Wer sich allerdings nicht mehr im Einstellungsverfahren befindet, kann nicht auf sein Konto zugreifen.
Betroffene Mitarbeiter
„Unsere Identitäten können grundsätzlich gestohlen und unsere Daten missbraucht werden“, schrieb Dávid Kardos, akkreditierter parlamentarischer Assistent (APA) der Europaabgeordneten Anna Donáth und Katalin Cseh, in einer E-Mail an den APA-Ausschuss, die am 23. Mai verschickt und von Euractiv eingesehen wurde.
Die APA äußerte sich außerdem unzufrieden über den Mangel an ausreichenden Informationen über den Datenschutzverstoß und mögliche Ermittlungen sowie über die mangelnde Beratung des Parlaments, wie Mitarbeiter ihre Daten schützen können.
Sie fragten, warum ihnen „nicht einmal eine einzige Empfehlung gegeben wurde“, wann sie ihre Ausweisdokumente ändern müssten und wie sie mit nicht veränderbaren Daten umgehen sollten.
In seiner E-Mail stellte Kardos die verspätete Benachrichtigung über das Leck, die bereits zu Beginn des Jahres erfolgte, infrage und fragte nach laufenden Ermittlungen und potenziellen Verdächtigen, auch nach der Frage, ob möglicherweise ein Drittland in die Sache verwickelt sei.
„Ich frage mich, warum sie das jetzt vorgebracht haben, wo die Wahlperiode bereits vorbei ist“, sagte er gegenüber Euractiv.
[Edited by Alice Taylor]
