Change.org ist eine Petitionsplattform mit immenser Reichweite: Laut eigenen Angaben setzen sich auf der Website „über 100 Millionen Menschen in 196 Ländern in ihrem Umfeld für Veränderungen ein“. Allein in Deutschland gebe es 3,5 Millionen aktive Nutzer.
Nun aber melden der ehemalige Landesdatenschutzbeauftragte von Schleswig-Holstein Thilo Weichert und das von ihm gegründete „Netzwerk Datenschutzexpertise“ Zweifel am Datenschutz von Change.org an. In einer 19-seitigen Abhandlung mahnen die Experten an, dass „der Dienst Change.org, soweit er in Deutschland für deutsche User angeboten wird, mit deutschem Datenschutzrecht nicht vereinbar ist“. Er müsse deshalb „eingestellt oder vollständig neu gestaltet werden“.
Change.org muss eingestellt oder vollständig neu gestaltet werden.
Als Hauptkritikpunkt werfen die Autoren der Studie der Plattform vor, dass sie sensible politische Meinungsdaten weiterhin auf US-Servern speichere — auch nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs. Diese Informationen würden nicht nur für Werbezwecke verwendet, sondern könnten auch vom US-Geheimdienst NSA eingesehen werden. „Letztlich gibt es keine Sicherheit, dass die sensiblen persönlichen Daten über politische Meinungen nicht bei US-Behörden oder sogar bei der NSA landen“, sagte Weichert gegenüber Heise.
Eve Chaurand, Datenschutzbeauftragte von Change.org, kommt in der Studie ebenfalls zu Wort und kontert, dass die gesammelten Informationen lediglich für Vorschläge neuer Petitionen benutzt würden. So würden Nutzern Kampagnen vorgestellt, die ähnliche Themen behandeln wie die, die sie in der Vergangenheit unterzeichnet haben. Der Konflikt mit dem Safe-Harbor-Urteil solle mit EU-Standardvertragsklauseln gelöst werden. Darüber hinaus hätten Nutzer die Wahl, ob sie weitere Vorschläge per E-Mail erhalten möchten oder ob ihre Daten gelöscht werden sollen.
Laut Heise will der Berliner Datenschutzbeauftragte Alexander Dill nun prüfen, ob Change.org überhaupt in seinen Kompetenzbereich fällt. Im Impressum der Website wird nämlich neben einer US-Firma ein Unternehmen mit Sitz in der englische Stadt Bristol angegeben, weshalb womöglich britische und nicht deutsche Datenschutzbehörden für Change.org zuständig sind.
UPDATE: Change.org hat auf die Vorwürfe reagiert. „Bürgerbeteiligung und Datenschutz gehören für uns zusammen“, schreibt das Unternehmen in einem Statement. Zum Beispiel erlaube man es den Nutzern, Petitionen „ohne Angabe des Echtnamens“ und nur mit einer gültigen E-Mail-Adresse sowie der Postleitzahl zu unterzeichnen. „Wir kennen keine vergleichbare Plattform in Deutschland, die sich solche strikten Datenschutzrichtlinien auferlegt.“ Auch könnten User die über sie erhobenen Daten jederzeit löschen lassen. Thilo Weichert könne sich außerdem gern mit Change.org-Europageschäftsführer Simon Willis treffen, wenn dieser das nächste Mal nach Deutschland komme, um weitere Fragen zu klären.