[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

Von unserem Gastautor Stefan Adolf, Developer Ambassador bei Turbine Kreuzberg

[datensicherheit.de, 21.07.2021] Kommerzielle Plattformen erleben gerade eine Blütezeit. Mit ihnen lassen sich immerhin eine Vielzahl an unterschiedlichen digitalen Geschäftsmodellen technologisch umsetzen, kooperativ gestalten und durch Services anreichern, wie etwa in Marktplätzen oder Dienstleistungsplattformen zu sehen. Doch auch wenn sie das Leben von Anbietern und Nutzern erleichtern, ist beim Aufbau digitaler Plattformen höchste Sorgfalt in Sachen Sicherheit geboten. Schließlich werden dabei externen Diensten und Nutzern Zugriffe auf sensible Ressourcen gewährt. Welche Technologien sich eignen, um ein föderiertes System für Anmeldedaten und Profilinformationen zu entwickeln, ohne dabei sicherheitskritische Nutzungsprofile zu akkumulieren wird im Folgenden behandelt.

OAuth – authentifizierter Zugriff mit einem Klick

Eine beliebte Lösung, um Information und Inhalte sicher auszutauschen, bietet das OAuth-Protokoll (Open Authorization). In einer Welt, in der Tausende Menschen täglich auf unzählige neue Apps und Websites zugreifen, bietet das offene, tokenbasierte Sicherheitsprotokoll Nutzer:innen eine Möglichkeit, sich mit bereits vorhandenen Accounts (z. B. von Facebook oder Google) bei weiteren Anwendungen anzumelden. Sofern externe Dienste die Option „Sign-up with…“ anbieten, genügen die zuvor bereits erstellten Login-Daten zur Identitätsprüfung. So müssen Nutzer nicht ständig neue Profile erstellen. Dafür übernimmt beispielsweise Facebook die Authentifizierung und sendet Drittdiensten einen begrenzt gültigen Access Token. Mit diesem können externe Anbieter die gewünschten Daten einfach anfordern. Explizite Anmeldeinformationen wie Passwort oder E-Mail geben sie dabei nicht preis.

Ein Beispiel zum Verständnis: Eine Userin möchte sich auf einer App neu registrieren und wählt dafür die Option „Sign up with Facebook”. Die App generiert daraufhin eine URL zum Anmeldedienst von Facebook und leitet dorthin weiter. In dieser URL benennt die App bereits sämtliche Profil-Bereiche, die sie aus dem öffentlichen Profil der Userin benötigt. Facebook weist die Userin nun darauf hin, über welche ihrer Informationen die App bei ihrer Zustimmung zugreifen kann. Erteilt die Userin ihre Erlaubnis, sendet eine Facebook-API einen einmalig gültigen Grant-Token an die App, die App wiederum mit einem zwischen ihr und Facebook ausgehandelten Geheimnis antwortet. So wird die App eindeutig identifiziert. Das wiederum erwidert Facebook mit einem Access Token, der Freigaben und Authentifizierung der Userin repräsentiert. Dieser Access Token wird bei jeder Anfrage übermittelt und von Facebook-APIs überprüft. Bei erfolgreicher Prüfung liefern sie die angeforderten Daten an die App. Die Nutzerin musste dafür zweimal klicken.

Tokenbasierte Authentifizierung

Neben OAuth haben sich in den vergangenen Jahren auch weitere Verfahren etabliert. JSON Web Tokens (JWT) sind beispielsweise besonders zur Authentifizierung in verteilten Systemlandschaften beliebt geworden, da durch sie die Notwendigkeit entfällt, Datenbanken zur Feststellung von Berechtigungen abzufragen oder Sitzungsdaten auf dem Server zu speichern – Stichwort: „Stateless Sessions“. Dieser Token ist eine einfache, binärkodierte JSON-Struktur, die alle wichtigen Informationen für einen Anwendungsfall enthält, insbesondere zum Absender und seinen Zugriffsrechte. Durch die digitale Signatur seines Ausstellers wird der Token abgesichert. Ein weiteres, verteilt arbeitendes Authentifizierungssystem für Webservices ist OpenID. Open ID nutzt URL-basierte Identitäten (Identifier), um es Nutzern zu ermöglichen, sich mit einem Login bei mehreren Diensten anzumelden – ein ähnliches SSO-Konzept wie bei OAuth.

Daneben gibt es eine Vielzahl an freien und kommerziellen Lösungen für die 2-Faktor-Authentifizierung – gerade nützlich, will man nicht auf die Systeme der großen Anbieter zurückgreifen. Plattformanbieter:innen sind mittlerweile nicht mehr zwingend auf die Dienste Externer angewiesen, um Anwendungen und Infrastrukturen abzusichern oder gar SSO-Konzepte zu implementieren. Dabei ist das Angebot sehr divers und reicht von hoch spezialisierten Lösungen bis hin zu breit gefächerten Identity- und Access-Management-Systemen, welche beispielsweise eine Authentifizierung durch soziale Medien ermöglichen.

Datenhoheit durch selbstsouveräne Identitäten

Obgleich OAuth, JWT und OpenID den derzeitigen Status quo der Plattformsicherheit darstellen, gehört die Zukunft der Self-Sovereign Identity (SSI) – einer besonderen Form von Claim-basiertem Identitätsmanagement. Der Grund: In Zeiten von strengen Datenschutzverordnungen wie der DSGVO und einer zunehmenden Sensibilität der Nutzerwird Datenhoheit immer wichtiger. Authentifizierungskonzepte, die den Nutzern selbst mehr Kontrolle geben, gewinnen dadurch an Bedeutung.

Allgemein bedeutet SSI, dass Personen nicht mehr von zentralen Identitätsdiensten abhängig sind. Stattdessen entscheidet der Nutzer selbstständig, welche Informationen aggregiert werden und wer Zugriff auf die persönlichen Daten erhält. Statt mit einer E-Mail-Adresse oder Passwort begründet sich eine Identität in einem sogenannten Decentralized Identifier (DID). Das ist eine Sammlung öffentlicher Schlüssel einer Identität, die mit Hilfe von Blockchain-Transaktionen für jeden les- und überprüfbar ist. Zum Nachweis der Kontrolle über einen DID halten Nutzer die privaten Schlüssel zum Nachweis in einer Wallet auf ihren Smartphones. Sogenannte Verifiable Credentials, also Zertifikate über Eigenschaften des Nutzers, werden von entsprechenden Stellen über den DID des Nutzers ausgestellt, und schließlich ggf. per Peer-to-Peer an ihn übermittelt und in dessen Wallet verwahrt.

Die Zukunft der Platform Security

Die Suche nach Wegen und Technologien, um sensible Informationen auf Plattformen sicher und einfach auszutauschen, ist noch längst nicht abgeschlossen. Dabei muss jede neue Lösung stets auf dem schmalen Grat zwischen DSGVO-konformer Datensicherheit, Nutzerfreundlichkeit und realistischer Umsetzbarkeit bestehen. Auch wenn in der öffentlichen Wahrnehmung meist anderes vorherrscht, geht Plattformsicherheit letztlich über den notwendigen Schutz vor Hackerangriffen oder Datenverlust hinaus. Wer als Betreiber bei der Datenhoheit seiner Nutzer anfängt, ist auf einem guten Weg.

Stefan Adolf, Developer Ambassador, Turbine Kreuzberg, Bild: Turbine Kreuzberg

Stefan Adolf ist Developer Ambassador bei Turbine Kreuzberg. Seine primäre Aufgabe ist die Kommunikation mit der Developer-Community. Der Fullstack-Entwickler mit Schwerpunkt auf Applikationen, IoT und Integration ist Organisator und Speaker auf Meetups und Konferenzen über entwicklernahe Themen. Zudem agiert er durch seine Expertise in dezentraler Technologie und dem Web3 als Tech Lead in Venture Projekten und als technologischer „Vordenker“ von Turbine Kreuzberg.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

[datensicherheit.de, 09.07.2019] Ob Software-Tools, externe Dienstleister oder Cloud-Speicher: Viele Unternehmen lassen laut dem Branchenverbund Bitkom personenbezogene Daten auch im Ausland verarbeiten. Für die internationalen Datentransfers stehen ihnen demnach „mehrere datenschutzkonforme Verfahren zur Verfügung“. Mit den sogenannten Standardvertragsklauseln drohe jetzt eines dieser Verfahren für den Datenaustausch mit Nicht-EU-Ländern wegzufallen.

Internationaler Datenaustausch essenziell für die Wirtschaft

Der Europäische Gerichtshof (EuGH) verhandele ab dem 9. Juli 2019 über die Frage der Legitimation von Datenübermittlungen in Drittländer durch solche Standardvertragsklauseln. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung „Recht und Sicherheit“, nimmt hierzu Stellung:
„Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück. Sollten diese Klauseln nicht mehr rechtens sein, stehen viele Unternehmen vor einem Daten-Chaos.“

Unternehmen benötigen schnell Rechtssicherheit

Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohten „massive Einschränkungen“. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, „wenn Unternehmen nicht schnell genug auf die sogenannten ,Binding Corporate Rules‘ umstellen“, erläutert Dehmel.
In einer global vernetzten Wirtschaft dürfe sich Europa nicht isolieren. Unternehmen benötigten schnell Rechtssicherheit, „solange keine praktikablen Alternativen für eine datenschutzkonforme Datenverarbeitung zur Hand sind“.

Weitere Informationen zum Thema:

bitkom, 15.09.2017
Leitfaden: Verarbeitung personenbezogener Daten in Drittländern – Version 1.2./ Auf Basis der EU-Datenschutz-Grundverordnung

datensicherheit.de, 26.01.2018
Bitkom-Warnung: Mangel an Fachkräften für Datenschutz

datensicherheit.de, 22.09.2016
Bitkom-Studie: Viele Unternehmen haben Datenschutzreform nicht auf dem Schirm

[datensicherheit.de, 02.10.2018] Die E-Evidence-Verordnung, auf deutsch „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, soll den grenzüberschreitenden Datenaustausch zwischen Providern und Behörden aus verschiedenen EU-Mitgliedstaaten regeln. Der Verband der Internetwirtschaft begrüßt zwar die Intention des EU-Parlaments den europäischen Datenaustausch von Beweismitteln beschleunigen zu wollen, kritisiert jedoch die geplante Vorgehensweise der Verordnung.

„Den europäischen Datenaustausch von Beweismitteln beschleunigen zu wollen, ist prinzipiell eine gute Sache, da derzeit durch die teilweise extrem langwierigen Behördenwege häufig zu viel Zeit vergeht“, erklärt Oliver Süme, eco Vorstandsvorsitzender und Präsident des europäischen Providerverbands EuroISPA in Brüssel. „Die europaweite Verfolgung schwerer Kriminalität ist wichtig. Es darf aber nicht sein, dass durch diese Verordnung die bei uns geltenden hohen Schutzstandards für die Herausgabe und Übermittlung von Verkehrsdaten ebenso außer Kraft gesetzt werden wie die hohen Sicherheitsstandards bei der Datenübermittlung. Damit würde auch die politische Glaubwürdigkeit beim Daten- und Grundrechtsschutz grundsätzlich infrage gestellt.“

© eco

Oliver Süme, eco Vorstandsvorsitzender und Präsident des europäischen Providerverbands EuroISPA in Brüssel

Verantwortung hoheitlicher Aufgaben nicht auf Privatunternehmen abwälzen

eco kritisiert außerdem, dass Provider künftig selbst beurteilen sollen, ob eine Datenanforderung einer ausländischen Behörde missbräuchlich ist oder gegen Grundrechte verstößt. „Das sind Forderungen, die nicht einmal große Anbieter mit einer eigenen Rechtsabteilung problemlos erfüllen könnten. Für die vielen kleinen und mittleren Provider in Deutschland und Europa ist das schlichtweg ein Ding der Unmöglichkeit“, so Süme. Völlig ungeklärt bleibt dabei die Frage der Haftung im Falle zu Unrecht erhobener bzw. herausgegebener Daten.

Darüber hinaus kritisiert der Verband, dass diese Vorgehensweise rechtsstaatlichen Grundprinzipien widerspricht. „Anstatt bei grenzüberschreitenden Ermittlungen die Rechtshilfeverfahren zu beschleunigen und die Kooperation der Strafverfolgungs- und Ermittlungsbehörden in der EU zu optimieren, sollen mit der E-Evidence-Verordnung Behörden aus anderen EU-Mitgliedsstaaten direkt bei den Unternehmen die Herausgabe und Sicherung von Daten verlangen können. Die Wahrnehmung und Verantwortung hoheitlicher Aufgaben darf nicht auf Privatunternehmen abgewälzt werden. Das ist in einem Rechtstaat absolut inakzeptabel“, sagt Oliver Süme.

Keine Zeitfenster für kleine und mittelständische Unternehmen

Eine Ausnahmeregelung für kleine und mittelständische Unternehmen mit flexibleren Zeitfenstern für die Bearbeitung von Herausgabe- und Sicherungsanordnungen sowie ein robustes Verifizierungs- und Authentifizierungssystem sind dabei unerlässlich. „Die gewissenhafte Beurteilung der Anfrage einer europäischen Behörde und die Gewährleistung einer sicheren Datenübertragung ist das A und O und für das Vertrauen der Verbraucher von entscheidender Bedeutung“, so Süme.

Aus Sicht der Internetwirtschaft bedarf es deshalb keiner verbindlichen Regelungen über Zeitfenster. Der Zeitrahmen, der im Vorschlag der Kommission für die Ausführung von Herausgabe- und Sicherungsanordnungen vorgesehen ist, kann insbesondere für kleine und mittelständische Unternehmen, die meistens keine 24/7-Dienste anbieten, zum wirtschaftlichen Handicap werden.

Weitere Informationen zum Thema:

eco
Stellungnahme zum Vorschlag der EU Kommission für eine Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen

datensicherheit.de, 01.10.2018
eco: Neuer Medienstaatsvertrag darf nicht zum Störfaktor innovativer Geschäftsmodelle werden

datensicherheit.de, 26.09.2018
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

[datensicherheit.de, 07.03.2018] Vor kurzem wurde bekannt, dass es Hackern gelungen ist, sich Zutritt in das als hochsicher geltende Datennetzwerk des Bundes zu verschaffen. Aufgefallen sei der Angriff den Sicherheitsbehörden bereits Mitte Dezember und er dauerte laut dem Vorsitzenden des Parlamentarischen Kontrollgremiums wohl bis zum Donnerstag dieser Woche an. Laut bisherigem Informationsstand gelang es den Angreifern, in das Netz des Auswärtigen Amts einzudringen – ob weitere Ministerien ebenfalls betroffen sind, lässt sich derzeit weder bestätigen noch ausschließen. Handelt es sich wirklich um einen über monatelang währenden Angriff, bedeutet dies einen enormen Schaden für die Bundesregierung. So verheerend dieser Angriff auch ist, könnte er dennoch lediglich der Anfang einer verheerenden Angriffswelle sein, sollten Entscheider auf Bundesebene nicht sofortige Konsequenzen hinsichtlich Datensicherheit und Datenschutz ziehen.

Schnelles Handeln nötig

Zum Schutze der sensiblen Daten und in diesem Falle zum Schutze des Landes und der Demokratie muss hier schnell gehandelt werden und eine verbindliche Ende-zu-Ende-Verschlüsselung aller Bundesbehörden durchgesetzt werden. Denn: wo sonst als in den Behörden der Bundesregierung finden sich höchst sensible Daten, deren Kompromittierung weitreichende Folgen hat, in diesem Falle für das Wohl des ganzen Landes und deren Bürger.

Vor vier Jahren erschien die Digitale Agenda der Bundesregierung, in dem als eines der Ziele definiert wurde, Deutschland solle zum „Verschlüsselungsstandort Nummer eins auf der Welt“ werden.  Auch bereits im Jahre 2014 sprachen sich führende IT-Sicherheitsforscher des Fraunhofer Instituts im Rahmen des NSA-Untersuchungsausschusses deutlich für durchgehende kryptographische Lösungen aus, um das Abhören durch Geheimdienste zu erschweren. Doch leider besteht beim Thema Verschlüsselung in Deutschland noch deutlicher Nachholbedarf, wie der jüngste Hacker-Angriff verdeutlicht. Auf Landesebene wurde in Bayern zu Beginn des Jahres erstmals ein Landesamt für Sicherheit in der Informationstechnik (LSI) eröffnet. Ziel sei es, auf die wachsende Bedrohungslage zu reagieren, um die IT des Bundeslandes wie den Bayern-Server und das bayerische Behördennetz sicherer zu machen und Bürger und Kommunen zum Thema IT-Sicherheit zu beraten. Auch sollen hier die digitalen Informationen verschlüsselt werden.

Generell in allen Bereichen der digitalen Kommunikation und beim Thema Datenaustausch, sei dieser behördenintern oder -extern, gilt es eine Lösung zu implementieren, die alle Daten konsequent und jederzeit Ende zu Ende verschlüsselt. Idealerweise erfolgt die Verschlüsselung dreifach: clientseitig, auf dem Übertragungsweg und schließlich auf dem Server. Nur so ist ein Maximum an Datensicherheit beim Austausch von Daten gewährleistet und Angriffe verlaufen somit größtenteils ins Leere. Ein Missbrauch der Daten wird durch diese durchgängige Verschlüsselung verhindert und die autorisierten Nutzer der Lösung haben die volle Datenhoheit, denn niemand außer diesen, nicht einmal der Betreiber, hat Zugriff auf die Daten.

Fazit:

Vernachlässigt der Bund weiterhin das Thema Verschlüsselung, sind weitere IT-Sicherheitsvorfälle vorprogrammiert – noch ist es weiter Weg, bis Deutschland sich wirklich zum „Verschlüsselungsstandort Nummer eins auf der Welt“ entwickelt hat. Sowohl Unternehmen als auch die Regierung müssen hier die Bedrohungslage ernst nehmen und handeln. Handeln bedeutet in diesem Falle, eine bedingungslose, flächendeckende Ende-zu-Ende Verschlüsselung der Kommunikation zum Schutz von Firmen- und Regierungsdaten und somit zum Schutz der Bürger.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

[datensicherheit.de, 25.04.2017] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass das Verwaltungsgericht Hamburg mit seiner Entscheidung am 25. April 2017 im vorläufigen Rechtsschutzverfahren bestätigt hat, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf.

Zusicherung verletzt: Einführung neuer Nutzungsbedingungen bei WhatsApp

Die Entscheidung sei Gegenstand einer HmbBfDI-Anordnung. Der Facebook Ireland Ltd. sei demnach untersagt worden, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.
Facebook und WhatsApp seien selbstständige Unternehmen, welche die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiteten. Nach dem Kauf von WhatsApp durch Facebook 2014 hätten die Unternehmen noch öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht würden. Durch Einführung neuer Nutzungsbedingungen habe WhatsApp den Nutzern im August 2016 jedoch mitgeteilt, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer bestehe dabei nicht.

Zum Schutz der Nutzer Sofortvollzug angeordnet

Der HmbBfDI hält diese Praxis nach eigenen Angaben für „rechtswidrig“ und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, sei der Sofortvollzug angeordnet worden. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.
Facebook habe gegen diese Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel sei es gewesen, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag habe das Gericht nun zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sehe. Facebook könne sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich sei. Ferner habe das Gericht klargestellt, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorlägen.

Facebook verpflichtet, rechtmäßiges Einwilligungsverfahren einzuführen

Im Ergebnis nehme das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach würden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit.
Die Frage nach der Anwendbarkeit des nationalen Rechts lasse das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.
Der HmbBfDI, Johannes Caspar, kommentiert: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht.“
Diese Entscheidung habe erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn dort gelte ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit werde auch der Kritik vieler seiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen.
Einen Massenabgleich von Daten gegen den Willen Betroffener werde und dürfe es in der EU nicht geben.
„Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2016
facebook bleibt bei Klarnamenpflicht

[datensicherheit.de, 21.04.2012] Gesundheitseinrichtungen setzen beim Transfer von medizinischen Bildern und Befunden häufig noch auf ein archaisches „Turnschuh-Netzwerk“, also den manuellen Transport durch Fachpersonal… Dies ist jedoch zeitaufwändig, kostenintensiv und steht einer effektiven Patientenbehandlung im Wege. Besonders problematisch wird diese Art der „Kommunikation“ in Notfällen, bei der Verlegung von Patienten, im Austausch mit dem zuweisenden Arzt und beim Einholen einer Zweitmeinung. Ein solches Vorgehen können sich Krankenhäuser heute also nicht mehr leisten.
Hier hakt die ETIAM GmbH aus Saarbrücken ein. ETIAM versteht sich als ein führendes europäisches Unternehmen für Bild-Kommunikations-Lösungen in der Medizin und bietet mit „ETIAM-Connect“ nun nach eigenen Angaben eine Lösung an. Diese ermögliche den sicheren Austausch medizinischer Bilder und klinischer Daten über das Internet. In diese Kommunikation seien alle Medientypen eingebunden – klassische Röntgenbilder würden eingescannt, Patienten-CDs und -DVDs eingelesen, auch Dokumente, Formulare und Befunde könnten integriert werden, erläutert Deutschlands ETIAM-Geschäftsführer Jürgen Thiem das System.

Abbildung: ETIAM GmbH, Saarbrücken

„ETIAM-Connect“: Höchste Sicherheitsstandards seien gewährleistet.

Die Kommunikation mit „ETIAM-Connect“ basiert nach Herstellerangaben auf verschiedenen DICOM-Services wie „Store“, „Query and Retrieve“ und „Study Verification“. Auf diese Weise könnten sowohl CT- und MRT-Aufnahmen als auch Bewegtbilder und Videos sowie PDF-Dateien ausgetauscht werden. Um die Interoperabilität mit anderen Systemen zu gewährleisten, sei in das Kommunikationssystem „IHE XDS/XDS-I“ (ein Konzept für regionale Bildkommunikation) implementiert.
Die Daten würden jeweils über eine äußerst sichere, definierte Punkt-zu-Punkt-Verbindung ausgetauscht. Sie seien beim Transfer mit „128-bit SSL“ verschlüsselt und verblieben vollständig beim Sender oder Empfänger. Die Daten würden also nicht auf einem Webserver oder in der „Cloud“ gespeichert. Alle Transaktionen seien lückenlos dokumentiert, betont Thiem.
Diese Lösung könne für den einfachen Versand von Daten eingesetzt werden. Darüber hinaus diene sie als Plattform für die bidirektionale Kommunikation zwischen Krankenhäusern oder mit niedergelassenen Ärzten.
Allen Nutzern stehe ein standardisierter DICOM-Webviewer für die Betrachtung der Bilddaten zur Verfügung, so dass „ETIAM-Connect“ auch ohne eigenes PACS eingesetzt werden könne. Genauso sei es möglich, einrichtungsweit Benutzergruppen zu definieren und zwischen denen individuelle Arbeitsabläufe für eine effiziente Zusammenarbeit zu etablieren.
Mit ihrer Kommunikationslösung müssten keine Röntgenbilder, CDs oder DVDs mehr erstellt und versandt werden – das spare allen Beteiligten viel Zeit und Geld, vor allem trage es zu einer schnellen und reibungslosen Patientenversorgung bei, stellt Thiem heraus.
Seit 2007 hätten über 130 Krankenhäuser weltweit medizinische Bilder, Dokumente und Befunde mit „ETIAM-Connect“ ausgetauscht, insgesamt seien bisher mehr als 80 Millionen Bilder transferiert worden. Damit habe das System die Arbeitsabläufe in der Notaufnahme, der Patientenverlegung, der Zuweiserkommunikation, in fachübergreifenden Teams, in der Teleradiologie sowie in den Bereichen der Schlaganfallversorgung und der Onkologie optimiert.

Weitere Informationen zum Thema:

ETIAM GmbH
ETIAM-Connect – Sicherer Austausch medizinischer Bilder zwischen Gesundheitsinstitutionen

Foto: BfDI

Beratung und Schlußabstimmung im Bundestag

[datensicherheit.de, 03.07.2009] Das Abkommen vom 01.10.2008 zwischen der Regierung der Bundesrepublik Deutschland und der Regierung der Vereinigten Staaten von Amerika über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kriminalität steht heute für 18.00 Uhr auf der Agenda der 231. Sitzung des Deutschen Bundestages.

Hierzu erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar:

Mit dem Abkommen wird zwischen Deutschland und den Vereinigten Staaten von Amerika ein weit reichender Informationsaustausch vereinbart, unter anderem ein gegenseitiger Online-Zugriff auf die Fingerabdruckdateien und die DNA-Dateien. Die Datenschutzvorkehrungen bleiben dabei weit unter dem Niveau, das für den Datenaustausch mit anderen Staaten gilt, etwa bei der Kooperation von Polizei- und Strafverfolgungsbehörden innerhalb Europas nach dem Prümer Vertrag. Mit dem heute vom Deutschen Bundestag beratenen Umsetzungsgesetz hätte immerhin noch die Möglichkeit bestanden, in den Abkommensregelungen verbliebene Interpretationsspielräume im Sinne eines verbesserten Datenschutzes zu konkretisieren. Diese Chance ist aber weitgehend verpasst worden.

Zwar mahnt der Deutsche Bundestag in einer zusätzlichen Entschließung an, die nach Maßgabe des Abkommens vorgesehene Übermittlung sensibler personenbezogener Daten, aus denen zum Beispiel die Rasse oder ethnische Herkunft, politische Anschauungen, religiöse Überzeugungen sowie Gewerkschaftszugehörigkeit hervorgeht oder die die Gesundheit oder das Sexualleben betreffen, restriktiv zu handhaben. Entsprechende Einschränkungen hätten aber im Umsetzungsgesetz verbindlich geregelt werden können. Es fehlen zudem Konkretisierungen, welche Straftaten nach nationalem Recht als schwerwiegende beziehungsweise terroristische Straftaten gelten und damit eine klare Bestimmung des Anwendungsbereiches des Abkommens. Offen bleibt, ob unter den Fingerabdrücken, auf die den US-Behörden der Zugriff eingeräumt wird, auch die Fingerabdrücke von Asylbewerbern und Ausländern gefasst werden. Schließlich wäre eine klarstellende Verpflichtung im Umsetzungsgesetz zur Mitteilung der im Inland geltenden Löschungsfristen im Falle einer Datenübermittlung geboten gewesen.

Die zusätzlichen Regelungen im Umsetzungsgesetz wären umso dringender, als in den USA ein angemessenes Datenschutzniveau nach europäischen Maßstäben mit Auskunftsrechten der von einer staatlichen Datenverarbeitung Betroffenen und einer unabhängigen Datenschutzkontrolle nicht besteht.

]]> https://www.datensicherheit.de/schaar-kritik-am-abkommen-zum-datenaustausch-mit-den-usa/feed 0