[datensicherheit.de, 22.09.2022] Das Datenschutzniveau in Deutschland sei „viel zu niedrig“, meinten 37 Prozent der Deutschen. Indes: Ganz im Gegenteil, urteilten 35 Prozent, welche es als „viel zu hoch“ einstuften. Diese konträren Ergebnisse hat demnach der „Datenschutzreport 2022/23“ ans Licht gebracht, der nach eigenen Angaben auf einer aktuellen Umfrage des Hamburger Hochsicherheits-Datendienstleisters TeamDrive GmbH beruht.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Ein Witz, dass man auf jeder Website die Datenschutzbestimmungen wegklicken muss, bevor man zum Inhalt kommt…

Die meisten Befragten befürworten Datenschutz, halten heutige Gesetzgebung aber nicht als dafür geeignet

Detlef Schmuck, Studienleiter, erklärt das auf den ersten Blick paradoxe Meinungsspektrum so: „Die meisten Menschen wollen, dass ihre persönlichen Daten geschützt werden. Aber sie glauben nicht, dass die heutige Gesetzgebung dafür geeignet ist.“

Er gibt ein Beispiel: „Es wirkt wie ein Witz, dass man auf jeder Website die Datenschutzbestimmungen wegklicken muss, bevor man zum Inhalt kommt. Niemand kann ernsthaft erwarten, dass man jedes Mal die juristischen Erklärungen liest. Es ist diese Art von Pseudo-Datenschutz, die viele Menschen frustriert.“

So sei es kaum verwunderlich, dass laut Umfrage lediglich zwölf Prozent das aktuelle Datenschutzniveau als „genau richtig“ einstuften.

Mit Datenschutz verbundener bürokratische Aufwand könnte Privatsphäre konterkarieren

Zwei Drittel der Befragten bezeichneten die Wahrung ihrer Privatsphäre in der digitalen Welt als ein „wichtiges Rechtsgut für uns alle“. Schmuck kommentiert die Umfrageergebnisse: „Das Gros der Bevölkerung will sich weder vor staatlichen Stellen noch vor der werbetreibenden Wirtschaft digital nackt machen. Aber es herrscht das Gefühl vor, dass der mit dem Datenschutz verbundene bürokratische Aufwand letztendlich gar nicht zu mehr Privatsphäre führt.“

Er verweist darauf, dass satte 60 Prozent der Befragten die geltende Datenschutz-Grundverordnung als „Bürokratiemonster“ verurteilten.

Schmuck möchte einen Weg aus diesem Dilemma weisen: „Der Datenschutz muss so implementiert werden, dass er funktioniert, ohne dass sich der Nutzer darum zu kümmern hat. So wünschen sich beispielsweise viele Menschen, dass ihr Einverständnis mit dem Datenschutz einer Website beinhaltet, dass dieses dauerhaft oder jedenfalls für längere Zeit gilt, statt jedes Mal aufs Neue per Klick zustimmen zu müssen.“ Es gelte der Grundsatz: „Die Technologie dahinter mag noch so komplex sein, aus Nutzersicht hat alles so einfach wie möglich zu erscheinen.“

Richtig und wichtig: EU-weiter Datenschutz

Immerhin halte knapp die Hälfte (48 Prozent) die Schaffung eines einheitlichen Datenschutzstandards in den Ländern der europäischen Union für „richtig und wichtig“. Lediglich ein gutes Zehntel lehne diese Vereinheitlichung ab. 44 Prozent unterstützten ausdrücklich die Schaffung eines EU-weiten Datenraums, also einer länderübergreifenden „EU-Cloud“, die per se dem hohen Schutzniveau der Europäischen Union entspreche.

„Eine gesicherte Umgebung, in der man sich darauf verlassen kann, dass dem Schutz der Privatsphäre eine hohe Priorität eingeräumt wird, wäre von hohem Nutzen“, erläutert Schmuck und warnt zugleich:

„Die jüngsten Bemühungen der EU-Kommission zielen allerdings eher darauf ab, den europäischen Behörden Zugang zur digitalen Privatsphäre zu verschaffen. In diesem Fall wäre ein europäischer Datenraum geradezu eine Verhöhnung des Wunsches nach Privatheit in der digitalen Welt.“

[datensicherheit.de 12.08.2022] Das Statistische Bundesamt (Destatis) hat in einem Schreiben vom 12. August 2022 eine „Richtigstellung“ zu folgendem ds-Artikel erbeten:

datensicherheit.de, 12.08.2022
Zensus 2022: Detlef Schmuck warnt vor Risiken der Nutzung einer US-Cloud / Gefahr, dass mit dem Zensus gewonnene Informationen von US-Behörden ausgewertet werden

Die ds-Redaktion gibt nachfolgend das Schreiben unkommentiert und ohne Bewertung im Originalwortlaut wieder:

Sehr geehrter Herr Pinnow,

in Ihrem Artikel „Zensus 2022: Detlef Schmuck warnt vor Risiken der Nutzung einer US-Cloud“ vom 12. August 2022 (https://www.datensicherheit.de/zensus-2022-detlef-schmuck-warnung-risiken-nutzung-us-cloud) sind falsche Informationen zum Zensus 2022 zu finden, um deren Richtigstellung wir bitten.

So heißt es in Ihrem Artikel u.a.:
„Die deutschen Behörden arbeiteten bei der bundesweiten Datenerfassung mit dem US-„Cloud“-Anbieter Cloudflare zusammen. Dadurch bestehe die Gefahr, dass die mit dem Zensus 2022 gewonnenen Informationen teilweise von US-Behörden ausgewertet werden könnte.“

„Schmuck führt aus: ‚Es ist völlig absurd, dass eine bundesdeutsche Behörde die Bevölkerung unter Androhung von Zwangsgeld dazu auffordert, persönliche Daten beim ,Zensus 2022′ bei einem US-Anbieter offenzulegen.‘

Wer ‚www.zensus2022.de‘ eintippt, werde zunächst mit einem deutschen Server verbunden, ‚den der US-Anbieter Cloudflare hostet‘. Sogar das SSL-Sicherheitszertifikat sei auf diese US-Firma ausgestellt.

Erst nach der dortigen Anmeldung werde man auf den sicheren Server der deutschen Behörde weitergeleitet. ‚Das ist absurd, weil die US-Company dadurch sowohl personenbezogene als auch personenbeziehbare Daten erhält, die sie laut US-Gesetzgebung auf Aufforderung an US-Behörden weiterzugeben hat.'“

Hierzu stellen wir fest:

1. Allgemeines zum Verantwortungsbereich des Statistischen Bundesamts und des Informationstechnikzentrums Bund
Das Statistische Bundesamt führt in Zusammenarbeit mit den Statistischen Ämtern der Länder den Zensus 2022 durch. Hierbei verantwortet das Statistische Bundesamt den Webauftritt www.zensus2022.de. Gemäß Zensusvorbereitungsgesetz ist für den technischen Betrieb das Informationstechnikzentrum Bund (ITZBund) als Dienstleister des Bundes für das Statistische Bundesamt tätig. Über ITZBund sind die weiteren IT-Dienstleistungen für den technischen Betrieb beauftragt, wozu auch der Einsatz von Cloudflare zählt.

Die Beauftragung von Cloudflare erfolgte über ein Vergabeverfahren des Informationstechnikzentrums Bund (ITZBund). Es existiert kein Vertragsverhältnis zwischen dem Statistischen Bundesamt und Cloudflare.

2. Webseiten des Zensus 2022 und Einsatz von Cloudflare
Die Webseiten des Zensus 2022 werden ausschließlich in den Rechenzentren des ITZBund gehostet.

Hier muss unterschieden werden zwischen
(1) der öffentlichen Informationsseite (www.zensus2022.de) und
(2) dem Online-Fragebogen (fragebogen.zensus2022.de).

Zur Absicherung der öffentlichen Informationsseite (1) wird auf ein Content Delivery Network eines Dienstleisters (in diesem Fall Cloudflare) zurückgegriffen. Damit können gezielte DDoS-Angriffe und sonstige Lastspitzen abgefangen werden. Solche Maßnahmen sind bei einem Angebot mit großer Reichweite und Relevanz notwendig, um einen störungsfreien Betrieb – insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website – sicherzustellen.

Der Online-Fragebogen (2) wird nach erfolgreicher Anmeldung mit Zugangsnummer mit zugehörigem Aktivierungscode im Webbrowser sichtbar. Die Daten, die dort übermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende-verschlüsselt und werden ohne Nutzung von Cloudflare weitergeleitet. Die von den Auskunftspflichtigen bereitgestellten In-formationen sind in diesem Bereich als private Daten besonders sicher und werden ausschließlich in Rechenzentren des Bundes in Deutschland verarbeitet.

3. Einbindung von Cloudflare auf fragebogen.zensus2022.de bis zum 13. Mai 2022
Ursprünglich wurde Cloudflare als Content Delivery Network auch im Online-Fragebogen genutzt – alle Fragebogendaten waren und sind aber zu jedem Zeitpunkt durch ein Sicherheitszertifikat des Bundes Ende-zu-Ende-verschlüsselt. Der hierfür erforderliche private Schlüssel liegt im Informationstechnikzentrum Bund (ITZBund) – Cloudflare hatte zu keinem Zeitpunkt Zugriff auf den privaten Schlüssel. Etwaige Netzwerkkomponenten, Proxyserver o.ä. im Internet und bei Cloudflare haben keinen Einblick in die übertragenen Daten, da diese verschlüsselt sind.

Nach Rücksprache mit dem BfDI und um Missverständnissen in der Bevölkerung vorzubeugen, hat das ITZBund die ursprüngliche Nutzung von Cloudflare-Diensten bei der Übertragung der Online-Fragebogen am 13. Mai 2022 entfernt. Alle Daten der Online-Fragebogen sind weiterhin Ende-zu-Ende-verschlüsselt und werden in den Rechenzentren des Bundes verarbeitet. Es erfolgt keine Übermittlung von Metadaten bei der Meldung im Fragebogen.

Zu keinem Zeitpunkt bestand eine Gefahr für die in den Online-Fragebogen eingegebenen personenbezogenen Daten. Dies hat auch eine Überprüfung des unabhängigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ergeben (https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2022/05_Zensus-2022-Cloudflare.html). Die Verarbeitung erfolgt nach den Vorgaben des Zensusgesetzes in Verbindung mit dem Bundesstatistikgesetz. Hierüber können Sie sich ebenfalls auf der Zensus-Website informieren: https://www.zensus2022.de/DE/Was-ist-der-Zensus/Gesetze/_inhalt.html. Selbstverständlich werden hierbei die Vorgaben des Bundesverfassungsgerichts und die notwendige Abschottung der statistischen Einzeldaten eingehalten.

Im öffentlichen Bereich www.zensus2022.de ist Cloudflare weiterhin als Absicherung gegen Angriffe eingebunden, da dieser Bereich vielen Zugriffen – auch durch Hack-Angriffe – gleichzeitig standhalten muss. Hier erfolgt die Datenverarbeitung auf Grundlage der DS-GVO. Dies wird in der Datenschutzerklärung der Zensus-Website erläutert: https://www.zensus2022.de/DE/Service/Datenschutz/_inhalt.html

4. Wie können Befragte prüfen, dass Ihre privaten Daten sicher verschlüsselt übertragen werden?
Sie können nach erfolgter Anmeldung beim Online-Fragebogen durch Doppelklick auf das Schlosssymbol im Browser den sicheren und verschlüsselten Übertragungskanal ins Rechenzentrum des Informationstechnikzentrum Bund (ITZBund) mithilfe des Zertifikates nachvollziehen. Es zeigt, dass ein sicherer Übertragungskanal zwischen dem Webbrowser der Befragten und den im Rechenzentrum des ITZBund befindlichen Servern hergestellt wurde. Das Zertifikat enthält z. B. Angaben zum Eigentumsverhältnis (ITZBund) der Domain fragebogen.zensus2022.de und zur Verschlüsselung.

5. Warum gab es auf zensus2022.de vorübergehend amerikanische IP-Adressen?
Der Anbieter Cloudflare ist ein amerikanisches Unternehmen und verfügt über öffentliche IP-Adressen aus dem amerikanischen sowie dem europäischen Raum. Die Verarbeitung von Informationen findet auf Basis vertraglicher Vereinbarungen zwischen dem Informationstechnikzentrum Bund (ITZBund) und dem Anbieter ausschließlich in europäischen Rechenzentren von Cloudflare statt.
Um Missverständnisse zu vermeiden, werden nur noch europäisch registrierte IP-Adressen genutzt.

6. Begründung für den Einsatz eines CDN
Die Datenverarbeitung durch einen externen Anbieter wie Cloudflare auf der öffentlichen Informationsseite www.zensus2022.de ist erforderlich, um die hohe Verfügbarkeit der Website im Internet zu ermöglichen. Wir gewährleisten damit eine hohe Erreichbarkeit unserer Systeme für die Nutzenden.

7. Weitere Informationen
Auf unserer Seite zum Datenschutz und zur Informationssicherheit beim Zensus 2022 gibt es weitere Informationen rund um das Thema Datenschutz: https://www.zensus2022.de/DE/Wie-funktioniert-der-Zensus/Datenschutz-Informationssicherheit.html
Weitere Informationen finden sich außerdem in der Datenschutzerklärung: https://www.zensus2022.de/DE/Service/Datenschutz/datenschutz.html

___________________________________________

Presse, Newsroom | Zensus 2022
Statistisches Bundesamt (Destatis)

[datensicherheit.de, 12.08.2022] „Es ist inakzeptabel, dass der deutsche Staat einen Zensus mit einer US-,Cloud‘ durchführt“, so der Datensicherheitsexperte Detlef Schmuck und warnt vor den Risiken bei der Teilnahme am Zensus 2022. Die deutschen Behörden arbeiteten bei der bundesweiten Datenerfassung mit dem US-„Cloud“-Anbieter Cloudflare zusammen. Dadurch bestehe die Gefahr, dass die mit dem Zensus 2022 gewonnenen Informationen teilweise von US-Behörden ausgewertet werden könnten.

Bitte beachten Sie zu diesem Beitrag die

GEGENDARSTELLUNG Destatis zu „Zensus 2022: Detlef Schmuck warnt vor Risiken wegen Nutzung einer US-Cloud“

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Inakzeptabel, dass der deutsche Staat einen Zensus mit einer US-Cloud durchführt!

Persönliche Daten beim Zensus 2022 einem US-Anbieter offenzulegen

Schmuck führt aus: „Es ist völlig absurd, dass eine bundesdeutsche Behörde die Bevölkerung unter Androhung von Zwangsgeld dazu auffordert, persönliche Daten beim ,Zensus 2022‘ bei einem US-Anbieter offenzulegen.“

Wer „www.zensus2022.de“ eintippt, werde zunächst mit einem deutschen Server verbunden, „den der US-Anbieter Cloudflare hostet“. Sogar das SSL-Sicherheitszertifikat sei auf diese US-Firma ausgestellt.

Erst nach der dortigen Anmeldung werde man auf den sicheren Server der deutschen Behörde weitergeleitet. „Das ist absurd, weil die US-Company dadurch sowohl personenbezogene als auch personenbeziehbare Daten erhält, die sie laut US-Gesetzgebung auf Aufforderung an US-Behörden weiterzugeben hat.“

Mit US-Cloud-Anbieter gesamte Datenerfassung des Zensus 2022 rechtlich angreifbar

Nach Schmucks Einschätzung „steht die Nutzung eines US-,Cloud‘-Dienstes ausgerechnet für den Zensus 2022 für das Unverständnis zahlreicher deutscher Behörden für die Datenschutzgesetzgebung“.

Nicht akzeptabel sei „Alternativlosigkeit“ als Begründung für ein gesetzwidriges Verhalten anzugeben, betont Schmuck und verweist darauf, „dass es mit entsprechender Planung immer eine DSGVO-konforme Lösung in Europa geben muss“. Deutsche Datendienste, darunter z.B. der „TeamDrive“-Dienst von Schmucks eigener Firma TeamDrive Systems GmbH, böten datenschutzkonforme „Cloud“-Services als Alternative zu US-Anbietern an.

„Mit einem US-,Cloud‘-Anbieter ist die gesamte Datenerfassung des Zensus 2022 rechtlich angreifbar“, prognostiziert Schmuck juristische Schwierigkeiten – und fügt resigniert hinzu: „Die in die USA abgeflossenen Daten sind nicht kontrollierbar und für unsere Justiz unerreichbar.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.05.2022
Stellungnahme der HmbBfDI zum Zensus per 15. Mai 2022 / HmbBfDI stellt FAQ zur Volkszählung online

datensicherheit.de, 31.05.2013
Zensus 2021: Bundesdatenschutzbeauftragter veröffentlicht Eckpunkte für eine datenschutzgerechte Volkszählung / Vorschläge wurden vom Gesetzgeber und beteiligten Behörden nur teilweise übernommen

datensicherheit.de, 25.04.2009
Volkszählung: Zensusgesetz 2011 lässt noch datenschutzrechtliche Fragen offen / Vorgesehenes Verfahren besteht aus einer Kombination von Registerzusammenführungen und Befragungen

[datensicherheit.de, 21.04.2022] „Die sogenannte politische Einigung zum Datenschutz zwischen der Europäischen Union und den USA ist zum jetzigen Zeitpunkt keinen Pfifferling wert“, moniert der Datensicherheitsexperte Detlef Schmuck. Es sei kaum vorstellbar, dass sich die USA dem „Datenschutzdiktat der EU“ unterwerfen würden.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Viele Geschäftsmodelle von US-Unternehmen würden schlichtweg nicht mehr funktionieren, wenn man europäischen Datenschutz zugrunde legt…

Jedes neue Datenschutzabkommen wird sich vor dem EuGH zu verantworten haben

Die Präsidentin der EU-Kommission, Ursula von der Leyen, und US-Präsident Joe Biden hätten kürzlich mit einer derartigen Ankündigung überrascht. Schmuck, Geschäftsführer des Hamburger Datendienstleisters TeamDrive, ist sich indes sicher:

„Es gilt nach wie vor die Entscheidung des Europäischen Gerichtshofs EuGH vom Juni 2020, nach der das transatlantische Datenschutzabkommen ,Privacy Shield‘ ungültig ist.“ Jede neue und wie auch immer geartete Regelung werde sich vor demselben Gericht zu verantworten haben.

Es geht um einen für europäische Bürger nachvollziehbaren und durchsetzbaren Datenschutz in den USA

Schmuck führt aus: „Es liegt bei den USA, den dortigen Datenschutz auf das Niveau der Europäischen Union zu heben. Dazu wird eine ,Executive Order‘ des US-Präsidenten nicht ausreichen, sondern es wird darauf ankommen, einen für europäische Bürger nachvollziehbaren und durchsetzbaren Datenschutz in den USA einzuführen.“

Selbst wenn ein neues Abkommen, evtl. „Privacy Shield 2.0“ genannt, wie geplant bis zum Ende 2022 zustande kommen sollte, werde es Klagen dagegen geben und der Europäische Gerichtshof werde erst in einigen Jahren darüber entscheiden.

Rechtskräftiges Datenschutzabkommen zwischen der EU und den USA äußerst unwahrscheinlich

Nach Schmucks Einschätzung ist die Wahrscheinlichkeit, dass nach dem 2015 vom EuGH gekippten „Safe Harbor“-Abkommen und dem Aus für „Privacy Shield 2020“ im dritten Anlauf ein rechtskräftiges Datentransferabkommen zwischen der EU und den USA zustande kommt, „äußerst gering“. Die EU habe mit der „General Data Protection Regulation“ (GDPR / DSGVO) den Schutz personenbezogener Daten auf das weltweit höchste Niveau gebracht.

Es sei kaum vorstellbar, dass sich die USA diesem „Datenschutzdiktat“ unterwerfen würden. „Viele Geschäftsmodelle von US-Unternehmen würden schlichtweg nicht mehr funktionieren, wenn man europäischen Datenschutz zugrunde legt.“ Europäische Firmen seien also gut beraten, auch im Fall eines neuen Abkommens abzuwarten, „ob dieses in einigen Jahren vom EuGH bestätigt oder abermals gekippt wird“.

Weitere Informationen zum Thema:

datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil

[datensicherheit.de, 11.01.2022] „Die Rolle der Datenschutzbeauftragten in den Unternehmen wird im neuen Jahr schwieriger werden“, prognostiziert Detlef Schmuck, Geschäftsführer des deutschen Datendienstes TeamDrive GmbH. Vor allem die breitflächige Nutzung von Software des US-Anbieters Microsoft in der deutschen Wirtschaft stelle ein zunehmendes Problem dar, weil dadurch die Gefahr bestehe, dass personenbezogene Daten in die USA gelangten. Seitdem der Europäische Gerichtshof (EuGH) das transatlantische Datenschutzabkommen „EU-US Privacy Shield“ 2020 für ungültig erklärt hatte, stehe der Datenschutz in weiten Teilen der deutschen Wirtschaft auf „tönernen Füßen“, warnt der TeamDrive-Chef.

Gesetzeskonformer Einsatz gängiger Microsoft-Programme nur möglich, wenn Datenhaltung konsequent nicht in den USA erfolgt

Schmuck erläutert: „Die gängigen Microsoft-Programme wie ,Windows‘, ,Teams‘, ,Office‘ und ,365‘ lassen sich hierzulande nur gesetzeskonform verwenden, wenn die Datenhaltung konsequent aus den USA herausgehalten wird.“
Doch genau dies sei schwierig, weil es hierzu detaillierter Einstellungen bedürfe, insbesondere um den Microsoft-eigenen US-Datendienst „OneCloud“ von den Installationen fernzuhalten.

Microsoft hat bei jedem Update von Programmen Gelegenheit zum Einschleusen von OneCloud

Zudem lasse sich eine dauerhaft gesetzeskonforme Installation nur schwer aufrechterhalten, weil Microsoft mit jedem Update bei jedem Programm die Gelegenheit erhalte, „OneCloud“ neu einzuschleusen oder sonstige Einstellungen zu ändern. So gebe es beispielsweise konkrete Hinweise darauf, dass Microsoft bei Updates von „Windows“ seinen US-Clouddienst immer wieder automatisch einspiele.

Die Datenschutzbeauftragten müssten also kontinuierlich überprüfen, „ob ihre Unternehmen noch gesetzeskonform zur Datenschutz-Grundverordnung arbeiten oder sich möglicherweise durch ein Update oder eine sonstige Änderung ungewollt in die Illegalität begeben haben“ – dies sei kein leichter Job für 2022, so Schmuck.

[datensicherheit.de, 09.08.2021] „Die Überwachung in der ,Cloud‘ durch US-Anbieter ist längst Normalität. Aber Apple überschreitet eine Rote Linie mit der Überwachung in den Endgeräten. Dadurch werden Hunderte von Millionen ,iPhone‘-Besitzer unter den Generalverdacht der Kinderpornographie gestellt“, sagt der Datenschutzexperte Detlef Schmuck in einer aktuellen Stellungnahme und warnt: „Eine Rasterfahndung durch Apple auf allen Endgeräten ist beinahe wie die Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell.“

Kinderpornographie ist zu ahnden – aber ein klares Nein gegenüber Apple zum Generalverdacht!

„Apple öffnet die Büchse der Pandora“, kritisiert Schmuck energisch die Ankündigung von Apple, künftig die Fotos auf ,iPhones‘ automatisch dahingehend zu untersuchen, ob sie mit dem Gesetz im Einklang stehen. Apple hatte demnach verlauten lassen, mit dem neuen Betriebssystem „iOS 15“ alle Fotos auf „iPhones“ einer Prüfung zu unterziehen, ob es sich um kinderpornographische Aufnahmen handeln könnte.
Schmuck betont indes ganz klar: „Kinderpornographie gehört zu den abscheulichsten Verbrechen überhaupt und es ist richtig und wichtig, dagegen vorzugehen!“ Aber, so Schmuck, sei es dennoch völlig unangebracht, Hunderte von Millionen „iPhone“-Besitzer unter Generalverdacht zu stellen und deshalb deren private Fotoalben zu durchsuchen.

Apple Vorhaben gleicht permanenter Hausdurchsuchung durch privatwirtschaftliche Firma

„Die Überwachung der Kundendaten in den ,Cloud‘-Services der US-Anbieter ist längst Normalität, sicherlich nicht nur bei Apple. Aber Apple geht einen Schritt zu weit, indem die Endgeräte der Kunden einer ständigen Kontrolle unterzogen werden“, erläutert Schmuck und moniert: „Das ist wie eine permanente Hausdurchsuchung durch eine privatwirtschaftliche Firma.“
Man möge bedenken: Die meisten Menschen hätten mehr oder minder ihr gesamtes Leben im Smartphone gespeichert. Es sei nun Aufgabe der Staatsanwaltschaften, der Polizei und der Gerichte, im Verdachtsfall – und nur dann – diese „digitalen Hausdurchsuchungen“ zu genehmigen, durchzuführen und nach dem geltenden Recht zu bewerten. Aber eine Rasterfahndung durch Apple auf allen Endgeräten sei beinahe wie die „Kombination eines mutmaßlichen Wunschtraums von Erich Mielke und eines Albtraums von Georg Orwell“.

Apple hat Algorithmus mutmaßlich auf Druck von US-Behörden entwickelt

Nach Einschätzung von Schmuck hat Apple den Algorithmus zum Auffinden von Kinderpornographie auf Druck von US-Behörden entwickelt. Daher wirft er die Frage auf: „Wer will Apple oder andere US-Konzerne daran hindern, künftig auf Drängen weiterer Staaten wie beispielsweise China mit anderen Suchmustern nach unerwünschten Inhalten zu fahnden? In den USA mag nach Kinderpornographie gesucht werden, in anderen Ländern möglicherweise nach regimekritischen Texten. Wenn es nicht gelingt, Apple zurückzupfeifen, können wir nie mehr sicher sein, welche Spionagesoftware auf unseren Smartphones heimlich läuft und wonach sie Ausschau hält.“
Die Daten der Kunden gehörten diesen selbst und sonst niemandem, stellt er klar. Als Gründer und Geschäftsführer des Hamburger Datendienstes TeamDrive, welcher nach eigenen Angaben eine sogenannte Ende-zu-Ende-Verschlüsselung bietet, versichert er: „Bei TeamDrive sind die Daten derart gut geschützt, dass niemand außer den Kunden selbst diese entschlüsseln können, weder wir als Betreiber des Dienstes noch irgendeine Behörde auf der Welt.“ Der TeamDrive-Chef befürchtet aber, „wie andere Datenschützer auch“, dass Apple diese Funktion zur Überprüfung der Korrektheit von Fotos künftig auf weitere Informationen, die im „iPhone“ oder in der „iCloud“ von Ende-zu-Ende verschlüsselt sein sollten, ausweiten werde.

Wer könnte Apple hindern, weitere moralische Kriterien an mit dem iPhone erstellte Fotos zu stellen?

Eine Technologie zur Rasterfahndung auf Endgeräten sei grundsätzlich abzulehnen, „weil sie Missbrauch und Überwachung geradezu sträflich Vorschub leistet“, so Schmuck. „Wer will Apple daran hindern, in Zukunft weitere moralische Kriterien an die mit dem ,iPhone‘ erstellten Fotos zu stellen?“ – er erläutert seine Befürchtung wie folgt:
„Heute ist es Kinderpornographie und wir alle stimmen der Bekämpfung zu. Morgen sind es möglicherweise Verstöße gegen ,Corona‘-Regeln oder Drogenmissbrauch und es stimmen noch einige zu. Übermorgen ist es Tierquälerei oder wer weiß schon was. Alle gesetzestreuen Bürger begrüßen es, wenn diese Verbrechen geahndet werden. Aber wir wollen dieses Mandat den Staatsanwaltschaften, der Polizei und den Gerichten in Deutschland übertragen, nicht der US-Firma Apple.“

Neben willkürlich erweiterbarer Zensur durch Apple könnte Kontrollprogramm von Hackern missbraucht werden

Zudem warnt der TeamDrive-Chef, dass neben der willkürlich erweiterbaren Zensur durch Apple ein solches Kontrollprogramm von Hackern geentert und dazu genutzt werden könnte, in die „iPhones“ von Hunderten Millionen Menschen einzudringen. „Die Möglichkeit, in die Endgeräte einzudringen, wird Hacker rund um den Globus wie ein Magnet anziehen“, gibt Schmuck zu bedenken.
Er erinnert an den geheimen Entwurf einer geplanten Deklaration des EU-Ministerrats vom Herbst 2020, nach der die Betreiber von Ende-zu-Ende-verschlüsselten Diensten gezwungen werden sollten, den Behörden Generalschlüssel zu allen Kundendaten zu übergeben. Den damaligen Titel des EU-Resolutionsentwurfs „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ bezeichnet Schmuck als „völlig irreführend“.

Egal ob EU oder Apple – düstere Datenschutz-Prognose

Faktisch hätte eine solche Resolution das Sicherheitsniveau in der EU dramatisch verschlechtert – er appelliert an die Öffentlichkeit: „Wenn wir die Zustimmung zur Aufweichung der Ende-zu-Ende-Kommunikation dem EU-Ministerrat verweigern, sollten wie genau dies Apple erst recht nicht erlauben. Nur durch eine lückenlose Verschlüsselung ohne Ausnahmen ist die Privatsphäre bei der digitalen Kommunikation gewährleistet.“ Die EU-Mitgliedsstaaten wären nach der Resolution in der Lage gewesen, sich mit ihren Schlüsseln jederzeit und unerkannt in private Unterhaltungen und andere verschlüsselte Übertragungen einzuklinken. „Genau dieses Privileg scheint sich jetzt Apple selbst einräumen zu wollen“, so Schmucks Befürchtungen.
Für die Zukunft gibt Schmuck einen eher düsteren Ausblick: „Egal ob EU oder Apple, offenbar dürstet es den Staat und die Digitalkonzerne gleichermaßen danach, Zugang zu den privaten Daten der Bürger und Verbraucher zu bekommen. Wir sollten alle Hebel in Bewegung setzen, unsere Privatsphäre auch im Zeitalter der Digitalisierung zu bewahren.“

[datensicherheit.de, 02.02.2020] „Der Europäische Gerichtshof wird den EU-US-Datenschutzschild vermutlich 2020 für ungültig erklären. Dann stehen Millionen Unternehmen auch in Deutschland im Regen“, so TeamDrive-Geschäftsführer Detlef Schmuck.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, in die Bredouille…

Von US-basierten Cloud-Anbietern lösen und zu deutschem Anbieter wechseln!

Laut Schmuck wird der „EU-US Privacy Shield“ wohl im Laufe des Jahres 2020 vom Europäischen Gerichtshof für ungültig erklärt werden. Eine solche höchstrichterliche Entscheidung würde Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, in die Bredouille bringen, warnt der TeamDrive-Geschäftsführer.
Schmucks dringender Rat an deutsche Firmen: „Die betroffenen Unternehmen sollten sich schleunigst von US-basierten Cloud-Anbietern lösen und zu einem deutschen Anbieter wechseln.“

Entscheidung des EuGH in der Sache „Schrems II“ erwartet

Für 2020 wird demnach eine Entscheidung des Europäischen Gerichtshofs in der Sache „Schrems II“ erwartet. Der österreichische Jurist Max Schrems hatte 2013 im Lichte der Snowden-Enthüllungen Klage eingereicht, „die damit endete, dass der EuGH 2015 das bis dahin angewandte Safe-Harbor-Datenschutzabkommen zwischen der EU und den USA für ungültig erklärte“.
Die von der EU geschaffene Anschlussregelung des „EU-US Privacy Shield“ sei im Juli 2016 von der EU-Kommission genehmigt worden, um den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden, zu gewährleisten. Bereits im März 2017 habe die EU-Justizkommissarin Věra Jourová damit gedroht, die Absprachen außer Kraft zu setzen angesichts der „Unberechenbarkeit“ der Trump-Regierung in den USA. Das „Schrems II“-Verfahren werde nach weit verbreiteter Juristenmeinung 2020 diese Regelung ebenfalls zu Fall bringen.

Ein Scherbenhaufen des Datenschutzes

„Was auf den ersten Blick nach trockener juristischer Materie aussieht, wird sich für Firmen, die diese Entwicklung nicht vorhersehen, zum Datenschutz-GAU entwickeln“, befürchtet Schmuck. Er geht zudem davon aus, dass die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) zum EU-US-Datenschutz vom EuGH gekippt werden.
„Unternehmen, die sich nicht vorbereiten, werden vor einem ,Scherbenhaufen des Datenschutzes‘ stehen, weil keine der heute noch gültigen Regelungen der Überprüfung durch den Europäischen Gerichtshof standhalten dürfte“, meint Schmuck.

Weitere Informationen zum Thema:

datensicherheit.de, 27.05.2019
Internetwirtschaft diskutiert Datenschutz in Washington: EU-US Privacy Shield stärken

[datensicherheit.de, 18.09.2019] Medizinische Daten sollten grundsätzlich mit einer Ende-zu-Ende-Verschlüsselung versehen werden, sagt Datensicherheitsexperte Detlef Schmuck, Geschäftsführer der Hamburger TeamDrive GmbH. Dazu müsse Bundesgesundheitsminister Jens Spahn zügig „klare gesetzliche Vorgaben“ machen. Schmuck reagiert damit auf den jüngsten Medizindatenskandal, bei dem mehrere Millionen Patientendaten auf öffentlich zugänglichen Servern für jedermann einzusehen waren.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Patientendaten können nie hundertprozentig sicher gespeichert werden

Diebstahl nie ganz auszuschließen – aber Lesbarkeit für den Dieb

„Angesichts der Vielzahl von Datendiebstählen im großen Stil weltweit wäre es grob fahrlässig, davon auszugehen, dass Patientendaten hundertprozentig sicher gespeichert werden können. Vielmehr muss von Anfang an in die Überlegungen der Fall mit einbezogen werden, dass die Daten gestohlen und missbräuchlich verwendet werden“, betont Schmuck.
Der einzige Ausweg stelle eine lückenlose Ende-zu-Ende-Verschlüsselung dar. Dann könnten die Daten zwar immer noch gestohlen werden, aber der Dieb könne mit den Daten nichts anfangen, weil sie für ihn unlesbar seien. „Nur die Ende-zu-Ende-Verschlüsselung stellt sicher, dass die Daten ausschließlich dann lesbar sind, wenn der Patient in jedem Einzelfall ausdrücklich zustimmt.“

Ende-zu-Ende-Verschlüsselung personenbezogener medizinischer Daten jetzt verbindlich machen!

Der Hamburger Sicherheitsexperte fordert den Bundesgesundheitsminister auf, „so rasch wie möglich eine bundesweit einheitliche Regelung auf den Weg zu bringen, die die Ende-zu-Ende-Verschlüsselung personenbezogener medizinischer Daten verbindlich vorschreibt.“
Die Sicherheitskette müsse alle am Gesundheitswesen Beteiligten einbeziehen, von Arztpraxen und Apotheken über medizinische Dienstleister bis hin zu Krankenhäusern, unterstreicht Schmuck.

[datensicherheit.de, 02.04.2019] Nach aktuellen Erkenntnissen von TeamDrive wird mehr als die Hälfte der Unternehmen in Deutschland die Ausgaben für IT-Sicherheit bis 2030 verdoppeln. Dies sei ein „Schlüsselergebnis“ der aktuellen, von der Hamburger Datensicherheitsfirma gemeinsam mit der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS) herausgebrachten „IT-Sicherheitsstudie 2019“.

Schlüsselergebnis der „IT-Sicherheitsstudie 2019“

Demnach gehen 54 Prozent der Unternehmen von einer Verdoppelung aus. Weitere 14 Prozent erwarten einen Anstieg um ein Drittel, zusätzliche zwölf Prozent um die Hälfte. Mehr als drei Viertel der Firmen gingen von einem „hohen Investitionspotenzial für IT-Sicherheit“ aus.

IT-Ausgaben künftig kaum heutigem Stand zu halten

„Die deutsche Wirtschaft hat endlich erkannt, wie wichtig die IT- und Datensicherheit in einer von Digitalisierung durchzogenen Geschäftswelt ist“, erläutert der Studienleiter und TeamDrive-Geschäftsführer Detlef Schmuck. Nicht einmal ein Zehntel der Firmen erwartet laut Schmuck, die IT-Ausgaben künftig in etwa auf dem heutigen Stand halten zu können. Für diese Studie seien 100 vorwiegend mittelständische Unternehmen in Deutschland bezüglich IT- und Datensicherheit befragt worden.

Anstieg bereits für das laufende Jahr 2019 erwartet

Schon für das laufende Jahr 2019 gingen 60 Prozent der Firmen davon aus, dass die IT-Sicherheitsausgaben um mindestens ein Drittel anziehen würden. Deutlich mehr als ein Drittel (37 Prozent) gehe von einem Anstieg um die Hälfte oder noch mehr aus, knapp ein Viertel (23 Prozent) rechne mit einem Ausgabenzuwachs von einem Drittel.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2018
IT-Sicherheit: Investitionen an der falschen Stelle

datensicherheit.de, 07.03.2017
NIFIS: Massiver Anstieg der Ausgaben für IT-Sicherheit zu erwarten

datensicherheit.de, 09.04.2014
Ausgaben für IT-Sicherheit steigen weiter

[datensicherheit.de, 15.03.2019] Angesichts der Unsicherheit über das Ausscheiden Großbritanniens aus der Europäischen Union (sogenannter BrExit) werde es für die Unternehmen höchste Zeit, bei der Speicherung personenbezogener Daten zwischen Kontinentaleuropa und der EU zu unterscheiden, betont Detlef Schmuck, Geschäftsführer der Hamburger TeamDrive Systems GmbH. Der gleichnamige „Sync&Share“-Service erlaubt laut Schmuck Anwendern die genaue Festlegung, in welchem Land ihre Daten gespeichert werden. So ließen sich beispielsweise Daten von britischen Personen in Großbritannien und Daten von EU-Bürgern in Deutschland halten.

Unsicherheit, in welchen Rechtsgebieten Datenbestände vorliegen

„Kritisch wird es bei Cloud-Diensten, bei denen der Anwender nicht exakt festlegen kann, auf welchen Servern in welchen Ländern und damit auch in welchen Rechtsgebieten seine Datenbestände eigentlich liegen“, warnt der TeamDrive-Chef.

Für alle Firmen relevant, die mit Großbritannien im Austausch stehen

Die BrExit-Datenschutzfrage sei für alle Firmen relevant, die personenbezogene Daten nach Großbritannien übermitteln oder dort ansässigen Unternehmen Zugriff auf diese Daten gewähren. Typische Szenarien hierfür seien eine eigene Niederlassung in Großbritannien, ein Dienstleister auf der Insel und Online-Services, die von dort bezogen werden.

Betroffen können u.a. Kunden, Mitarbeiter oder Bewerber sein

Betroffen könnten beispielsweise Kunden, Mitarbeiter oder Bewerber sein. Sollte es zum BrExit kommen, werde Großbritannien vermutlich als ein „datenschutzrechtlich unsicheres Drittland“ eingestuft. Dem entsprechend sei mit empfindlichen Geldbußen zu rechnen, so Schmuck.

Weitere Informationen zum Thema:

datensicherheit.de, 12.02.2019
BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen

datensicherheit.de, 13.08.2018
Brexit: Über den Umgang mit britischen .eu Domain-Namen