[datenicherheit.de, 11.07.2023] Der Branchenverband Bitkom e.V. meldet, dass die EU-Kommission am 10. Juli 2023 das „Data Privacy Framework“ veröffentlicht hat. „Damit gibt es drei Jahre nachdem das ,Privacy Shield’ 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.“

Rechtssicherheit für Transfer personenbezogener Daten zwischen EU und USA erhofft

„Mit der heutigen Veröffentlichung des ,Data Privacy Frameworks’ geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen“, kommentierte Bitkom-Präsident Dr. Ralf Wintergerst.

Vor allem kleine und mittelständische Unternehmen (KMU) profitierten davon, dass künftig keine Einzelfallprüfungen mehr notwendig seien. Die mühsamen transatlantischen Verhandlungen hätten sich gelohnt und seien auch deshalb erfolgreich gewesen, weil die aktuelle US-Regierung mit einer „Executive Order“ im vergangenen Jahr – 2022 – auf die europäischen Bedenken reagiert habe und auf die EU zugegangen sei.

Gerichtliche Prüfung erwartet, ob EU-Gesetzgeber nun rechtlich belastbare Regelung gefunden hat

Sicher sei aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werde. „Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem ,Data Privacy Framework’ eine rechtlich belastbare Regelung gefunden hat.“ Datentransfers seien ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft.

Die Be- oder sogar Verhinderung von Datentransfers könne häufig nicht einfach durch alternative Lösungen kompensiert werden und stelle die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die „Unterbrechung von Lieferketten“.

Weitere Informationen zum Thema:

EUROPEAN COMMISSION, 10.07.2023
Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 10.07.2023
Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten

[datensicherheit.de, 19.10.2022] Laut einer aktuellen Meldung des Digitalcourage e.V. startet die europäischen Dachorganisation für Digitale Grundrechte EDRi (European Digital Rights) eine Kampagne gegen die Chatkontrolle: Unter dem Motto „Stop Scanning Me!“ (Hört auf, mich zu scannen!) rufen EDRi und 13 Organisationen demnach dazu auf, den Gesetzesentwurf der EU-Kommission abzulehnen. Dazu seien am 19. Oktober 2022 sowohl eine Kampagnen-Website als auch ein umfangreiches Positionspapier veröffentlicht worden, um aufzuzeigen, „warum der Verordnungsvorschlag zur Chatkontrolle weder sein erklärtes Ziel erreichen kann noch mit europäischem Recht vereinbar ist“.

Chatkontrolle – ein Verordnungsvorschlag der EU-Kommission

Bei der sogenannten Chatkontrolle handelt es sich um einen Verordnungsvorschlag der EU-Kommission, welcher weitreichende Überwachungspflichten für Online-Dienste zu sämtlichen Inhalten privater und öffentlicher Kommunikation ihrer Nutzer schaffen würde. Die EU-Kommission begründet den Aufbau dieser Überwachungsinfrastruktur mit dem Kinderschutz.

Indes: „Die Verordnung würde massiv in die Grundrechte der gesamten europäischen Bevölkerung eingreifen und eine dystopische Überwachungsinfrastruktur etablieren.“ Statt tatsächlich den Schutz von Kindern, also Prävention und Opferschutz in den Mittelpunkt ihrer Maßnahmen zu stellen, setze die EU-Kommission auf einen „technokratischen Ansatz“, der „Überwachung in demokratiegefährdendem Umfang“ ermögliche.

Chatkontrolle: Automatisierte Scannen von Nachrichten führt zu vielen Falschmeldungen

Mit dem nun vorliegenden Positionspapier würden exklusiv auch Zahlen einer Studie der irischen EDRi-Partnerorganisation ICCL (Irish Council for Civil Liberties) veröffentlicht. Eine Analyse der irischen Fallzahlen bestätige nicht nur, „dass das automatisierte Scannen von Nachrichten auf Darstellungen sexualisierter Gewalt gegen Kinder, wie sie die Chatkontrolle vorsieht, zu zahlreichen Falschmeldungen legaler Inhalte führt“.

Sie belege auch, dass die von der EU-Kommission verbreiteten Trefferquoten der eingesetzten Technologien nicht der Wahrheit entsprechen könnten. Erst kürzlich sei auch der wissenschaftliche Dienst des Bundestages zu dem Ergebnis gekommen, dass die vorgeschlagene Verordnung nicht mit europäischem Recht vereinbar wäre.

Chatkontrolle STOPPEN! – ein Bündnis gegen Überwachungspaket der EU-Kommission

In Deutschland wendet sich das Bündnis „Chatkontrolle STOPPEN!“, nach eigenen Angaben koordiniert von der Digitalen Gesellschaft, Digitalcourage und dem Chaos Computer Club, gegen das Überwachungspaket der EU-Kommission.

Das Bündnis „Chatkontrolle STOPPEN!“ erklärt: „In der gesamten Europäischen Union manifestiert sich der Protest gegen die Chatkontrolle der EU-Kommission. Die Bundesregierung muss den Überwachungsplänen der Von-der-Leyen-Kommission endlich eine eindeutige Absage erteilen und darf sich nicht länger um eine klare Positionierung winden.“

Weitere Informationen zum Thema:

EDRi, 19.10.2022
A safe internet for all: upholding private and secure communications

Stop Scanning Me
Privacy empowers, surveillance weakens

Chatkontrolle STOPPEN!
Hintergrund / Was ist das Problem und was wollen wir?

datensicherheit.de, 10.10.2022
EU-Pläne zur Chatkontrolle: 20 zivilgesellschaftliche Organisationen üben Kritik in einem gemeinsamen öffentlichen Aufruf / Überwachungsinfrastruktur von erschreckendem Ausmaß könnte in der EU etabliert werden

datensicherheit.de, 18.08.2022
Chat-Kontrolle: Guter Zweck, zweifelhafte Mittel und verhängnisvolle Folgen / IT-Sicherheitsexpertin Patrycja Schrenk warnt vor anlassloser Chat-Massenüberwachung durch Echtzeit-Scans

[datensicherheit.de, 16.09.2022] Die EU-Kommission hat am 15. September 2022 einen Vorschlag für verpflichtende gesetzliche Anforderungen hinsichtlich der Cyber-Sicherheit von Hardware- und Software-Produkten vorgelegt. Der TÜV-Verband hat den von der EU-Kommission vorgestellten Entwurf des „Cyber Resilience Act“ (CRA) im Grundsatz begrüßt, fordert aber Nachschärfungen. Die Einhaltung der Vorgaben für alle risikobehafteten Produkte sollte demnach verpflichtend von unabhängigen Stellen überprüft werden.

Cyber Resilience Act im Grundsatz begrüßt…

„Wir begrüßen das Vorhaben, erstmals grundlegende verpflichtende Cyber-Sicherheitsanforderungen für vernetzte Produkte zu schaffen“, so Marc Fliehe, Bereichsleiter „Digitalisierung und Cybersicherheit“ beim TÜV-Verband. Dieser Schritt sei längst überfällig, denn nur so könnten Unternehmen, Behörden und Bürger besser vor Cyber-Angriffen geschützt werden.
Fliehe betont: „Der ,Cyber Resilience Act’ darf aber nicht nur Anforderungen festlegen, sondern er muss auch wirksame Instrumente schaffen, mit denen die Einhaltung dieser Vorgaben verlässlich überprüft werden kann.“ Ansonsten bleibe dieser ein „zahnloser Tiger“. Cyber-Sicherheit müsse endlich integraler Bestandteil der Produktsicherheit werden, angefangen vom vernetzten Spielzeug über DSL-Router bis hin zu sicherheitsrelevanten digitalen Anwendungen in der Kritischen Infrastruktur.

Konsequente Einbindung unabhängiger Prüfstellen auch bei kritischen Cyber-Produkten

Laut dem Kommissionsvorschlag sollten Produkte in unterschiedliche Risikoklassen eingeteilt werden, allerdings auch viele Produkte mit erhöhtem Risiko („kritische Produkte“ nach Anhang III, Klasse 1) im Regelfall auf Basis einer reinen Hersteller-Selbsterklärung auf den Markt gebracht werden dürfen. Diesen Ansatz hält der TÜV-Verband nach eigenen Angaben „für verfehlt“, weil er nicht geeignet sei, das notwendige Cyber-Sicherheitsniveau von vernetzten Produkten zu gewährleisten. Eine konsequente Einbindung unabhängiger Prüfstellen bei kritischen Produkten sei zwingend erforderlich, um das notwendige Vertrauen in die Sicherheit von digitalen Technologien zu schaffen.
Positiv sieht der TÜV-Verband, „dass die EU-Kommission mit dem vorgelegten Regulierungsentwurf den gesamten Produktlebenszyklus eines digitalen Produktes in den Blick nimmt und entsprechende Sicherheitsanforderungen für die Nutzungsdauer vorsieht“. So sollten notwendige Sicherheitsupdates zukünftig über einen Zeitraum von bis zu fünf Jahren bereitgestellt werden. Dies ermögliche eine längere Nutzung der Produkte und schone Ressourcen.

Erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter

Mit dem Entwurf des „Cyber Resilience Act“ formuliere die EU-Kommission erstmals europaweit verbindliche Cyber-Sicherheitsanforderungen für Hersteller und Anbieter von „Produkten mit digitalen Elementen“. Der Verordnungsvorschlag erfasse Hard- und Software, welche als Endprodukte oder als Komponenten auf den Markt kommen. Hersteller müssten digitale Sicherheit künftig bereits bei der Produktentwicklung berücksichtigen („Security by Design“), während der Lebensdauer des Produkts auftretende Schwachstellen beheben und dafür entsprechende Sicherheitsupdates bereitstellen.
Mit diesem Gesetzesentwurf würden sich nun die EU-Mitgliedsstaaten und das Europaparlament befassen. Der TÜV-Verband werde die weitere Ausgestaltung und die anschließende Umsetzung konstruktiv begleiten. Dabei gelte es auch, die Kohärenz mit bestehenden Rechtsvorschriften zu gewährleisten.

Weitere Informationen zum Thema:

datensicherheit.de, 15.09.2022
Bitkom zum Cyber Resilience Act: Wichtiger Beitrag zur Stärkung der Cyber-Sicherheit / Indes Bitkom-Kritik an hohen bürokratischen Aufwand für Unternehmen

[datensicherheit.de, 18.08.2022] Aktuelle Pläne der EU-Kommission sehen ein neues Gesetz zur Chat-Kontrolle vor. Ziel sei es, den Kampf gegen sexuellen Missbrauch Minderjähriger voranzutreiben. Patrycja Schrenk, Geschäftsführerin der PSW GROUP, betont: „Das ist zweifelsfrei dringend notwendig.“ Indes warnt sie in diesem Zusammenhang eindringlich: „Doch erreicht werden soll dies, indem die Privatsphäre unter anderem auf unser aller Mobiltelefone ausgehebelt wird. Ob jedoch die anlasslose Massenüberwachung auch unbescholtener Bürgerinnen und Bürger die Strafverfolgung in dieser Hinsicht wirklich weiterbringt, bezweifle ich stark.“

Foto: PSW GROUP

Patrycja Schrenk: Problematisch bei den aktuell vorhandenen Technologien ist mitunter die hohe Fehlerquote…

Chat-Kontrolle meint Durchleuchten von Online-Kommunikation in Messengern, Sozialen Netzwerken und E-Mails

Es seien zweifelsohne erschreckende Zahlen der EU-Kommission: Allein im Jahr 2021 habe es 85 Millionen Meldungen von Bildern und Videos mit der Darstellung sexuellen Kindesmissbrauchs gegeben – die Dunkelziffer liege weitaus höher.

Um Kindesmissbrauch mit neuen Methoden verfolgen zu können, habe die EU-Kommission nun einen Gesetzesvorschlag zum Schutz von Kindern präsentiert: Mit der sogenannten Chat-Kontrolle – also dem Durchleuchten von Online-Kommunikation in Messengern, Sozialen Netzwerken oder auch per E-Mail – möchte die EU Algorithmen einführen, welche erkennen könnten, ob und wann Material zu Kindesmissbrauch online geteilt wird.

Technische Lösungen zur Chat-Kontrolle mit datenschutzrechtlichen Nachteilen

Um dies zu erreichen, könnte Künstliche Intelligenz (KI) zum Einsatz kommen: Der Algorithmus erkenne bereits bekanntes Material anhand eines Hashwerts, also eines einzigartigen, den Datei-Inhalt beschreibenden Wertes. Ist den Algorithmen – und damit auch den Behörden – ein Bild bekannt, auf dem Kindesmissbrauch dargestellt wird, könnten alle Bilder damit abgeglichen werden.

Um bisher nicht bekanntes Material erkennen zu können, sollten die Algorithmen mittels Machine Learning, also Maschinellem Lernen, dazulernen können. Allerdings: „Das anlasslose Scannen von Kommunikationen im Internet ist ein großer Eingriff in die Privatsphäre“, warnt Schrenk.

Konkrete technische Lösungen zur Chat-Kontrolle bisher offengelassen

Welche technischen Lösungen eingesetzt werden sollen, habe die EU-Kommission zudem offengelassen. Aktuell seien zwei Verfahren im Gespräch. So sollten entweder Anbieter Nachrichten vor dem Verschlüsseln durchleuchten, wobei möglicherweise Nachrichten dann unverschlüsselt ausgeleitet würden. Dieses „client-side scanning“ (CSS) sei indes gefährlich für die IT-Sicherheit:

Staatliche Stellen erhielten Zugang zu privaten Inhalten, „so dass es sich um Abhöraktionen handelt“. Viele Nutzergeräte wiesen zudem Schwachstellen auf, welche durch die Überwachungs- und Kontrollmöglichkeiten des CSS von weiteren Akteuren ausgenutzt werden könnten. CSS schwäche aber auch die Meinungsfreiheit und Demokratie: Einmal eingeführt, werde es schwer, sich gegen etwaige Ausweitungen zur Wehr zu setzen oder Kontrolle über den Missbrauch des Systems zu erhalten, so Schrenk.

Hintertür im Messenger zur Chat-Kontrolle erwogen

Ein zweites Verfahren wäre die Aushebelung der Verschlüsselung durch die Messenger-Dienste selbst. Hierzu möchte die EU Anbieter zu einer „Hintertür“ im Messenger verpflichten, „so dass über diese auf die Inhalte des Smartphones zugegriffen werden kann“.

Davon betroffen seien Host-Provider, einschließlich Foto- und Video-Plattformen, Zugangs-Provider, App-Store-Betreiber sowie interpersonelle Kommunikationsdienste wie Messenger und E-Mail. Diesen Diensten solle vorgeschrieben werden, Chats, Nachrichten sowie E-Mails mittels KI nach verdächtigen Inhalten zu durchleuchten. Als verdächtig erkannte Inhalte sollten an Strafverfolgungsbehörden weitergeleitet werden, um den Anfangsverdacht zu überprüfen.

Konsequenz: Harmlose Nachrichten, Chats, Videos oder Fotos von Unschuldigen gesichtet und unnötig verbreitet

„Problematisch bei den aktuell vorhandenen Technologien ist mitunter die hohe Fehlerquote: Auch irrtümliche Treffer müssen an die Strafverfolgungsbehörden gesendet werden, so dass harmlose Nachrichten, Chats, Videos oder Fotos von Unschuldigen gesichtet und unnötig verbreitet werden“, erläutert Schrenk. In der Praxis bedeute dies: Personen, die im geplanten EU-Zentrum arbeiten, müssten falsch-positives Material händisch aussortieren. Damit bekämen Ermittler auch legale Aufnahmen Minderjähriger zu sehen.

„Falsch-positive Ergebnisse entstehen, weil die scannende KI den Kontext nicht versteht: Verbringt eine Familie den Sommer am Strand und schickt einander die entstandenen Fotos zu, landen diese unter Umständen in der EU-Zentrale und bei Europol. Privatsphäre sieht anders aus.“ Schrenk kommentiert weiter: „Was folgt, könnte eine nie da gewesene Massenüberwachung aller Bürgerinnen und Bürger sein – anlasslos und vollautomatisiert. Damit würde das Recht auf Verschlüsselung ausgehebelt und das digitale Briefgeheimnis abgeschafft werden.“

Algorithmen zur Chat-Kontrolle weder Öffentlichkeit noch Wissenschaft zugänglich

„Wir dürfen uns auch nichts vormachen: Maschinell nach Grooming-Versuchen oder derzeit unbekannten Missbrauchsdarstellungen suchen zu wollen, ist rein experimentell – auch, beziehungsweise gerade, unter Verwendung von KI. Denn die Algorithmen, die dabei eingesetzt werden, sind weder der Öffentlichkeit noch der Wissenschaft zugänglich.“ Schrenk kritisiert hierzu: „Und eine Offenlegungspflicht ist in dem Gesetzentwurf nicht zu finden.“

Kommunikationsdienste, die für Grooming-Versuche missbraucht werden könnten – und darunter fielen alle Kommunikationsdienste – müssten Altersverifikationen der Nutzern durchführen. „Das geht nur, wenn diese sich ausweisen. Damit wird die anonyme Kommunikation de facto unmöglich gemacht, was gerade Menschenrechtler, Whistleblower, politisch Verfolgte, Journalisten oder marginalisierte Gruppen bedrohen könnte“, moniert Schrenk nachdrücklich.

Chat-Kontrolle stellt alle unter Generalverdacht:

Die Selbsteinschätzung „Ich habe aber nichts zu verbergen“ sei falsch. Aus Datenschutzsicht sei der Entwurf zum Chat-Kontrolle-Gesetz nämlich katastrophal, denn jeder stehe unter Generalverdacht: „Wer glaubt, er oder sie hätte nichts zu verbergen, sollte darüber nachdenken, dass im Falle einer Chat-Kontrolle alle E-Mails und Chats automatisch auf verdächtige Inhalte durchsucht werden. Es existiert dann keine vertrauliche und geheime Kommunikation mehr.“

Schrenk führt aus: „Gerichte müssen derlei Durchsuchungen nicht mehr anordnen, sie geschehen automatisiert.“ Sie nennt auch die weitreichenden Konsequenzen: „Harmlose Familienfotos vom Strandurlaub werden höchstwahrscheinlich falsch-positiv anschlagen und von internationalen Ermittelnden angesehen.“ Ein Urlaubsfoto, vom Sprössling am Strand an die Oma versendet, mache diese schon verdächtig.

Chat-Kontrolle könnte staatlichen Akteuren wie Geheimdiensten, aber auch Cyber-Kriminellen Zugriff verschaffen

Kommt die Chat-Kontrolle, könnten außerdem weitere staatliche Akteure wie Geheimdienste oder auch Cyber-Kriminelle auf privaten Chats und E-Mails zugreifen. „Etabliert sich die Technologie zur Chat-Kontrolle, ist es einfach, sie auch für andere Zwecke einzusetzen. Die erzwungene ,Hintertür’ ermöglicht nämlich das Überwachen bislang sicher verschlüsselter Kommunikationen auch für andere Zwecke.“ Den Algorithmen sei es egal, „ob sie nach Kindesmissbrauch, Drogenkonsum oder nach unliebsamen Meinungsäußerungen suchen“. In einigen Staaten der EU sei es beispielsweise nicht normal, zur „LGTPQ+“-Bewegung zu gehören. Tatsächlich verwendeten autoritäre Staaten derlei Filter zur Verfolgung und Verhaftung Andersdenkender, so Schrenk.

Schlimmstenfalls schade die Chat-Kontrolle sogar bei der Verfolgung von Kindesmissbrauch, denn Ermittler seien mit oftmals strafrechtlich irrelevanten Meldungen überlastet. „Überdies werden Missbrauchstäter nicht getroffen: Schon jetzt nutzen sie in aller Regel keine kommerziellen Online-Dienste, sondern richten eigene Foren ein. Dort laden sie Bild- und Videomaterial häufig als verschlüsseltes Archiv hoch und teilen nur Links und Passwörter.“ Die Algorithmen der Chat-Kontrolle funktionierten dort nicht. „Sorgen bereitet mir zudem, dass die Strafverfolgung privatisiert würde. Denn dann entscheiden Algorithmen großer Tech-Giganten, welche Inhalte als verdächtig gelten“, gibt Schrenk abschließend zu bedenken.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 25.07.2022
Pandoras Büchse oder: Die Chatkontrolle – Massenüberwachung durch Echtzeit-Scans

datensicherheit.de, 17.06.2022
Digitalcourage zeigt Engagement, um geplante Chat-Kontrolle zu verhindern / Der Digitalcourage e.V. ruft zur Mithilfe auf

datensicherheit.de, 08.06.2022
Offener Brief an EU: Über 70 Organisationen fordern Rückzug der Chat-Kontrolle / Von EU-Kommission vorgeschlagene Maßnahmen von weiten Teilen der Zivilgesellschaft als grundrechtswidrige Massenüberwachung abgelehnt

datensicherheit.de, 18.05.2022
Chat-Überwachung: Appell an Innenministerin Faeser die drohende Massenüberwachung zu verhindern / Mehr als 113.000 Menschen unterstützen bereits den Aufruf zum Stopp der Chat-Überwachung

[datensicherheit.de 28.06.2020] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt nach eigenen Angaben den Evaluierungsbericht der Europäischen Kommission zur Datenschutz-Grundverordnung (DSGVO): Dieser Bericht sei ein wichtiger Schritt zur weiteren Vereinheitlichung und verbesserten Durchsetzung des Datenschutzes.

Foto: Bundesregierung/Kugler

Professor Ulrich Kelber: DSGVO weltweit als Vorbild für neue gesetzliche Regelungen etabliert

Wichtigste Zielsetzungen der DSGVO erreicht

„Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotenzial. Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert“, bilanziert Professor Kelber.

Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden

Wesentliche Kernaussagen ihrer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz fänden sich auch im Bericht der Kommission. „Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Europäische Kommission äußert sich nicht zu Scoring und Profiling

Der BfDI führt weiter aus: „Es war abzusehen, dass der Gesetzestext der DSGVO nach derzeitigem Stand nicht geändert werden soll. Kritisch sehe ich hingegen, dass die Europäische Kommission sich zu einigen Herausforderungen für den Datenschutz nicht äußert, wie zum Beispiel zum Thema ,Scoring‘ und ,Profiling‘“.

Besondere Schutzmaßnahmen bei Datenübermittlung in Drittstaaten gefordert

Die Europäische Kommission fordere in ihrem Evaluationsbericht außerdem den Europäischen Datenschutzausschuss (EDSA) auf, die Arbeiten zu bestimmten Themen zu intensivieren. Dazu zählten beispielsweise die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltlichen Abstimmung bei der Genehmigung sogenannter Binding Corporate Rules. Der EDSA habe bereits vor Veröffentlichung des Berichts und trotz der „Corona-Pandemie“ seine Arbeiten mit Nachdruck vorangetrieben.

Datenschutzaufsichtsbehörden müssen angemessen ausgestattet sein

Das Dokument enthält demnach auch eine der Kernforderungen des BfDI: „Die Datenschutzaufsichtsbehörden müssen finanziell, personell und technisch angemessen ausgestattet werden. Es ist Zeit, dass die verschiedenen Regierungen endlich handeln“, betont Professor Kelber.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt / Prof. Dr. Johannes Caspar kritisiert „verpasste Chance zum Nachsteuern“

[datensicherheit.de, 25.06.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht in einer aktuellen Stellungnahme auf die DSGVO-Evaluation ein. Nach seiner Einschätzung handelt es sich um eine „verpasste Chance zum Nachsteuern“.

Foto: HmbBfDI

Prof. Dr. Johannes Caspar: Chance für Nachsteuern im Rahmen dieses Evaluationsberichts leider nicht genutzt!

DSGVO: Im Wesentlichen positives Fazit der EU-Kommission

Der am 24. Juni 2020 veröffentliche Bericht der EU-Kommission zur Bewertung und Überprüfung der Datenschutzgrundverordnung (DSGVO) ziehe im Wesentlichen ein positives Fazit. Doch die Gelegenheit, nach nun schon mehr als zwei Jahren DSGVO-Praxis mit neuen Vorschlägen erkennbare Fehlentwicklungen zu korrigieren, werde jedoch nicht genutzt, kritisiert Professor Caspar.
Insbesondere falle die Beschäftigung der Kommission mit den Regelungen des Kapitels VII über die aufsichtsbehördliche Zusammenarbeit und Kohärenz, die nach Art. 97 Abs. 2 DSGVO eigentlich einen Schwerpunkt der Evaluation hätte sein sollen, eher enttäuschend aus.

Kontrolle der grenzüberschreitenden Datenverarbeitung gemäß DSGVO große Herausforderung

Dabei sei der Ansatz, bei der Kontrolle der grenzüberschreitenden Datenverarbeitung auf ein kooperatives Verwaltungsverfahren zu setzen, bei dem alle Aufsichtsbehörden der Mitgliedstaaten zu beteiligen seien, eine der tiefgreifendsten Änderungen, welche die DSGVO mit sich bringe. Dahinter verberge sich ein detailliertes Geflecht von Normen, welche ein komplexes Zusammenspiel von in unterschiedlichen Funktionen involvierten Behörden untereinander und gegenüber dem Europäischen Datenschutzausschuss als höchste Entscheidungsinstanz für Auslegungsfragen enthielten.

Nach über zwei Jahren DSGVO-Erfahrung „massive aufsichtsbehördliche Ladehemmungen“

„Unübersehbar bestehen nach zwei Jahren Erfahrung mit diesem Ansatz massive aufsichtsbehördliche Ladehemmungen bei der grenzüberschreitenden Datenverarbeitung. Gerade gegenüber global agierenden großen Internetdiensten und Plattformen, für deren bessere Regulierung zum Schutz Betroffener die DSGVO nicht zuletzt geschaffen wurde, erweist sie sich bislang als stumpfes Schwert“, führt der HmbBfDI aus.

Internetkonzerne trotz zahlreicher massiver Vorfälle und DSGVO kaum betroffen

Anders als kleine und mittlere Unternehmen (KMU) hätten die globalen Internetkonzerne trotz zahlreicher massiver Datenschutzvorfälle in den letzten beiden Jahren keine entsprechende Regulierung durch die Aufsichtsbehörden erfahren, sehe man einmal von dem 50 Millionen Euro Bußgeld der CNIL gegen Google ab. Dies sei jedoch ein rein nationales Verfahren, da bislang keine Hauptniederlassung der verantwortlichen Stelle in Europa bestanden habe.

Bearbeitung von Beschwerden seit DSGVO-Inkrafttreten unzureichend

Die Bearbeitung von Beschwerden, die vor allem von zivilgesellschaftlichen Organisationen stellvertretend für viele Nutzer in Europa zu Beginn der DSGVO erhoben worden seien, lasse weiterhin auf sich warten. Es sei zu begrüßen, dass die EU-Kommission in ihrem Evaluationsbericht eine „bessere Ausstattung der Aufsichtsbehörden in den Mitgliedstaaten“ fordert. Häufig seien ihre personellen und finanziellen Ressourcen defizitär. So auch in Deutschland, wo der Vollzug der Regelungen aus guten Gründen überwiegend bei den Aufsichtsbehörden der Länder liege. Die Gründe für die Schwierigkeiten bei der grenzüberschreitenden Kontrolle der Datenverarbeitung allein auf die schlechte Ausstattung der Behörden zurückzuführen, greife jedoch deutlich zu kurz. Hierfür erweisen sich laut dem HmbBfDI vielmehr folgende Ursachen als verantwortlich:

• die Regelungen zum „One Stop Shop“, wonach eine Behörde am Ort der Hauptniederlassung eines Unternehmens in der EU federführend für dessen gesamte Datenverarbeitung zuständig ist, ohne dass hierfür klare Fristen vorgegeben sind,
• ein überaus bürokratisches Beteiligungsverfahren zwischen den Aufsichtsbehörden im Vollzug,
• die fehlenden Handlungsoptionen gegenüber federführenden Aufsichtsbehörden, solange sie keine Entscheidungsvorschläge in das Verfahren einbringen,
• voneinander massiv abweichende nationale Verfahrensvorschriften, deren Vereinbarkeit mit der DSGVO mitunter zweifelhaft sind,
• unterschiedliche Auffassungen über das Verständnis von Ordnungsrecht und der Verhängung von Sanktionen zwischen den europäischen Datenschutzbehörden.

DSGVO weist im Bereich des Rechtsvollzugs „unübersehbare legislative Dysfunktionalitäten“ auf

„Die positive Funktion der Datenschutzgrundverordnung als gesamteuropäischer Entwurf und Leuchtturmprojekt zum Schutz von Rechten und Freiheiten im Digitalen Zeitalter ist nicht zu bezweifeln. Klar ist aber auch, dass die DSGVO im Bereich des Rechtsvollzugs unübersehbare legislative Dysfunktionalitäten aufweist. Wir brauchen künftig Regelungen der Zuständigkeiten, die die europäischen Aufsichtsbehörden nicht behindern und für ein Forum Shopping der Internetkonzerne keinen Raum bieten“, erläutert Professor Caspar.

Anpassungsbedarf einiger Vorschriften der DSGVO steht „außer Frage“

Das derzeitige Regelungsinstrumentarium führe zu einem „Datenschutzvollzug der zwei Geschwindigkeiten“: Während nationale Verfahren häufig zügig und mit zum Teil sehr hohen Bußgeldern endeten, hingen die schwerwiegenden grenzüberschreitenden Fälle unter Beteiligung aller Datenschutzbehörden jahrelang in der „Mühle eines bürokratischen Verfahrens“ und absorbierten die Kraft und Ressourcen der Behörden. Ein wirksamer Schutz von Rechten und Freiheiten Betroffener aber auch ein fairer Wettbewerb auf dem Digitalen Markt ließen sich so nicht herstellen. Der HmbBfDI fordert eine kritische Analyse, ohne das Regelungsprojekt aufs Spiel zu setzen. „Auch wenn ein systemisches Umsteuern derzeit noch nicht ansteht: Der Anpassungsbedarf einiger Vorschriften der DSGVO steht außer Frage. Die Chance für ein Nachsteuern wurde im Rahmen dieses Evaluationsberichts leider nicht genutzt.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.06.2020
BfDI: DSGVO-Bilanz positiv, aber Verbesserungspotenzial

[datensicherheit.de, 12.09.2018] Der eco – Verband der Internetwirtschaft e.V. (eco) meldet Bedenken hinsichtlich der Pläne der EU-Kommission zur Bekämpfung sogenannter terroristischer Inhalte an und kritisiert die Novelle zum Urheberrecht vom 12. September 2018. Auch der Digitalverband Bitkom e.V. kritisiert die Neufassung des Urheberrechts heftig.

Regulatorischer Vorstoß der EU-Kommission „nicht nachvollziehbar“

Laut eco möchte die EU-Kommission im Kampf gegen „terroristische Inhalte im Netz“ jetzt regulatorische Maßnahmen ergreifen und hat hierzu am 12. September 2018 einen entsprechenden Gesetzesvorschlag präsentiert.
Für den eco-Vorstandsvorsitzenden, Oliver Süme, ist dieser Versuch der EU-Kommission zur Regulierung insbesondere deshalb „nicht nachvollziehbar“, weil die Plattformen-Anbieter in kurzer Zeit deutliche Fortschritte bei der Bekämpfung illegaler Inhalte erzielt hätten. Dies zeige beispielsweise der aktuelle EU-Transparenzbericht ganz deutlich.
„Die Unternehmen haben sich zahlreiche Selbstverpflichtungen auferlegt und arbeiten so intensiv wie nie zuvor mit Politik und Strafverfolgung zusammen. Denn es ist doch ganz klar, kein seriöses Unternehmen duldet eindeutig rechtswidrige Inhalte auf seinen Seiten. Es herrscht weltweit Konsens darüber, dass terroristische Verbrechen auf das Schärfste zu verurteilen und zu bekämpfen sind“, erläutert Süme.

Das Internet wird „kaputt gefiltert“

Am 12. September 2018 hat das EU-Parlament zudem erneut über die Novelle zum Urheberrecht abgestimmt. Bislang hatte das Europaparlament die präsentierten Reformpläne zum Urheberrecht – mit einem Leistungsschutzrecht für Presseverlage sowie einem Uploadfilter – abgelehnt. Heute stimmten jedoch nach eco-Angaben 438 Abgeordnete für den Ausschussbericht bzw. die Erteilung eines Mandats für „Trilog“-Verhandlungen mit der Kommission und dem Rat, 226 Parlamentarier dagegen, 39 enthielten sich.
Süme zeigt sich enttäuscht über den Ausgang der Abstimmung: „Wir haben für ein modernes Urheberrecht gekämpft, das dem Digitalen Zeitalter gerecht wird. Doch mit der heutigen Entscheidung hat das EU-Parlament dem Urheberrecht einen gehörigen Tritt Richtung Steinzeit verpasst.“ Gleichzeitig ignoriere es sämtliche Potenziale der digitalen Wirtschaft, bremse die Digitalisierung der Gesellschaft und die Entwicklung neuer innovativer Geschäftsmodelle europaweit aus – „nur um traditionelle Industrien und veraltete Geschäftsmodelle zu schützen“. Sümes Kommentar: „Diese Entscheidung führt dazu, dass das Internet kaputt gefiltert wird.“

Internetbasierte Nutzungsformen sollten eigentlich vereinfacht werden!

Dabei hätten sich die Ansprüche der Nutzer und der Markt längst weiterbewegt. „Der Urheberschutz ist ein hohes Gut, aber er darf nicht zum Vorwand werden, um digitale Innovation der Zukunft auszubremsen“, unterstreicht Süme.
Internetbasierte Nutzungsformen sollten doch vereinfacht werden, und vor allem müssten urheberrechtliche Vorgaben für Anbieter neuer Geschäftsmodelle einfach handhabbar sein. „Nur so schaffen wir ein gesundes Umfeld für innovative europäische Unternehmen und verpassen im internationalen Vergleich nicht den Anschluss.“

Vorabkontrolle von Inhalten und Aufbau von Zensurinfrastrukturen

Mit dieser Urheberrechtsreform nach den Vorstellungen des Berichterstatters Axel Voss drohe jetzt aber der „massive Eingriff in die technische Grundstruktur des Internets und in die Grundrechte, der klar einen Paradigmenwechsel nach sich ziehen wird und zu einer Vorabkontrolle von Inhalten und Zensurinfrastrukturen führt“.
Süme warnt: „Das Internet wird sich fundamental verändern. Es droht eine einschneidende Verletzung rechtsstaatlicher Prinzipien, wenn zukünftig Unternehmen und nicht Gerichte darüber entscheiden, was wir im Internet sehen, hören und lesen dürfen.“
Zudem würde ein europäisches Leistungsschutzrecht die Digitalisierung der Verlags- und Nachrichten-Branche weiter verzögern, Innovation behindern und zum Wettbewerbsnachteil für den Investitionsstandort Europa werden – dies habe schon in Deutschland und Spanien „keine Vorteile für Presseverlage“ gebracht.

Digitale Transformation der Branche wird eher ausgebremst als gefördert

Zur Abstimmung im Europäischen Parlament über einen Richtlinienentwurf zum Urheberrecht am 12. September 2018 hat auch der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder, Stellung bezogen:
„Mit seiner heutigen Entscheidung legt das Europäische Parlament dem digitalen Teil der Kreativwirtschaft Steine in den Weg. Die Digitale Transformation der Branche wird eher ausgebremst als gefördert.“
Der Bitkom appelliert an den Ministerrat und die Bundesregierung, in den nun anstehenden Verhandlungen die Entwicklung Künstlicher Intelligenz, die Relevanz von Plattformreichweite für neue Künstler und Kreative sowie die Meinungsfreiheit in den Blick zu nehmen und zu verteidigen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung / Oliver Süme: „Die digitale Transformation muss gelingen!“

datensicherheit.de, 23.08.2018
#SaveYourInternet: Gegen die Zensur des freien Internets

datensicherheit.de, 05.07.2018
Urheberrechtsreform: Europäisches Parlament stimmt im September 2018 ab / Upload-Filterpflicht zunächst abgewiesen – Bitkom und Digitalcourage beziehen Stellung zur aktuellen Entscheidung

datensicherheit.de, 29.06.2018
2% der MEPs könnten das Internet zerstören

datensicherheit.de, 24.06.2018
Bitkom-Kritik an Entwurf zur neuen EU-Urheberrechtsrichtlinie

[datensicherheit.de, 11.10.2016] Im Sommer 2017 tritt die neue EU-Roaming-Verordnung in Kraft, wonach Roaming-Gebühren für Handytelefonate im EU-Ausland wegfallen. Um Missbrauch zu verhindern, hat nach Angaben des Verbraucherzentrale Bundesverbands e.V. (vzbv) die EU-Kommission einen Entwurf zur Ausgestaltung der Regelung über die angemessene Nutzung (Fair-Use) vorgelegt, der nun aus verbraucherpolitischer Sicht in zweiter Ausgestaltung positiv angepasst worden sei.

Bekämpfung von Missbrauch

Die EU-Kommission sehe nun weder eine mengenmäßige, noch eine zeitliche Beschränkung des Roamings zu Inlandspreisen vor, sondern ziele alleine auf die Bekämpfung von Missbrauch.

Nachweis bei den Anbietern

Mit diesem Ansatz rücke die EU-Kommission davon ab, alle Verbraucher unter Generalverdacht zu stellen. Für die Missbrauchsbekämpfung sollen Mobilfunkanbieter eine Reihe von Indikatoren an die Hand bekommen, mit deren Hilfe sie dagegen vorgehen könnten. Der vzbv begrüßt nach eigenen Angaben, dass die Pflicht, Missbrauch nachzuweisen, künftig bei den Anbietern liegt.

[datensicherheit.de, 13.09.2013] Der Chef der Senatskanzlei des Landes Berlin, Björn Böhning, kritisiert den von der EU-Kommission am 13. September 2013 vorgestellten Verordnungsentwurf für einen gemeinsamen Telekommunikationsmarkt mit dem Titel „Proposal for a Regulation of the European Parliament and of the Council laying down measures to complete the European single market for electronic communications and to achieve a Connected Continent“.
Der Entwurf der EU-Kommission sei vorgelegt, nun müssten EU-Parlament und auch die Bundesregierung die Regeln für mehr Netzneutralität auf EU-Ebene schärfen, fordert Böhning. Das vermeintliche Ziel, den Schutz der Netzneutralität unionsweit gesetzlich zu verankern, werde mit diesem Entwurf jedenfalls verfehlt. Die vorgeschlagenen Regelungen führten zu einer Abkehr von der Netzneutralität, warnt Böhning.
Den Telekommunikationsunternehmen werde größtmögliche Freiheit eingeräumt. So dürften diese gegen Bezahlung Daten im Netz auf einer Überholspur, als sog. „Spezialdienste“, befördern. Finanzkräftige Unternehmen könnten ihre Inhalte somit schneller und bevorzugt zum Nutzer bringen lassen. Böhning kritisiert die Ausrichtung des Verordnungsentwurfes – allein unternehmerische Interessen schienen bei der Ausarbeitung des Entwurfes zentral gewesen zu sein. Da fiele das Interesse des Informationsaustausches und auch die Klarheit der Regeln für mehr Netzneutralität wohl unter den Tisch – dies sei nicht hinzunehmen.
Der Verordnungsentwurf enthält die Einschränkung, dass die Bereitstellung der in Rede stehenden Spezialdienste die allgemeine Qualität des Zugangs zum Internet nicht in wiederholter oder fortgesetzter Weise beeinträchtigen dürften. Diese Einschränkung führe allerdings auch nicht zu einem ausreichenden Schutz der Netzneutralität, denn wann solch eine Beeinträchtigung vorliege, sei noch unklar und müsse voraussichtlich gerichtlich geklärt werden.

[datensicherheit.de, 01.12.2009] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, sieht nach der Billigung des SWIFT-Abkommens durch den Rat der Europäischen Justiz- und Innenminister am 30.11.2009 zahlreiche offene Fragen:
Die Vertreter der Kommission und des Rates hätten diese Fragen auch bei der Sitzung der Artikel 29-Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten am 1. Dezember 2009 nicht befriedigend beantworten können.

Foto: BfDI

So stellt sich die Frage nach der Rolle des Europäischen Parlaments – Kommission und Rat legten Wert auf die Feststellung, dass dieses dem Abkommen noch zustimmen solle, obwohl es schon am 1. Februar 2010 vorläufig in Kraft tritt.
Auch die Öffentlichkeit der Vereinbarungen sei zu diskutieren – zwar habe der Rat das fertige Abkommen inzwischen auf seiner Website veröffentlicht; wichtige Aspekte würden jedoch in vertraulichen Zusatzvereinbarungen geregelt, die offensichtlich auf Dauer nicht öffentlich werden sollten. Wie aber könnten Parlamente, Öffentlichkeit, Banken und Betroffene erkennen, ob die Umsetzung des Abkommens rechtmäßig erfolge, wenn wichtige Rechtsgrundlagen geheim blieben, fragt Schaar.
Es sei zu befürchten, dass die Übermittlung einer Vielzahl von Daten über Zahlungsvorgänge mit nur marginalem, indirektem oder sogar nur mutmaßlichem Bezug zum „Terrorismus“ in die USA erfolgen werde. Viele dieser Daten würden voraussichtlich auch dann für mehrere Jahre gespeichert bleiben, wenn sich nach der Übermittlung keine ergänzenden und weiterführenden Anhaltspunkte für einen Terrorismusbezug ergäben.
Nach den Äußerungen von Regierungs- und Ratsvertretern sollten innereuropäische Überweisungen ausgenommen sein. Im Abkommen finde sich davon allerdings nichts. Offenbar enthielten die geheimen Zusatzdokumente entsprechende Festlegungen bezüglich SEPA. Demnach blieben aber sonstige innereuropäische und sogar innerstaatliche Überweisungsdaten im Zugriff von US-Behörden, die außerhalb von SEPA durch SWIFT abgewickelt würden.
Angeblich solle die Weiterleitung von Daten durch die US-Behörden an Drittstaaten außerhalb der EU ausgeschlossen sein – im Abkommen finde sich dazu allerdings keine Bestätigung.
Das Abkommen enthalte keine Regelungen zur Information der Bankkunden. Damit werde ein wesentlicher Datenschutzgrundsatz, die Transparenz der Datenverarbeitung, missachtet. Ebenso würden den Bankkunden Auskunftsrechte über die Daten vorenthalten.
Die Betroffenen hätten keine Möglichkeit, die Verarbeitung ihrer Daten durch US-Behörden vor US-Gerichten überprüfen zu lassen. Wie lasse sich dies mit den allgemeinen Grundsätzen des Rechtsstaats vereinbaren?

Weitere Informationen zum Thema:

BfDI , 01.12.2009
Finanzdaten/SWIFT – offene Fragen

datensicherheit.de, 01.12.2009
SWIFT-Abkommen mit USA durchgewinkt: Enthaltung der Bundesregierung bei Abstimmung / Auch der Bundesverband der Deutschen Industriewarnt warnt vor Wirtschaftsspionage

COUNCIL OF THE EUROPEAN UNION, 27.11.2009
COUNCIL DECISION on the signing, on behalf of the European Union, of the Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for purposes of the Terrorist Finance Tracking Program