[datensicherheit.de, 01.08.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in einer aktuellen Meldung die „Gemeinsame Stellungnahme der deutschen Datenschutzaufsichtsbehörden zu Datenübermittlungen in Drittstaaten nach dem einschlägigen EuGH-Urteil“ thematisiert. Mit dem Urteil des Europäischen Gerichtshofs (C-311/18 vom 16.7.2020) hatte dieser Datenübermittlungen in die USA auf der Grundlage des „Privacy Shield“ für unzulässig erklärt und hinsichtlich alternativ bestehender Instrumente gegebenenfalls zusätzliche Maßnahmen gefordert.

Am 29. Juli 2020 gemeinsame Stellungnahme zu Auswirkungen des EuGH-Urteils

Die in der „Datenschutzkonferenz“ zusammengeschlossenen unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben demnach am 29. Juli 2020 in einer gemeinsamen Presseerklärung die Auswirkungen des EuGH-Urteils erläutert.
Mit diesem EuGH-Urteil seien Datenübermittlungen in die USA auf Grundlage des Privacy Shield für unzulässig erklärt sowie hinsichtlich der alternativ bestehenden Instrumente – der „Standard-Vertragsklauseln“ und der „Verbindlichen Unternehmensregeln“ – abhängig von der konkreten Konstellation zusätzliche Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus gefordert worden.

Klare Stellungnahme: Gemeinsame Haltung dargestellt, Konsequenzen angekündigt

Der LfDI RLP, Prof. Dr. Dieter Kugelmann, betont: „Die Auswirkungen des Urteils können angesichts weithin digitalisierter Geschäftsprozesse und einer global vernetzten Wirtschaft für viele Unternehmen erheblich sein.“
Daher komme es jetzt darauf an, zeitnah die betroffenen Datenverarbeitungen zu überprüfen und gegebenenfalls notwendige Umstellungen vorzunehmen, um als Unternehmen rechtssicher zu agieren. „Die deutschen Datenschutzaufsichtsbehörden haben ihre gemeinsame Haltung klargestellt und werden weitere Konsequenzen ziehen“, unterstreicht Professor Kugelmann.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 28.07.2020
Urteil des Europäischen Gerichtshofszur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger

InfoCuria, 16.07.2020
URTEIL DES GERICHTSHOFS (Große Kammer) … In der Rechtssache C-311/18

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Datenübermittlungen in Drittländer / FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020

edpb, European Data Protection Board, 23.07.2020
Frequently Asked Questionson the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

[datensicherheit.de, 17.09.2019] Der Verbraucherzentrale Bundesverband (vzbv) berichtet, dass die Bundesregierung „mit der Umsetzung des neuen EU-Urheberrechts begonnen“ habe. Das Thema sei brisant: „Vor einem halben Jahr gab es deutschlandweite Proteste gegen ,Uploadfilter‘. Gemeint ist damit eine Filtersoftware, mit der bestimmte Dienste-Anbieter Urheberrechtsverletzungen auf ihren Internet-Seiten ausschließen und entsprechende Inhalte löschen sollen.“ Der vzbv erhebt nach eigenen Angaben in einer beim Bundesministerium der Justiz und für Verbraucherschutz (BMJV) eingereichten Stellungnahme vier Kernforderungen:

Umstrittene Filterpflicht möglichst zurückhaltend umsetzen!

Die umstrittene Filterpflicht (Art. 17, „Uploadfilter“) sei möglichst zurückhaltend umzusetzen. Eine allgemeine Überwachungspflicht auf den betroffenen Plattformen müsse verhindert werden.

Unberechtigtes Löschen oder Sperren vermeiden!

Unberechtigtes Löschen oder Sperren von Inhalten müsse vermieden werden. Nötig seien deshalb Sanktionen für (wiederholt) falsche Angaben oder den Missbrauch des Meldesystems.

Strafgebühren für übereifrige Webplattformen!

Wirksame Beschwerdeverfahren seien wichtig. Es handele sich dabei aber immer um Maßnahmen, die im Nachhinein, also nach Sperrung oder Löschung ansetzten. Für den Nutzer sei dies häufig schon zu spät. Entscheidend sei ein Gegenrisiko für Plattformen: Wer „zu viel“ oder „zu leichtfertig“ löscht, sollte mit Strafgebühren rechnen müssen.

Erlaubte Nutzung urheberrechtlich geschützter Inhalten muss erkannt werden!

Die gegenwärtigen Uploadfilter seien nicht gut genug, um die erlaubte Nutzung von urheberrechtlich geschützten Inhalten zu erkennen. Das könnten zum Beispiel Zitate, Satire, Parodien oder Nachahmungen sein. Darauf müsse der Gesetzgeber eine überzeugende Antwort finden, zum Beispiel in Form von „Schwellenwerten“ oder „Pre-flagging“. Der vzbv fordert zudem, „das Konzept der ,Pastiche‘ (wie zum Beispiel die Mischung von Kunststilen) für ,user generated content‘ nutzbar zu machen“.

Weitere Informationen zum Thema:

datensicherheit.de, 09.09.2019
eco kritisiert: Urheberrecht-Richtlinie wird Internet für immer verändern

datensicherheit.de, 06.06.2019
EU-Urheberrecht tritt in Kraft: eco fordert Augenmaß

datensicherheit.de, 08.03.2019
Urheberrechtsreform: Protestabschaltung bei Wikipedia Deutschland

atensicherheit.de, 26.02.2019
Urheberrecht: Warnung vor datenschutzrechtlichen Risiken

datensicherheit.de, 17.02.2019
Upload-Filter: Faires europäisches Urheberrecht wird verspielt

datensicherheit.de, 14.02.2019
Trilog-Kompromiss für Europäische Urheberrechtsreform ausgehandelt

datensicherheit.de, 21.01.2019
eco: Chance für ein faires europäisches Urheberrecht nutzen

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung

[datensicherheit.de, 10.12.2018] Der verbraucherzentrale Bundesverband (vzbv) hat nach eigenen Angaben im Innenausschuss des Deutschen Bundestags zur Anpassung des deutschen Datenschutzrechts Stellung genommen. Diskutiert worden seien dabei auch Vorschläge, wonach es Wettbewerbs- und Verbraucherverbänden nicht mehr möglich wäre, Datenschutz-Verstöße nach dem Gesetz gegen Unlauteren Wettbewerb (UWG) vor Gericht zu bringen.

Große Digitalkonzerne wirksam auf Einhaltung von Datenschutzregeln verpflichten!

Jutta Gurkmann, Bereichsleiterin im vzbv, kommentiert: „Verbraucherverbänden muss es weiterhin möglich sein, große Digitalkonzerne wirksam auf die Einhaltung von Datenschutzregeln zu verpflichten. Hierfür brauchen wir ein starkes Verbandsklagerecht.“

Falsches Signal an Unternehmen befürchtet

Die pauschale Abschaffung der wettbewerbsrechtlichen Unterlassungsklage im Datenschutz wäre das falsche Signal an Unternehmen, die sich zulasten der Verbraucher Wettbewerbsvorteile verschaffen.

Stellungnahme zur Bedeutung des datenschutzrechtlichen Klagerechts

Der vzbv hat zu der Bedeutung des datenschutzrechtlichen Klagerechts für die Arbeit der Verbraucherschutzverbände eine Stellungnahme verfasst, die anlässlich der Anhörung am 10. Dezember 2018 veröffentlicht wurde.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 10.12.2018
ZU EINEM FAIREN WETTBEWERB GEHÖRT AUCH DER DATENSCHUTZ

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 13.08.2018] In Großbritannien ansässigen Personen und Unternehmen nutzen zurzeit noch rund 300.000 Domainnamen mit der Endung .eu. Laut EU-Kommission soll das nach dem Brexit nicht mehr möglich sein. Der eco – Verband der Internetwirtschaft e. V. nahm nun Stellung zur Ankündigung der Europäischen Kommission, wie mit bestehenden Registrierungen von .eu Domainnamen nach dem Brexit umgegangen werden soll. Die Stellungnahme fand breite Unterstützung in der Domainbranche – bislang haben 26 eco Mitgliedsunternehmen und -Organisationen das Dokument unterzeichnet.

Bezüglich der Ankündigung “Notice to Stakeholders on the Withdrawal of the United Kingdom and EU Rules on .EU Domain Names” (Brussels, 28.03.2018) äußern die eco Mitglieder und das eco Names & Numbers Forum Vorbehalte: „Werden die Domainnamen in der beschriebenen Form widerrufen, besteht ein hohes Risiko, dass sich Dritte die Marken- und Unternehmensnamen mit der Endung .eu sichern, um sie zu missbrauchen. Dies widerspricht dem Leitbild der .eu Top-Level-Domain und würde sich negativ auf das Vertrauen der Verbraucher in den .eu Namensraum und in die Domainbranche im Allgemeinen auswirken,“ erklärt Lars Steffen, Director eco International.

eco Mitglieder diskutieren politische und administrative Fragen eines Brexit-Szenarios

Daher fordert die eco Kompetenzgruppe Names & Numbers Forum die Europäische Kommission dazu auf, weitere Möglichkeiten in Erwägung zu ziehen, die den britischen Registranten und der Top-Level-Domain .eu als Marke weiterhelfen. Dazu gehören Vorschläge, die Registranten rechtzeitig zu informieren und ihnen genügend Zeit zu geben, sich auf den Entzug ihres .eu Domain-Namens vorzubereiten. Die eco Kompetenzgruppe Names & Numbers Forum begrüßt auch die von der EU-Kommission im Frühjahr vorgeschlagene Lockerung der Zulassungskriterien für die Top-Level-Domain .eu.

Der Verband verfolgt von Beginn an intensiv die Diskussionen um den Brexit. Das Names & Numbers Forum veröffentlichte bereits im April 2016 in Zusammenarbeit mit seinen Mitgliedern ein Diskussionspapier über die möglichen Brexit-Auswirkungen auf die Domainbranche („BREXIT – Challenges for the Domain Industry?“). Die Kompetenzgruppe hatte im Zuge dessen eine Arbeitsgruppe eingerichtet, die sich mit den politischen und administrativen Fragen eines Brexit-Szenarios befasst. Damit möchte eco sicherstellen, dass die Domainbranche von den möglichen Auswirkungen nicht überrascht wird, sobald der Brexit vollständig in Kraft tritt.

Die Stellungnahme von eco zu den Brexit-Auswirkungen auf den .eu Namensraum wurde von den folgenden 26 eco Mitgliedsunternehmen und -verbänden unterzeichnet:

1&1 Internet SE, 1API GmbH, Accelerated IT Services GmbH, Ascio Technologies, Inc., Blacknight Internet Solutions Ltd, CORE Association, Cronon AG, First Colo GmbH, Global Village GmbH, GoDaddy Inc., http.net Internet GmbH, hosting.de GmbH, ingenit GmbH & Co. KG/123domain.eu, InterNetX GmbH, Key-Systems GmbH, Larsen Data ApS, name.com, NetEarth One, inc., regiodot GmbH & Co. KG (.RUHR), SafeBrands, Sedo GmbH, Smart-NIC GmbH, STRATO AG, Thomsen Trampedach GmbH, united-domains AG, one.com

Weitere Informationen zum Thema:

datensicherheit.de, 18.04.2018
Notfallplanung laut eco-Studie Top-Security-Thema 2018

datensicherheit.de, 26.06.2018
Internet-Breitbandausbau: In Südkorea deutlich weiter als in Deutschland

[datensicherheit.de, 19.06.2018] Die FASAG (Federal Aviation Security Association of Germany – Bundesverband für Luftsicherheit e.V.) fordert in einer aktuellen Stellungnahme, „Luftsicherheit aus einer Hand“ zu anzubieten und hierzu einen ständigen Bund-Länder-Ausschuss zu etablieren. Diese Einrichtung soll demnach zur verbindlichen Klärung aller grundsätzlichen Fragen für alle Beteiligten sorgen. Dieser Ausschuss solle darüber hinaus in der Lage sein, die NQS (Nationale Qualitätskontrolle für Luftsicherheit) für die Aufsicht der dann verbindlich festgelegten Rahmenbedingungen zu beauftragen.

Einheitliche Standards und Vorgaben!

„Mit dem Flickenteppich von unterschiedlichen Vorschriften, Zuständigkeiten und Entscheidungen muss endlich Schluss sein“, fordert der FASAG-Vorstandsvorsitzende, Prof. Elmar Giemulla.
Es müsse jetzt dafür gesorgt werden, dass in allen Bereichen der Luftsicherheit in Deutschland einheitliche Standards und Vorgaben gelten und umgesetzt werden, betont Giemulla.

Über 30 Luftsicherheitsbehörden…

Die in der letzten Legislaturperiode erfolgte Revision des Luftsicherheitsgesetzes hat nach Auffassung von FASAG „nicht zu einer ernsthaften Verbesserung der gesetzlichen Grundlagen in Hinsicht auf eine Vereinheitlichung geführt“.
Nach wie vor seien über 30 Luftsicherheitsbehörden damit beschäftigt, die Standards zu kontrollieren, was einen negativen, potenziell sogar gefährlichen Einfluss auf die Luftsicherheit habe.

Unterschiedliche Schulungs- und Prüfungsansätze bei der Ausbildung

Aus vielen, der FASAG vorliegenden Fällen werde ersichtlich, dass die verschiedenen Luftsicherheitsbehörden, Landesluftsicherheitsbehörden und Bundesbehörden wie das Luftfahrt-Bundesamt und die Bundespolizei in wichtigen Detailfragen zu unterschiedlichen Bewertungen kämen.
Als Beispiel wurde demnach genannt, dass nicht einmal der Begriff der „Sicherheitskontrolle“ zehn Jahre nach der Veröffentlichung der EG-Grundverordnung national einheitlich definiert sei.
Darüber hinaus könne man täglich unterschiedliche Schulungs- und Prüfungsansätze bei der Ausbildung von Kontrollpersonal erleben, wobei die Passagiere im Süden Deutschlands anders als im Norden kontrolliert würden.

Überfällige Vereinheitlichung aller Maßnahmen im Bereich der Luftsicherheit

Laut Giemulla appelliert die FASAG in diesem Zusammenhang eindringlich an den Bundesinnenminister, sich seiner Verantwortung für die Luftsicherheit bewusst zu werden. Denn die Aufgabe Luftsicherheit werde, soweit sie nicht vom Bund selbst ausgeübt werde, von den Ländern im Auftrag des Bundes wahrgenommen.
Der Bundesinnenminister sollte deshalb nicht nur seine Weisungs- und Koordinierungsbefugnisse aktiv wahrnehmen, sondern er müsse auch die dringend anzupassenden, bzw. neu zu erstellenden Rechtsvorschriften wie die Luftsicherheitsschulungsverordnung, das Fortbildungs- und Ausbilderkonzept und die einheitliche Prüfungsordnung für Luftsicherheitskräfte aktiv vorantreiben. Die Voraussetzungen dafür lägen seit dem Änderungsgesetz des Luftsicherheitsgesetzes (LuftSiG) vor.
Das von FASAG angestrebte Bund-Länder-Gremium würde – ohne die Notwendigkeit einer Rechtsänderung – eine Plattform schaffen, „um endlich die lange überfällige Vereinheitlichung aller Maßnahmen im Bereich der Luftsicherheit zu gewährleisten“.

Weitere Informationen zum Thema:

FEDERAL AVIATION SECURITY ASSOCIATION OF GERMANY –
BUNDESVERAND FÜR LUFTSICHERHEIT E.V.

LBA, 23.04.2008
Verordnung (EG) Nr. 300/2008

Bundesministerium der Justiz und für Verbraucherschutz
Luftsicherheitsgesetz (LuftSiG)

[datensicherheit.de, 01.03.2018] Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, hat Stellung zum aktuellen Hacker-Angriff auf das Datennetzwerk des Bundes genommen. Ein Problem im Falle solcher Angriffe sei die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen „Advanced Persistent Threat“ (APT) handelt, könne diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt, entschärft und damit behoben worden sei, könnte es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.

Alle Systeme und Anwendungen auf neueste Versionen patchen!

Es gebe zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden.
Durch diese Maßnahme werde sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reiche allerdings nicht aus, um die Gefahr zu bannen.

Dokument als „Waffe“

Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gebe es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird.
Hierbei handele es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente würden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, seien Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich könnte auch jeder einzelne Mitarbeiter mit einem „potenziellen Stellenangebot“ angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt.

Adaptive „Data Loss Prevention“-Strategie

Diese Art von E-Mails würden oftmals an persönliche E-Mail-Adressen geschickt – mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet und somit eine Infektion auslöst.
Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, könne eine Technik Abhilfe schaffen, die als „Structural Sanitization“ bezeichnet wird.
Diese helfe dabei die Bedrohung entscheidend abzuschwächen und sei Teil einer adaptiven „Data Loss Prevention“-Strategie. Die Funktion entferne gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten; der Rest des Inhalts bleibe allerdings unberührt.

Ganzheitlicher Ansatz erforderlich!

Hierbei stelle einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so sei der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten E-Mails zugreifen.
Zusammenfassend gesagt, könne ein effektives Patch-Management einen Teil dazu beitragen, Malware-Angriffe per E-Mail zu verhindern. Doch effektiven Schutz böte lediglich eine Lösung zur E-Mail-Sicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.

Weitere Informationen  zum Thema:

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer

[datensicherheit.de, 25.01.2017] Die von der Bundesregierung geplante Novellierung des Personalausweisgesetzes zielt auf eine größere Verbreitung der Funktion zum elektronischen Identitätsnachweis (eID-Funktion) und des elektronischen Aufenthaltstitels ab. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat zu diesem Gesetzentwurf eine Entschließung mit einer kritischen Stellungnahme gefasst.

Aufgaben der DSK

Am 1. Januar 2017 hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, den Vorsitz der DSK – einem Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder – für 2017 übernommen.
Der DSK gehören die Bundesbeauftragte für den Datenschutz, die Beauftragten für den Datenschutz der Länder und der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht an. Ihre Aufgabe ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des Datenschutzrechts in Deutschland zu erreichen und gemeinsam für dessen Fortentwicklung einzutreten. Dazu verständigt sich die DSK nach eigenen Angaben auf gemeinsame Positionen der Datenschutzbehörden des Bundes und der Länder, insbesondere durch Entschließungen und Orientierungshilfen.

Änderungen bürger- und datenschutzfreundlich realisieren!

In einer aktuellen DSK-Entschließung zur Novellierung des Personalausweisgesetzes wird gefordert, dass die Änderungen „bürger- und datenschutzfreundlich realisiert werden“ müssen.
Die Bundesregierung plane grundlegende Änderungen des Personalausweisrechts. Nach dem vom Bundeskabinett beschlossenen Gesetzentwurf (BR-Drs. 787/16) würden das Recht auf informationelle Selbstbestimmung der Bürger übergangen und datenschutzsichernde Standards unterlaufen.

eID-Funktion: datenschutzrechtliche Anforderungen aus DSK-Sicht

Die obligatorische Aktivierung der eID-Funktion sei dann hinnehmbar, wenn dauerhaft sichergestellt werde, dass daraus keine verpflichtende Nutzung der eID-Funktion des Personalausweises resultiert.
Die Entscheidung über die Nutzung dieser Funktion müsse allein bei den Bürgern liegen, deren Selbstbestimmungsrecht gewahrt bleiben.
An der bisherigen Verpflichtung der Ausweisbehörden, Bürger über die eID-Funktion des Personalausweises schriftlich zu unterrichten, sollte festgehalten werden. Nur durch eine bundesweit einheitliche Vorgabe zu einer solchen Information werde sichergestellt, dass alle Bürger in hinreichend verständlicher Form aufgeklärt würden.

Wahrnehmung des Rechts auf informationelle Selbstbestimmung

Vor einer Datenübermittlung aus dem Personalausweis müssten die Bürger Kenntnis über den Zweck der Übermittlung erhalten; zur Wahrnehmung des Rechts auf informationelle Selbstbestimmung müssten die Betroffenen stets – wie bislang – nachvollziehen können, in welchem konkreten Kontext ihre Identitätsdaten übermittelt werden.
Zudem sollte die bisherige Möglichkeit, die Übermittlung einzelner Datenkategorien auszuschließen, beibehalten werden.

Diensteanbieter müssen Datenschutz und Datensicherheit gewährleisten!

Die Einführung von organisationsbezogenen Berechtigungszertifikaten bei Diensteanbietern werde abgelehnt. Um sicherzustellen, dass Diensteanbieter nur die für den jeweiligen Geschäftsprozess erforderlichen Angaben übermittelt bekommen, sollte an der aktuellen Rechtslage festgehalten werden, nach welcher der antragstellende Diensteanbieter die Erforderlichkeit der aus der eID-Funktion des Personalausweises zu übermittelnden Angaben nachweisen müsse und an den jeweils festgelegten Zweck gebunden sei.
Berechtigungszertifikate dürften nur an Diensteanbieter erteilt werden, die Datenschutz und Datensicherheit gewährleisten. Daher sollten antragstellende Diensteanbieter nach wie vor durch eine Selbstverpflichtung die Erfüllung dieser Anforderungen schriftlich bestätigen und nachweisen müssen.

Sicherheitstechnische Rahmenbedingungen im Personalausweisgesetz regeln!

Die maßgeblichen Regelungen für die mit der Anlegung und Nutzung von Servicekonten einhergehende Erhebung und Verarbeitung von Identitätsdaten aus dem Personalausweis sowie die sicherheitstechnischen Rahmenbedingungen sollten im Personalausweisgesetz getroffen werden.

Postitivliste von Erlaubnisgründen für Ablichtungen!

Die Voraussetzungen für die Erstellung und Weitergabe von Personalausweisablichtungen sollten gesetzlich konkreter normiert werden. Insbesondere das Prinzip der Erforderlichkeit sei durch eine verpflichtende Prüfung der Notwendigkeit der Anfertigung einer Ablichtung sowie durch eine
Postitivliste von Erlaubnisgründen zu stärken.
Die Einwilligung der Betroffenen als alleinige Voraussetzung berge die Gefahr, dass in der Praxis Ablichtungen angefertigt würden, obwohl sie nicht erforderlich seien. Zudem dürfte fraglich sein, ob betroffene Personen in eine solche Maßnahme stets informiert und freiwillig einwilligen könnten.

Voraussetzungsloser Abruf des Lichtbildes abgelehnt

Die zum 1. Mai 2021 vorgesehene Einführung eines nahezu voraussetzungslosen Abrufs des Lichtbildes im automatisierten Verfahren durch die Polizeibehörden des Bundes und der Länder sowie die Verfassungsschutzbehörden und Nachrichtendienste werde abgelehnt.
Bisher dürften zur Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten insbesondere die Polizei- und Ordnungsbehörden Lichtbilder automatisiert abrufen, wenn die Personalausweisbehörde nicht erreichbar sei und ein weiteres Abwarten den Ermittlungszweck gefährde. Diese gesetzlichen Einschränkungen für das Abrufverfahren sollten nun entfallen und künftig alle Nachrichtendienste voraussetzungslos Lichtbilddaten abrufen können – die bisherige Rechtslage sei aber völlig ausreichend.

Weitere Informationen zum Thema:

datensicherheit.de, 27.08.2013
report München: Sicherheitslücken beim neuen Personalausweis

[datensicherheit.de, 09.12.2016] Der Digitalcourage e.V. empört sich in einer Stellungnahme vom 8. Dezember 2016, dass ihm das Innenministerium „ganze neun (9!) Werktage“ gewährt habe, um eine detaillierte Stellungnahme zum geplanten, neuen Bundesdatenschutzgesetz zu schreiben – mit der Begründung: „Für die kurze Frist bitte ich um Nachsicht. Sie ist der besonderen Komplexität und Eilbedürftigkeit des Vorhabens geschuldet.“

Ohne ernsthafte Beteiligung von Datenschützern und der Zivilgesellschaft

Seit einem Jahr befasst sich das Innenministerium demnach mit einem Gesetz, welches den deutschen Datenschutz der europäischen Datenschutzreform anpassen soll. „Leider ohne ernsthafte Beteiligung von Datenschützern und der Zivilgesellschaft“, so der Digitalcourage e.V.
Nicht einmal das Justiz- und Verbraucherministerium seien eingebunden, dafür aber „ganz offenbar die Interessenvertreter der großen Datensammel-Konzerne“.

Heftige Kritik an Absenkung des Datenschutzniveaus

So jedenfalls sieht das vorläufige Ergebnis nach Angaben des Digitalcourage e.V. aus:

• Die Zweckbindung von gesammelten Daten werde willkürlich aufgeweicht.
• Auskunfts- und Löschrechte für Bürger würden eingeschränkt.
• Weniger Datenschutzkontrolle im medizischen Bereich.
• Die Datenschutzbehörden sollten weniger Kontrollrechte erhalten.

Kommentar: „Offenbar will die Bundesregierung den Datenschutz in Deutschland auf Minimalniveau eindampfen und das entsprechende Gesetz im Eilverfahren noch vor der Bundestagswahl durchbringen.“
Digitalcourage werde sich mit aller Kraft dafür einsetzen, dass dieser Gesetzentwurf so nicht verabschiedet wird, „sondern wir einen wirksamen Datenschutz bekommen“.

Gesetzentwurf auch aus Verbrauchersicht „größtenteils inakzeptabel“

Auch der Verbraucherzentrale Bundesverband (vzbv) betont, dass das Datenschutz-Niveau nicht abgesenkt werden dürfe, und kritisiert den Gesetzentwurf zur Anpassung des deutschen Rechts an die Datenschutz-Grundverordnung.
Der vorliegende Gesetzentwurf sei aus Verbrauchersicht „größtenteils inakzeptabel“. Verbraucher dürften in Deutschland nicht schlechter gestellt sein als in anderen EU-Mitgliedsstaaten, so der vzbv und fordert, das derzeitige Datenschutz-Niveau in Deutschland mindestens zu erhalten.
„Mit dem vorliegenden Gesetzentwurf würden Verbraucher in Deutschland künftig datenschutzrechtlich deutlich schlechter gestellt als Verbraucher in anderen EU-Mitgliedsstaaten“, kritisiert vzbv-Vorstand Klaus Müller.

Weitere Informationen zum Thema:

digitalcourage
Rettet den Datenschutz in Deutschland!

verbraucherzentrale Bundesverband, 06.12.2016
KEINE ABSENKUNG DES DATEN-SCHUTZNIVEAUS BEI DER ANPASSUNG DES RECHTSRAHMENS AN DIE DSGVO / Stellungnahme des Verbraucherzentrale Bundesverbands e.V. zum Entwurf eines Datenschutz-Anpassungs- und – Umsetzungsgesetzes EU – DSAnpUG-EU

datensicherheit.de, 01.08.2016
BDSG-Nachfolgegesetz: Entwurf ab August 2016 erwartet

datensicherheit.de, 23.04.2016
BigBrotherAwards 2016 an fünf Preisträger verliehen

[datensicherheit.de, 05.10.2016] Zu den Reaktionen von Yahoo auf die jüngste, schwere Datenschutzverletzung äußert sich David Lin von Varonis. Demnach arbeitet Yahoo eng mit dem FBI zusammen, um herauszufinden, wer hinter dieser folgenschweren Attacke steckt. „Natürlich will man genau wissen, an welchem Punkt es den Angreifern gelungen ist, und wie es ihnen gelungen ist, Zugriff auf derart umfangreiche sensible Datenbestände zu erlangen“, so Lin. Dazu würden die „TTPs“, also Taktik, Technologie und Prozesse, der Angreifer analysiert.

Attacken in Zukunft verhindern!

Man verspreche sich davon, die Wirksamkeit der Sicherheitsmaßnahmen zu verbessern und ähnlich geartete Attacken in Zukunft zu verhindern. Lin: „Man kann nur hoffen, dass Yahoo über einen vernünftigen Auditrail verfügt, was den Zugriff auf die Daten anbelangt.“ Das würde zumindest die forensischen Untersuchungen erleichtern.

Langwierige Untersuchungen

Zu der Frage, wie lange das alles vermutlich dauern wird und welche Ergebnisse zu erwarten sind, betont Lin, dass dies ganz darauf ankomme, wie tief man bei solchen Nachforschungen gehen kann und welche Ressourcen man zur Verfügung hat. Je nachdem könne es Wochen oder Monate dauern, bis man wirklich brauchbare Resultate zutage fördert.

Spärliche Informationen über den Hergang

Die Informationen und Details dazu, wie genau es die Angreifer geschafft haben auf die Daten von Yahoo zuzugreifen, seien immer noch spärlich. „Wenn dieser Datenschutzvorfall denen bei der Einzelhandelskette Target, dem OPM oder dem Vorfall bei Sony oder einem der anderen spektakulären Vorfälle dieser Art ähnelt, gibt es ein sich wiederholendes Muster“, so Lin. Dann sei es sehr gut möglich, dass der Angreifer sich in den Besitz der legitimen Anmeldedaten eines Insiders gebracht, die vergebenen Rechte erweitert und Stück für Stück das Netzwerk durchforstet habe, bis er dann schlussendlich die Daten auch habe abziehen können.
Dabei könne es durchaus sein, dass die betreffende Person mit einem Systemadministrator bei Yahoo gemeinsame Sache gemacht habe oder es ihr beispielsweise über eine entsprechend gezielte Phishing-Mail gelungen sei, sich in den Besitz von Anmeldedaten einer Person aus dem Management oder der Geschäftsführung zu bringen. Dafür gebe es allerdings bislang keinen Beweis.

Yahoo mutmaßt Angriff mit staatlicher Unterstützung

Lin: „Dass Yahoo an dieser Stelle so sicher ist, dass es sich zwingend um einen Angriff mit staatlicher Unterstützung gehandelt habe, lässt darauf schließen, dass das Unternehmen im Zuge seiner Ermittlungen Insiderinformationen bekommen hat, die genau darauf einen Hinweis geben.“
Oberflächlich betrachtet erscheine das sinnvoll. „Allerdings, wenn ich es mal etwas salopp ausdrücken darf: Wäre der Täter ein Feld-, Wald- und Wiesen-Hacker gewesen, wären die Daten wahrscheinlich noch nicht auf dem Schwarzmarkt oder in Pastebin aufgetaucht“, erläutert Lin. Der Angriff selbst habe 2014 stattgefunden. Hacker, die im staatlichen Interesse unterwegs sind, verkauften oder verbreiten sensible Informationen selten in dieser Form. Ihre Motive seien politisch begründet. Laut Lin um „zum Beispiel Personen zu identifizieren, die in Bezug auf ihre Regierung Geheimnisverrat begangen haben oder die beispielsweise im Besitz der Anmeldedaten eines fremden Regierungsoffiziellen sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.09.2016
Yahoo-Hack wohl größter bekannter Datendiebstahl der Geschichte

[datensicherheit.de, 04.03.2014] Der Branchenverband BITKOM hat sich mit einer Stellungnahme an der Konsultation der EU-Kommission zum Thema Urheberrecht beteiligt. „Das Urheberrecht bedarf einer grundlegenden Reform und muss besser an das digitale Zeitalter angepasst werden“, sagte BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder. Nachdem jahrelang wenig passiert ist, sei es dafür nun höchste Zeit. Die Kommission hat alle Betroffenen und Interessierten dazu aufgerufen, ihre Meinung zu möglichen Änderungen des Urheberrechts auf EU-Ebene zu äußern. Grundlage ist ein Katalog von 80 Fragen, der verschiedenste Aspekte des Urheberrechts abdeckt: Von Lizenzierungsfragen und Schrankenregelungen über Pauschalabgaben bis zur Rechtsdurchsetzung. Die Frist dazu endet am 5. März 2014. Im Juni will die Kommission erste Lösungsvorschläge in einem Whitepaper präsentieren.

Zum Thema Lizenzen haben Europaparlament und EU-Ministerrat bereits eine Richtlinie zur kollektiven Rechtewahrnehmung, zum Beispiel durch Verwertungsgesellschaften wie der GEMA, verabschiedet. Die Richtlinie soll unter anderem die Lizenzierungswege im Urheberrecht vereinfachen. „Von einem einfachen Lizenzierungssystem, von dem Rechteinhaber, Verwerter und Nutzer gleichermaßen profitieren, sind wir in Europa noch weit entfernt“, sagte Rohleder. Deshalb unterstütze der BITKOM die Überlegungen der Kommission, ein europaweites Registrierungs- und Identifikationssystem einzuführen. Damit sollen die Nutzer einfacher und schneller feststellen können, wer der Urheber eines Werks ist und wem welche Rechte daran zustehen.

Eine wichtige Frage ist, wie künftig Links urheberrechtlich zu bewerten sind. „Der BITKOM warnt davor, das Setzen von Links auf geschützte Inhalte im Internet von der Erlaubnis der Rechteinhaber abhängig zu machen“, sagte Rohleder. Damit würde man gleichzeitig auch das fest im Urheberrecht verankerte Zitatrecht in Frage stellen. Rohleder: „Das Verlinken von Inhalten ist eines der Grundprinzipien des Internet und eines seiner größten Stärken. Eine urheberrechtliche Erlaubnis hierfür würde die Meinungsfreiheit stark einschränken.“

Die Kommission hat auch gefragt, ob das Ansehen von Streams im Internet zukünftig eine urheberrechtsrelevante Nutzung darstellen soll. In Deutschland machte in diesem Zusammenhang der Redtube-Fall Schlagzeilen, als Tausende Nutzer eines Portals für Pornofilme abgemahnt wurden. Die Begründung lautete, dass die Nutzer urheberrechtlich geschützte Filme konsumiert haben, die von dem Portal unrechtmäßig angeboten wurden. Dieser Fall zeigt, wie fatal es wäre, das reine Anschauen im Internet als eine urheberrechtlich zu genehmigende Nutzung zu deklarieren. Damit würden Nutzer kriminalisiert, die kaum beurteilen können, ob etwas legal oder illegal veröffentlicht wurde. Die deutsche Bundesregierung bewertet das Anschauen von Streams nicht als vom Urheber zu genehmigende Nutzung. Das sollte auch auf europäischer Ebene gelten.

Von besonderer Bedeutung für die IT-Branche ist das System der urheberrechtlichen Abgaben auf Geräte und Speichermedien. Damit sollen Musiker, Autoren, Filmschaffender und andere Urheber für das legale Kopieren, der so genannten Privatkopie, von geschützten Inhalten entschädigt werden. In den vergangenen Jahren gab es bereits mehrere Konsultationen zu diesem Thema, die wertvolle Informationen über das ineffiziente und intransparente Pauschalabgabensystem zusammengetragen haben. In der Vergangenheit folgten jedoch keine Reformen. „Das derzeitige Abgabensystem passt nicht mehr in die digitale Welt“, betonte Rohleder. „Die Geräteabgabe muss durch effektivere Modelle ersetzt werden. Dazu sollte die EU-Kommission im geplanten Whitepaper konkrete Vorschläge machen.“

Weitere Informationen zum Thema:

BITKOM
BITKOM-Stellungnahme zur EU-Konsultation im Urheberrecht

BITKOM
Whitepaper Urheberrecht