[datensicherheit.de, 04.10.2022] Die EU-Kommission hat nach Angaben des Branchenverbands Bitkom am 28. September 2022 einen Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht, welche demnach den Haftungsfall im Umgang mit Künstlicher Intelligenz (KI) regeln soll. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, kommentiert den vorliegenden Entwurf:

KI für deutsche Wirtschaft herausragend wichtige Zukunftstechnologie

„Wir begrüßen, dass mit dem Entwurf zur KI-Haftungsrichtlinie erste grundsätzliche Fragen zur Haftung im Schadensfall beim Einsatz von KI geregelt werden sollen“, betont Dehmel. KI sei für die deutsche Wirtschaft eine herausragend wichtige Zukunftstechnologie.
Die große Mehrheit der Unternehmen (65%) sehe den Einsatz von KI als Chance für das eigene Geschäft – aber nur neun Prozent nutzten KI bisher. Um deren Einsatz in Deutschland voranzubringen, müsse möglichst schnell „Rechtsklarheit beim Praxiseinsatz“ geschaffen werden.

Richtlinie soll KI-Systeme generell als Gefahrenquelle mit besonders hohen Risiken einstufen

Indem sich diese KI-Haftungsrichtlinie auf die relevanten Definitionen aus der KI-Verordnung (AI Act) beziehe, werde Konsistenz sichergestellt und rechtliche Unsicherheiten würden vermieden. Des Weiteren sei für den KI-Standort Europa wichtig, „dass die Richtlinie KI-Systeme nicht generell als Gefahrenquelle mit besonders hohen Risiken für Leben und Gesundheit einstuft und entsprechend auch keine verschuldensunabhängige Haftung für Hersteller oder Betreiber eines KI-Systems vorsieht“.
Dies gebe Herstellern oder Betreibern von KI-Systemen die Möglichkeit, durch verantwortliches Handeln ihr Haftungsrisiko zu begrenzen. Dehmel unterstreicht: „Wir begrüßen, dass im Fall einer gerichtlich angeordneten Offenlegung von Daten oder Prozessen auch die berechtigten Interessen der Hersteller wie etwa der Schutz von Geschäftsgeheimnissen berücksichtigt werden.“

Beweislastumkehr: Bitkom fordert Konkretisierung

Dehmel moniert indes: „Kritischer beurteilen wir die nach dem Entwurf vorgesehene Beweislastumkehr: Kann nicht eindeutig festgestellt werden, ob der entstandene Schaden kausal mit einer Pflichtverletzung des Herstellers oder Betreibers zusammenhängt, wird zunächst bei diesem das Verschulden vermutet.“
Diese Vermutung müsse der Hersteller oder Betreiber dann selbst widerlegen, „indem er ‚andere plausible Erklärungen‘ nachweist“. Dehmel kritisiert und fordert abschließend: „Was darunter konkret zu verstehen ist, lässt der Entwurf bisher offen. An dieser Stelle brauchen wir Klarheit.“

Weitere Informationen zum Thema:

European Commission, 28.09.2022
New liability rules on products and AI to protect consumers and foster innovation

European Commission
Liability Rules for Artificial Intelligence / The European approach to artificial intelligence (AI) will help build a resilient Europe for the Digital Decade where people and businesses can enjoy the benefits of AI

[datensicherheit.de, 21.10.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 21. Oktober 2021 seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2021 veröffentlicht. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, geht in ihrer Stellungnahme auf die signifikante Bedrohung ein: „Cyber-Angriffe sind zu einer enormen Bedrohung für die deutsche Wirtschaft geworden. Jedes zehnte Unternehmen sieht deshalb laut unseren Erkenntnissen seine Existenz bedroht.“ Der diesjährige BSI-Lagebericht untermauere eindrucksvoll, „wie ernst die Lage für die deutsche Wirtschaft, aber auch für Privatpersonen, Behörden und andere Institutionen ist“.

Bitkom-Warnung: Ransomware-Angriffe auf unsere Wirtschaft besorgniserregend

Cyber-Angriffe hätten laut Bitkom-Studien bei 86 Prozent der Unternehmen in Deutschland zuletzt einen Schaden verursacht. Dehmel erläutert: „Die Wucht, mit der insbesondere Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Betriebe aller Branchen und Größen. Die Schäden durch Erpressung, verbunden mit dem Ausfall von Systemen oder der Störung von Betriebsabläufen, sind seit 2019 um 358 Prozent gestiegen.“
Auch Schutzgeld werde mittlerweile im Internet erpresst. Die Angreifer drohten damit, bestimmte Ressourcen gezielt zu überlasten und zum Beispiel Server mit massenhaften Anfragen in die Knie zu zwingen. „Zuletzt waren 27 Prozent der Unternehmen im Land von solchen DDoS-Attacken betroffen.“

Bitkom-Forderung nach zukunftsfähiger IT-Bildung aller Menschen

Dehmel betont: „Darauf müssen wir reagieren. Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann.“ Dazu müssten wir „Echtzeit-Informationen nutzen und EU-weit in einem zentralen Dashboard sammeln“. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt würden, könnten wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.
Wesentlich für mehr Cyber-Sicherheit sei auch die zukunftsfähige Bildung aller Menschen. Medienkompetenz und IT-Wissen müssten spätestens ab der Grundschule in die Bildungspläne integriert werden. „Wir brauchen deshalb unbedingt Informatik als Pflichtfach ab Sekundarstufe I“, fordert Dehmel abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2019
BSI: Lagebericht zur IT-Sicherheit 2019 vorgestellt

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2021

Vor allem kleinere Unternehmen kommen mit DSGVO-Umsetzung nur noch langsam voran

[datensicherheit.de, 15.09.2021] Der Branchenverband Bitkom berichtet, dass neun von zehn Unternehmen bereits innovative Projekte wegen Datenschutz-Anforderungen hätten stoppen müssen – es sei eine weitverbreitete Kritik über fehlende Unterstützung durch Aufsichtsbehörden zu vernehmen.

Abbildung: Bitkom e.V.

bitkom: Ergebnisse der Umfrage zu Herausforderungen für Unternehmen bei DSGVO-Umsetzung

Befragung von 502 Unternehmen mit 20 oder mehr Beschäftigten in Deutschland

„Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz setzen Unternehmen in Deutschland unter Dauerdruck.“ Zugleich bekämen die Aufsichtsbehörden keine guten Noten für ihre Beratung. Die Hälfte der Unternehmen (50%) sage, Deutschland übertreibe es mit dem Datenschutz. Zwei Drittel (66%) seien der Auffassung, dass der strenge Datenschutz sowie die uneinheitliche Auslegung des Datenschutzes in Deutschland die Digitalisierung erschwere.
Das sind laut Bitkom „Ergebnisse einer repräsentativen Befragung von 502 Unternehmen mit 20 oder mehr Beschäftigten in Deutschland im Auftrag des Digitalverbands Bitkom“. Susanne Dehmel, Geschäftsleiterin Bitkom, erläutert: „Dem Datenschutz kommt in der digitalen Wirtschaft und Gesellschaft eine besondere Bedeutung zu. Den Unternehmen fehlt es aber zunehmend an Planbarkeit und Verlässlichkeit.“ Unternehmen stünden beim Datenschutz unter permanenten Stress. Sie wollten dem Datenschutz Genüge tun, aber dazu müssten sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. „Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen“, kritisiert Dehmel.

Aufwand der Unternehmen für Datenschutz durch DSGVO dauerhaft gestiegen

Vier von zehn (42%) Unternehmen geben demnach an, dass sie seit der DSGVO-Einführung mehr Aufwand haben – und dieser auch künftig bestehen bleiben wird. Ein weiteres Drittel (32%) gehe sogar davon aus, dass der Aufwand weiter steigen werde. Nur 19 Prozent erwarteten, dass ihr gestiegener Aufwand langsam wieder sinke, sechs Prozent hätten inzwischen keinen erhöhten Aufwand mehr. Zugleich habe mit zwei Dritteln der Unternehmen (65%) die große Mehrheit die DSGVO vollständig oder größtenteils umgesetzt, aber drei von zehn (29%) hätten die Umsetzung erst teilweise geschafft und gerade einmal fünf Prozent stünden damit noch ganz am Anfang.
Vor allem kleinere Unternehmen kämen nur noch langsam voran. „So geben unter den Großunternehmen mit 500 oder mehr Beschäftigten nahezu unverändert nur drei Prozent (2020: 2%) an, dass sie die DSGVO erst teilweise umgesetzt haben, bei den Unternehmen mit 100 bis 499 Beschäftigten ist der Anteil binnen eines Jahres von 28 auf zwölf Prozent zurückgegangen.“ Dagegen bleibe die Zahl bei den kleineren Unternehmen von 20 bis 99 Beschäftigten mit 33 Prozent auf hohem Niveau (2020: 37%).

Insbesondere kleinere Unternehmen brauchen bei DSGVO-Umsetzung mehr und bessere Unterstützung

Die Unternehmen, welche die DSGVO bislang noch nicht vollständig umgesetzt haben, würden als Hauptgründe dafür nennen, dass „Corona“ andere Prioritäten erzwungen habe (82%), aber fast ebenso viele beklagten, dass sich die DSGVO gar nicht vollständig umsetzen lasse (77%). 61 Prozent fehle es zudem an den notwendigen personellen Ressourcen. Rund jedes zweite Unternehmen beklage fortlaufende Anpassungen wegen neuer Urteile und Empfehlungen der Aufsicht (47%) und notwendige neue Prüfungen von Datentransfers in Länder außerhalb der EU (45%).
„Insbesondere kleinere Unternehmen brauchen bei der Umsetzung der DSGVO mehr und bessere Unterstützung“, betont Dehmel. Es fehle in kleinen Unternehmen häufig an Datenschutz-Expertise – notwendig seien daher konkrete und umsetzbare Handreichungen, etwa durch die Aufsichtsbehörden.

Datenschutz hat in drei von vier Unternehmen bereits Innovationen ausgebremst

Aber die DSGVO sorge nicht nur für Aufwand, sie bremse auch Innovationsprojekte in der deutschen Wirtschaft. So gäben drei Viertel aller Unternehmen (76%) an, dass Innovationsprojekte aufgrund konkreter Vorgaben der DSGVO gescheitert seien – und in neun von zehn Unternehmen (86%) seiene Projekte wegen Unklarheiten im Umgang mit der DSGVO gestoppt worden.
Am häufigsten betroffen gewesen sei der Aufbau von Datenpools (54 Prozent), dahinter folgten Prozessoptimierungen im Bereich der Kundenbetreuung (37%), Projekte zur Verbesserung der Datennutzung und der Einsatz neuer Technologien wie Künstliche Intelligenz oder „Big Data“ (je 36%) – und in jedem dritten Unternehmen (33%) sei der Einsatz von „Cloud“-Diensten betroffen gewesen. „Digitale Technologien sind quer durch alle Branchen die wichtigsten Innovationstreiber. Wir brauchen eine bessere Balance von Datenschutz und Datennutzung“, fordert Dehmel.

Rechtsunsicherheit für Unternehmen immer größeres Problem bei DSGVO-Umsetzung

In den vergangenen Jahren hätten die Probleme bei der DSGVO-Umsetzung deutlich zugenommen. So sagten inzwischen mehr als drei Viertel (78%) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren seien es erst 68 Prozent gewesen. Zu viele Änderungen bzw. Anpassungen bei den Vorgaben beklagten 74 Prozent, nach 59 Prozent 2019. Die uneinheitliche Auslegung innerhalb der EU behindere 52 Prozent (2019 nicht abgefragt, 2020: 45%); fehlende finanzielle Ressourcen würden 37 Prozent Datenschutz nennen, mehr als doppelt so viele wie noch 2019 mit 18 Prozent. Herausforderungen, auf welche die Unternehmen direkt Einfluss nehmen könnten, gewönnen dagegen nicht an Bedeutung: Eine schwierige technische Umsetzung behindere unverändert 34 Prozent, einen Mangel an qualifizierten Beschäftigten hätten nur 33 Prozent (2019: 37%) und fehlende Unterstützung im Unternehmen sähen nur noch acht Prozent (2019: 13%).
Parallel wachse die Unzufriedenheit mit den Aufsichtsbehörden. So kritisierten zwei Drittel (66%) mangelnde Umsetzungshilfen durch die Aufsicht, vor zwei Jahren habe der Anteil nur bei 53 Prozent gelegen. „Wenn Probleme wie Rechtsunsicherheit oder fehlende Umsetzungshilfen durch die Aufsicht immer stärker zunehmen, dann läuft offenkundig etwas falsch“, warnt Dehmel. Normalerweise seien die Probleme am Anfang einer neuen Gesetzgebung groß und würden dann mit ersten Erfahrungen, Entscheidungen und zahlreicheren Hilfestellungen geringer.

Aufsicht liefert zu wenig brauchbare Unterstützung für Unternehmen

Auch bei konkreten Fragen erhalte nur eine Minderheit Unterstützung durch die Aufsicht. So habe ein Viertel (24%) dort bereits nach Hilfestellungen für die Umsetzung von Datenschutzvorgaben angefragt, aber keine Antwort erhalten. Ähnlich viele (28%) hätten zwar Antwort bekommen, diese habe aber nicht geholfen. Nur drei von zehn (29%) gäben an, auf ihre Frage hin auch Hilfestellung erhalten zu haben: „64 Prozent von ihnen in Form von Leitfäden, 32 Prozent mit Einzelberatung, 27 Prozent in einer Gruppenberatung.“ Von den Unternehmen, die Hilfestellungen erhalten haben, sagten zwölf Prozent, dass sie „sehr zufrieden“ damit gewesen seien, 19 Prozent seien „eher zufrieden“ gewesen. „Aber 41 Prozent waren ,eher nicht zufrieden‘ und 25 Prozent ,überhaupt nicht zufrieden‘.“ Dehmel unterstreicht: „Um den Datenschutz in den Unternehmen nachhaltig zu befördern, reicht es nicht Beschwerden abzuarbeiten und bei nachgewiesenen Verstößen Bußgelder zu verhängen.“ Für den gelebten Datenschutz könnte viel mehr erreicht werden, wenn die Aufsichtsbehörden präventiv tätig würden und Unternehmen bei der praktischen Umsetzung der Datenschutzvorgaben unterstützten, „indem sie konkrete Auskünfte erteilen und praxisnahe Empfehlungen geben“.
Hauptgründe für die Unternehmen, nicht nach Hilfe zu fragen, sei dabei nicht der fehlende Bedarf an Unterstützung gewesen. Nur ein Prozent gebe an, keine Hilfe zu benötigen. Aber jedes Dritte (34%) habe von Anfragen abgesehen, weil andere Unternehmen von schlechten Erfahrungen berichtet hätten. Jedes vierte wisse gar nicht, dass die Aufsicht Hilfe anbiete (26%) oder gehe davon aus, dass die Qualität der Hilfe dort nicht gut sei (25%). Rund jedes Fünfte (18%) habe Angst, dass die Aufsicht so von den eigenen Problemen erfahre – und 16 Prozent meinten, die Aufsicht sei gar nicht an Problemlösung interessiert.

Unternehmen auf Datentransfers ins Nicht-EU-Ausland angewiesen

Mit dem Wegfall des „Privacy Shield“ durch das sogenannte Schrems-II-Urteil des EuGH sei die wichtigste Basis für den EU-US-Datenaustausch weggefallen. Dabei spielten internationale Datentransfers ins Nicht-EU-Ausland für die deutsche Wirtschaft eine große Rolle. Jedes zweite Unternehmen (48%) tausche Daten mit externen Dienstleistern außerhalb der EU aus, jedes vierte (25%) mit dortigen Geschäftspartnern und zwölf Prozent mit anderen Konzerneinheiten. Dabei transferierten 52 Prozent Daten in die USA, 35 Prozent nach Großbritannien, 18 Prozent nach Russland und 13 Prozent nach Indien. Ebenfalls häufig genannt worden seien China (8%), Japan (7%) und Südkorea (4%).
Die Gründe für internationale Datentransfers ins Nicht-EU-Ausland seien vielfältig. Neun von zehn Unternehmen (85%) nutzten „Cloud“-Angebote, welche Daten außerhalb der EU speicherten, zwei Drittel (68%) nutzten weltweit Dienstleister, etwa für einen „24/7-Security-Support“. Die Hälfte (52%) setze Kommunikationssysteme ein, welche Daten außerhalb der EU speicherten, jedes Fünfte (22%) habe Standorte außerhalb der EU – und 13 Prozent arbeiteten mit Partnern im Nicht-EU-Ausland zusammen, etwa bei Forschung und Entwicklung.

Unternehmen befürchten Unterbrechung ihrer globalen Lieferketten

Wenn personenbezogene Daten nicht mehr außerhalb der EU verarbeitet werden könnten, dann hätte das gravierende Auswirkungen auf die Unternehmen und die deutsche Wirtschaft insgesamt. So gäben 62 Prozent an, sie könnten dann bestimmte Produkte und Dienstleistungen nicht mehr anbieten, 57 Prozent befürchteten Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern. Jeweils 54 Prozent erwarteten in diesem Fall höhere Kosten und dass sie ihren globalen „Security-Support“ nicht mehr aufrechterhalten könnten.
Jeweils vier von zehn Unternehmen rechneten mit einer Unterbrechung ihrer globalen Lieferketten (41%) und Qualitätseinbußen bei eigenen Produkten und Dienstleistungen (39%), 31 Prozent müssten ihre Konzernstruktur verändern. Zwölf Prozent der Unternehmen würden im Innovationswettbewerb zurückfallen und drei Prozent müssten nach eigenem Bekunden ihre Geschäftstätigkeit einstellen. Kein Unternehmen erwarte, dass ein Ende des Transfers personenbezogener Daten ohne Folgen für seine Geschäftstätigkeit bliebe. „Datentransfers in Nicht-EU-Länder sind für die deutsche Wirtschaft so wichtig wie internationale Lieferketten. Es geht hier nicht um ein ,Nice-to-have‘, sondern um den Kern einer zunehmend digitalisierten Wirtschaft im 21. Jahrhundert“, betont Dehmel. Die Politik müsse dringend einen Rahmen schaffen, welcher Rechtssicherheit für die Unternehmen bringe und in der Praxis auch wirklich umsetzbar sei.

Neue Bundesregierung muss Datenschutz auf Agenda setzen

Ganz oben auf der Liste der Unternehmenswünsche an die nächste Bundesregierung beim Datenschutz stehe die Forderung nach einer Anpassung der DSGVO (89%). Rund zwei Drittel wollten, dass Datenschutzvorgaben europäisch stärker vereinheitlicht (68%) und die föderalen Gesetze in Deutschland angeglichen würden.
Sechs von zehn plädierten jeweils für eine Abschaffung der Landesdatenschutzbehörden (60%) und einen besseren Zugang zu Daten der Öffentlichen Hand (57%). Rund die Hälfte erwarte eine harte Linie gegenüber den USA bei den Verhandlungen zu internationalen Datentransfers (46%) und ein Drittel (32%) sehe als drängende Aufgabe, eine politische Lösung für internationale Datentransfers durchzusetzen.

Weitere Informationen zum Thema:

bitkom, Susanne Dehmel, 15.09.2021
Datenschutz als Daueraufgabe für die Wirtschaft: DS-GVO & internationale Datentransfers

[datensicherheit.de. 04.06.2021] Laut dem Branchenverband Bitkom hat die EU-Kommission am 4. Juni 2021 neue Standarddatenschutzklauseln vorgelegt, „die internationale Datentransfers rechtssicherer machen sollen“. Hintergrund sei das Urteil des Europäischen Gerichtshofs (EuGH) aus dem Sommer 2020, welches das „Privacy Shield“, das den Datenaustausch zwischen der EU und den USA geregelt habe, „für ungültig erklärt hat und mit dem zusätzliche Vorgaben für internationale Datentransfers aufgestellt wurden“. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, nimmt Stellung zu den neuen Standarddatenschutzklauseln:

Bitkom: Neue Klauseln lösen jedoch Problematik der Einzelfallprüfung nicht

„Die EU will mit den neuen Standarddatenschutzklauseln mehr Rechtssicherheit für Unternehmen mit einer Datenverarbeitung in den USA oder anderen Drittstaaten schaffen. Das ist ein richtiger Schritt“, betont Dehmel.
Für global tätige Unternehmen sei es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln könnten. Die neuen Klauseln lösten jedoch die Problematik der Einzelfallprüfung nicht.

Bitkom warnt vor Überforderung der Unternehmen

Dehmel gibt zu bedenken: „Zugleich stehen Unternehmen nun vor einen riesigen Umstellungsaufwand, ohne dass ihnen erspart wird, die Datenflüsse in die sogenannten Drittstaaten in jedem Einzelfall zu bewerten.“
Dazu kämen weiter Unklarheiten in den neuen Regelungen: „So sollen die Unternehmen zusätzliche Schutzmaßnahmen implementieren, um die Datenströme abzusichern – welche das genau sein sollen bleibt aber der internen Bewertung überlassen.“ Dies könnten viele Unternehmen kaum stemmen.

Bewertung des Datenschutzniveaus in anderen Ländern laut Bitkom hochkomplexe Aufgabe

Die Bewertung des Datenschutzniveaus in anderen Ländern sei eine hochkomplexe Aufgabe, die Umstellung von technischen Maßnahmen durch die heute vernetzt arbeitende Wirtschaft mit großem Aufwand verbunden. Dehmel fordert: „Wir brauchen politische Lösungen für den Drittstaatentransfer – nicht nur für den essenziellen Datenaustausch zwischen den USA und der EU.“
Für die Zukunft werde es entscheidend sein, dass mehr grundsätzliche sogenannte Adäquanzentscheidungen für wichtige Drittstaaten den Datenaustausch dauerhaft absicherten und die Unternehmen von der Einzelfallprüfung befreiten.

Bitkom-Klarstellung: Datenverarbeitung allein nur in Europa technisch und praktisch kaum umsetzbar

Die häufig genannte Forderung, Daten einfach ausschließlich in Europa zu verarbeiten, sei dabei keine Lösung. „Sie ist sowohl technisch als auch praktisch kaum umsetzbar“, so Dehmel. Vor allem für länderübergreifend oder global agierende Unternehmen und Organisationen mit Standorten in verschiedenen Regionen sei der Datenaustausch für die tägliche Arbeit essenziell.
„Europäische Unternehmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien sind davon genauso betroffen wie IT-Unternehmen, die den 24h-Support global und damit über alle Zeitzonen absichern“, erläutert Dehmel.

Weitere Informationen zum Thema:

bitkom, Rebekka Weiß
Positionspapier / Verbändebrief zum Erhalt des internationalen Datentransfers nach Schrems II

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA

[datensicherheit.de, 02.06.2021] Am 2. Juni 2021 stellte die EU-Kommission laut einer aktuellen Meldung des Branchenverbands Bitkom ihren Plan für eine einheitliche europäische digitale ID vor – „und zugleich den Entwurf zur Review der eIDAS-Verordnung“. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, geht in ihrer Stellungnahme auf diese Vorschläge ein und warnt, dass für die europaweite Nutzung von Identitätsdienstleistungen der europäische Markt derzeit regulatorisch zu stark fragmentiert sei:

Bitkom fodert Zusammenwirken von Öffentlicher Hand und Privatwirtschaft

„Sichere Digitale Identitäten übernehmen bereits heute eine Schlüsselfunktion im Digitalen Ökosystem: Sie sorgen für Sicherheit, schützen Personen und Prozesse und schaffen Vertrauen zwischen Absendern und Empfängern“, so Dehmel. Mit der Verlagerung von immer mehr Alltagstätigkeiten in die digitale Welt, gewinne der digitale Nachweis der eigenen Identität weiter enorm an Bedeutung. So könnten zum Beispiel viele heute noch analoge Prozesse erst über einen verlässlichen, digitalen Identitätsstandard vom physischen Bürgeramt in die digitale Zukunft der Verwaltung überführt werden.
Indes: „Um das Potenzial Digitaler Identitäten zu heben, braucht es dabei eine ein Zusammenwirken von Öffentlicher Hand und Privatwirtschaft und vor allem ein europaweit einheitliches Vorgehen“, unterstreicht Dehmel. Insbesondere mit Blick auf die Umsetzung der aktuellen eIDAS-Verordnung gebe es noch zu viele nationale Sonderregeln bei der Regulierung von Authentifizierungs- und Identifizierungswegen.

Services und Verwaltungsleistungen über Ländergrenzen hinweg laut Bitkom wichtiger denn je

Dehmel erklärt ihren Standpunkt: „,Corona‘ hat uns vor Augen geführt, dass die Zeit kleinstaatlicher Ansätze endgültig vorbei ist. Services und Verwaltungsleistungen über Ländergrenzen hinweg zugänglich zu machen ist heute wichtiger denn je – und zwar nicht nur in einer ,Pandemie‘.“ Die europäische eIDAS-Verordnung bilde dabei die Basis für die Definition harmonisierter Anforderungen an Digitale Identitäten in der EU.
„Für die europaweite Nutzung von Identitätsdienstleistungen und die Skalierung der Geschäftsmodelle von Identitätsdienstleistern ist der europäische Markt derzeit regulatorisch zu stark fragmentiert. Und selbst auf nationaler Ebene erschweren branchenspezifische Anforderungen das Wachstum und die Verbreitung von Identitätsdienstleistungen und somit digitale Geschäftsmodelle.“

„eIDAS Summit“ des Bitkom am 15. Juni 2021:

Dies sollte durch europäische Harmonisierung, Standardisierung und Kooperation schnellstmöglich behoben werden, fordert Dehmel. Der jetzt vorgeschlagene Review biete die Chance, Vertrauensdienste als auch Digitale Identitäten fest im europäischen Wirtschaftsraum zu verankern – die Umsetzung der eIDAS-Verordnung sollte als ein wichtiger Beitrag für mehr Daten- und Verbraucherschutz in Deutschland verstanden und gefördert werden.
Digitale Identitäten und der Einsatz von Vertrauensdiensten in der Praxis stehen laut Dehmel im Zentrum des „eIDAS Summit“ des Bitkom am 15. Juni 2021: „Sie sind auch die Grundlage für Zukunftstechnologien wie ,Gaia-X‘, Blockchain oder ,Artificial Intelligence‘.“ Alle Informationen und die Möglichkeit zur kostenlosen Registrierung seien online auf der Webseite von „bitkom events“ zu finden.

Weitere Informationen zum Thema:

bitkom events
15. Juni 2021 / eIDAS Summit / #eidas21

[datensicherheit.de, 20.05.2021] Auch der Branchenverband Bitkom kommentiert das neue Urheberrecht: „Ob ,Grumpy Cat‘, ,Disaster Girl‘ oder die ,First World Problems‘: Das Teilen von Memes ist in Sozialen Netzwerken weit verbreitet. Von August an müssen Internetnutzer, wenn sie ein fremdes Werk als Grundlage für solche Bilddateien sowie Gifs, Mashups oder auch ,Fan Fiction‘ verwenden, bestimmte Vorgaben beachten – ansonsten drohen diese Inhalte von Upload-Filtern geblockt zu werden.“ Dies sei eine Folge der neuen Urheberrechtsreform, welche der Bundestag am 20. Mai 2021 nach jahrelangem Ringen verabschieden sollte.

Bitkom: Nutzer Sozialer Netzwerke müssen Grenzen beachten – sonst droht Blockade durch Upload-Filter

Demnach müssen die Nutzer Sozialer Netzwerke sicherstellen, dass nicht mehr als 15 Sekunden eines Videos, 160 Zeichen Text und Bildausschnitte bis zu 125 Kilobyte verwendet werden, sofern der Ausschnitt weniger als die Hälfte eines Werkes umfasst.
Zudem müsse er mit weiteren Inhalten kombiniert werden. „Sollten diese Voraussetzungen nicht erfüllt sein, müssten User den hochgeladenen Inhalt zumindest per Mausklick als rechtlich zulässig kennzeichnen, damit dieser nicht durch Upload-Filter geblockt wird.“

Ziel der notwendigen Reform laut Bitkom jedoch klar verfehlt

„Die Rechtslage an das Digitale Zeitalter anzupassen, war überfällig. So, wie es nun erfolgt ist, wurde dieses Ziel jedoch klar verfehlt“, moniert Susanne Dehmel, Mitglied der Geschäftsleitung beim Bitkom. Diese Reform bringe zum einen Unsicherheiten für Internetnutzer, weil diese in vielen Fällen kaum selbst einschätzen könnten, wann eine Bild- oder Filmdatei legal ist. Zum anderen sei sie insgesamt ein Rückschlag für die Meinungsfreiheit im Netz, da nun die Plattformen für Uploads großflächig urheberrechtlich verantwortlich gemacht würden.
„Sie können damit den Einsatz technischer Filter nicht vermeiden, um illegale Uploads, für die sie haftbar gemacht werden können, zu verhindern. So wird riskiert, dass auch Inhalte blockiert werden, die eigentlich rechtlich zulässig sind“, warnt Dehmel. Bei der Urheberrechtsreform handele es sich um die Umsetzung einer EU-Richtlinie, welche bis zum 7. Juni 2021 abgeschlossen sein müsse.

Bitkom befürchtet jahrelange gerichtliche Streitigkeiten

Zugleich sehe das neue Urheberrecht ein überkomplexes Beschwerdeverfahren vor, bei denen jahrelange gerichtliche Streitigkeiten programmiert seien, so Dehmel. „Es ist gut und richtig, dass anders als in früheren Entwürfen vorgesehen, nun klargestellt wurde, dass die Plattformen nach einer entsprechenden Beschwerde nur dann urheberrechtlich haften, wenn sie schuldhaft gegen ihre Pflichten verstoßen haben.“
Dennoch würden Soziale Netzwerke oder Video-Plattformen in eine Richterrolle gedrängt, bei der sie in kürzester Zeit entscheiden müssten, ob Inhalte blockiert werden müssten oder nicht. Die Reform gelte in großen Teilen unmittelbar, vollumfänglich dann bereits ab 1. August 2021. Dehmel: „Die Bundesregierung hatte zwei Jahre lang Zeit, um die EU-Richtline umzusetzen und hat die Frist fast bis auf den letzten Tag ausgereizt. Für viele Unternehmen wird die Zeit nun kaum ausreichen, um die Regeln umzusetzen.“

Richtlinie solle Rechteklärung für lineare Fernsehangebote vereinfachen, fordert Bitkom

Aus Sicht des Bitkom sind darüber hinaus einige wichtige Anpassungen im Urheberrecht den politischen Verhandlungen rund um Upload-Filter zum Opfer gefallen – und müssten daher bald nachgeholt werden. So insbesondere die Umsetzung der sogenannten Online-Sat-Kab-Richtlinie: Durch diese Richtlinie solle die Rechteklärung für lineare Fernsehangebote vereinfacht werden – unabhängig vom Endgerät und der Übertragungstechnologie, egal ob mit Fernseher per Kabel, übers WLAN zum Notebook auf dem Balkon oder unterwegs per Mobilfunk aufs Smartphone.
„Die technologieneutrale Rechteklärung und damit das zeitgemäße Fernsehen ist für die Menschen in Deutschland noch immer nicht realisiert. Das muss in jedem Fall ein Thema für die neue Bundesregierung sein“, fordert Dehmel.

Bitkom empfiehlt Fonds-Modell skandinavischer Länder zur Vergütung der Urheberrechte

Außerdem müsse das über 50 Jahre alte System der Pauschalabgaben auf Geräte und Medien neu geregelt werden: „Das derzeitige System mit seinen starren Abgabensätzen geht am Nutzerverhalten völlig vorbei. Wer nicht kopiert, sollte auch keine Kopierabgabe zahlen müssen“, sagt Dehmel.
Die neue Bundesregierung sollte zügig Vorschläge für ein zukunftsorientiertes Abgabenmodell machen. Dehmel erläutert abschließende: „Mit ihrem Fonds-Modell machen uns die skandinavischen Länder vor, wie Urheberrechte zeitgemäß vergütet werden können.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2021
Upload-Filter: eco warnt vor Folgen geplanter Urheberrechtsreform / eco sieht Austausch auf Online-Plattformen bedroht

[datensicherheit.de, 13.04.2021] Der Rechtsausschuss im Bundestag befasst sich nach Angaben des Branchenverbands Bitkom e.V. mit der Urheberrechtsreform. Susanne Dehmel, Mitglied der Geschäftsleitung, kritisiert in ihrer aktuellen Stellungnahme die Beschädigung der Meinungsfreiheit: „Die Urheberrechtsreform ist ein Rückschlag für die Meinungsfreiheit im Netz. Nicht nur, weil faktisch Upload-Filter geschaffen werden und die Betreiber von bestimmten Online-Plattformen mit einer allgemeinen Überwachungspflicht ihrer Dienste belegt werden – sondern auch, weil die einzelnen Vorgaben zur Überwachung, Sperrung und Moderation von Nutzerbeschwerden technisch schlicht nicht umsetzbar sind“, so Dehmels Kommentar.

Rechtssichere Zitate aus fremden Medien laut Bitkom unangemessen schwer

Nutzern von Plattformen und Sozialen Netzwerken werde es künftig zudem unangemessen schwer gemacht, rechtssicher Schnipsel von Videos, Zitate oder Memes hochzuladen und zu teilen: „Bis zu 15 Sekunden Film oder Ton, 160 Zeichen Text und 125 Kilobyte einer Foto- oder Grafikdatei sollen als Grenzen einer geringfügigen Nutzung zu nicht-kommerziellen Zwecken erlaubt sein.“
Diese Werte seien aber deutlich zu gering bemessen, um urheberrechtliche Relevanz bewerten zu können. Dehmel: „So wird riskiert, dass Inhalte mit einer Länge von mehr als 15 Sekunden blockiert werden, obwohl sie eigentlich legal sind. 15 Sekunden bzw. 160 Zeichen sind eine weltfremde Begrenzung, die schlussendlich mehr schadet als nützt und dem Grundgedanken des freien Internet‘ diametral gegenübersteht.“

Web-Plattformen und Soziale Netzwerke künftig quasi in Richter-Rolle, moniert der Bitkom

Schwer wiege auch, dass die Web-Plattformen und Sozialen Netzwerke künftig in eine Art „Richter-Rolle“ gedrängt würden: Im Falle einer Urheberrechtsbeschwerde hätten sie lediglich sieben Tage Zeit zu entscheiden, ob eine Urheberrechtsverletzung vorliegt. Diese Vorgabe sei völlig utopisch, da selbst Richter für solche Entscheidungen viele Monate benötigten.
Es müsse außerdem klargestellt werden, dass der Anbieter auch nach diesen sieben Tagen nicht für eventuelle Fehlentscheidungen haftbar gemacht werden kann – „dies würde für die Anbieter, die in gewisser Weise als Richter fungieren sollen und ein solches Haftungsrisiko nicht tragen können, die falschen Anreize setzen“. Die Umsetzung der EU-Urheberrechtsrichtlinie in deutsches Recht sei eines der wichtigsten digitalpolitischen Projekte der letzten Jahre. Dehmels Fazit: „Sie enttäuscht in vielen Bereichen. Das ursprüngliche Ziel, ein modernes Urheberrecht für den digitalen Binnenmarkt zu schaffen, wird klar verfehlt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2021
EU-Urheberrechtsreform: Bundesregierung lähmt laut eco Meinungsfreiheit / eco – Verband der Internetwirtschaft besorgt um Vielfalt auf Plattformen

Bitkom kritisiert Kabinettsbeschluss zum Urheberrechtsgesetz vom 3. Februar 2021

[datensicherheit.de, 03.02.2021] Laut einer aktuellen Meldung des Branchenverbands Bitkom hat das Bundeskabinett – wie zuvor angekündigt – am 3. Februar 2021 einen Entwurf für das Urheberrechtsgesetz beschlossen, mit dem die jüngsten EU-Urheberrechtsrichtlinien in deutsches Recht umgesetzt werden sollen – die Umsetzungsfrist endet demnach im Juni 2021.

Foto: Bitkom

Susanne Dehmel: Ursprüngliches Ziel, ein modernes Urheberrecht für den Digitalen Binnenmarkt zu schaffen, klar verfehlt

Urheberrechtsreform enttäuscht in vielen Bereichen

„Die große Urheberrechtsreform enttäuscht in vielen Bereichen“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung. Das ursprüngliche Ziel, ein modernes Urheberrecht für den Digitalen Binnenmarkt zu schaffen, werde „klar verfehlt“.
Dehmel führt aus: „Auch wenn es die Bundesregierung so nicht nennen möchte, die Upload-Filter sollen kommen.“ Mit diesem Urheberrechts-Diensteanbieter-Gesetz würden Betreiber von bestimmten Online-Plattformen erstmals mit einer allgemeinen Überwachungspflicht ihrer Dienste belegt – alle Nutzerinhalte müssten demnach automatisiert gescannt werden. Dies allein sei ein „großer Rückschlag für das freie Internet“.

Neue Vergütungsregeln für Urheber und Rechteinhaber brechen mit bewährten Modellen

Die einzelnen Vorgaben zur Überwachung, Sperrung und Moderation von Nutzerbeschwerden seien technisch schlicht nicht umsetzbar. Die betroffenen Plattformen stünden vor einer „kaum lösbaren Aufgabe“. Die neuen Vergütungsregeln für Urheber und Rechteinhaber brächen zudem mit zuvor bewährten Modellen. Für Kreative leiste dieses Gesetz einen „Bärendienst“. Es sei hochwahrscheinlich, dass sie künftig in Summe weniger Lizenzeinnahmen erzielten als nach den alten Regeln.
Mit dem sogenannten Auskunftsanspruch für Urheber schaffe die Reform außerdem ein neues „Bürokratieungeheuer“. Bei einem Filmprojekt etwa müssten alle Urheber, die an dem Film mitgewirkt haben, jährlich über die Nutzung dieses Films informiert werden. Das könnte je nach Projekt mehrere Tausend Urheber betreffen. „Kosten und Nutzen stehen bei dieser Informationspflicht in keinem Verhältnis“, so Dehmel.

Umsetzung der Urheberrechtsreform: Einzig zu begrüßen die Regelungen zum Text-und-Data-Mining

Die in dieser Reform enthaltene Umsetzung der sogenannten Online-SatKab-Richtlinie sollte den Weg frei machen für eine zeitgemäße Fernsehnutzung. Der beschlossene Entwurf scheitere aber an diesem Anspruch. Aufgrund vieler Mängel im Gesetzesentwurf werde die derzeitige Situation nicht verbessert. Dehmel ergänzt: „Und beim Leistungsschutzrecht für Presseverleger setzt der Entwurf nur die EU-Richtlinie wortgleich um.“
Für Startups und Entwickler im Medienumfeld werde die Rechtslage damit „auf Jahre hinaus unklar bleiben“. Hierzu werde das „letzte Wort“ beim Europäischen Gerichtshof liegen. Einzig zu begrüßen an der Umsetzung der Urheberrechtsreform seien die Regelungen zum sogenannten Text-und-Data-Mining – neben Wissenschaft und Forschung sei auch die Wirtschaft von einer vorherigen Erlaubnis eines Rechteinhabers befreit. „Die EU schaffe damit Rechtssicherheit und ebnet den Weg für Innovationen im Bereich Künstliche Intelligenz“, erläutert Dehmel abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2021
EU-Urheberrechtsreform: Bundesregierung lähmt laut eco Meinungsfreiheit /eco – Verband der Internetwirtschaft besorgt um Vielfalt auf Plattformen

[datensicherheit.de, 01.02.2021] Laut einer aktuellen Meldung des Branchenverbands Bitkom möchte das Bundeskabinett am 3. Februar 2021 einen Gesetzesentwurf zur Umsetzung der großen EU-Urheberrechtsreform beschließen.

Größte Urheberrechtsreform seit knapp 20 Jahren

„Die größte Urheberrechtsreform seit knapp 20 Jahren soll am Mittwoch im Kabinett beschlossen werden. Seit Monaten wird aber zwischen den Ministerien nur noch zu einem Teilaspekt verhandelt, dem sogenannte Urheberrechts-Diensteanbieter-Gesetz. Dieses Gesetz soll die urheberrechtliche Verantwortung von bestimmten Online-Plattformen regeln“, erläutert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Sie kritisiert: „Nahezu alle anderen Anpassungen im Urheberrecht sind den politischen Verhandlungen zu diesem Urheberrechts-Diensteanbieter-Gesetz zum Opfer gefallen, etwa das Text-and-Data-Mining, die Online-SatKab-Richtlinie und das Urhebervertragsrecht.“

Urheberrechts-Diensteanbieter-Gesetz an Komplexität nicht mehr zu überbieten

Das Urheberrechts-Diensteanbieter-Gesetz sei „an Komplexität nicht mehr zu überbieten“. In seiner praktischen Umsetzung werde es genau dazu führen, was man immer habe vermeiden wollen: „Online-Plattformen werden verpflichtet, Nutzerinhalte beim Upload automatisiert zu scannen. Die dafür angelegten Kriterien lassen hohe Fehlerquoten erwarten.“
Neue Strukturen zur Rechteklärung würden zudem Transaktionskosten derart in die Höhe treiben, dass in der Summe weniger Einnahmen bei den Kreativen ankämen. Kurz vor der Behandlung im Kabinett versuche die Bundesregierung einen Kompromiss zu bestehenden Kooperationen zwischen Rechteinhabern und Plattformen zu schließen. Dehmel betont: „Dieser Kompromiss ist aber aus unserer Sicht in der Praxis untauglich und wird den Entwurf nicht retten können.“

Umsetzung der großen EU-Urheberrechtsreform: Gesetzesentwurf konterkariert bereits errungenen Kompromisse auf EU-Ebene

Im Ergebnis sei mit diesem Gesetzesentwurf ein „ausgewogener Interessenausgleich zwischen Nutzern, Plattformen und Rechteinhabern gescheitert“.
Noch schlimmer laut Dehmel: Dieser Gesetzesentwurf konterkariere die bereits errungenen Kompromisse auf EU-Ebene. „Sollte das Bundeskabinett am Mittwoch einen Beschluss zu diesem Teilaspekt der Urheberrechtsreform fassen, blieben dem Bundestag nur noch wenige Wochen, um diesen Gesetzesentwurf in einen wahren Kompromiss umzukehren. Das ist nahezu ausgeschlossen.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2019
vzbv zur Urheberrechtsreform: Allgemeine Überwachungspflicht sollte verhindert werden

bitkom
Facts & Views zur EU-Urheberrechtsreform / FAQ: EU-Urheberrechtsreform

[datensicherheit.de, 09.07.2019] Ob Software-Tools, externe Dienstleister oder Cloud-Speicher: Viele Unternehmen lassen laut dem Branchenverbund Bitkom personenbezogene Daten auch im Ausland verarbeiten. Für die internationalen Datentransfers stehen ihnen demnach „mehrere datenschutzkonforme Verfahren zur Verfügung“. Mit den sogenannten Standardvertragsklauseln drohe jetzt eines dieser Verfahren für den Datenaustausch mit Nicht-EU-Ländern wegzufallen.

Internationaler Datenaustausch essenziell für die Wirtschaft

Der Europäische Gerichtshof (EuGH) verhandele ab dem 9. Juli 2019 über die Frage der Legitimation von Datenübermittlungen in Drittländer durch solche Standardvertragsklauseln. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung „Recht und Sicherheit“, nimmt hierzu Stellung:
„Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück. Sollten diese Klauseln nicht mehr rechtens sein, stehen viele Unternehmen vor einem Daten-Chaos.“

Unternehmen benötigen schnell Rechtssicherheit

Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohten „massive Einschränkungen“. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, „wenn Unternehmen nicht schnell genug auf die sogenannten ,Binding Corporate Rules‘ umstellen“, erläutert Dehmel.
In einer global vernetzten Wirtschaft dürfe sich Europa nicht isolieren. Unternehmen benötigten schnell Rechtssicherheit, „solange keine praktikablen Alternativen für eine datenschutzkonforme Datenverarbeitung zur Hand sind“.

Weitere Informationen zum Thema:

bitkom, 15.09.2017
Leitfaden: Verarbeitung personenbezogener Daten in Drittländern – Version 1.2./ Auf Basis der EU-Datenschutz-Grundverordnung

datensicherheit.de, 26.01.2018
Bitkom-Warnung: Mangel an Fachkräften für Datenschutz

datensicherheit.de, 22.09.2016
Bitkom-Studie: Viele Unternehmen haben Datenschutzreform nicht auf dem Schirm