Kategorie: Allgemein

Der Entwurf der EU-Kommission zur geplanten Chatkontrolle

19. Dezember 2022

In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.

Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.

Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.

Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.

Ist Tech-Solutionismus die Lösung?

Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.

Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.

Verschlüsselte Kommunikation aufbrechen

Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.

Das “Datenschutzgrundrecht”

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.

 

Beschlossen: Schutz für Hinweisgeber im beruflichen Umfeld

16. Dezember 2022

Die Abgeordneten des Deutschen Bundestages haben am Freitag, 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen.

Warum ist der Schutz von Hinweisgebern wichtig?

Im beruflichen Kontext ist der Schutz von Hinweisgebern ein wichtiges, gleichzeitig aber auch sensibles Thema, da er für den Erhalt integrer Arbeitsplätze und die Einhaltung ethischer Grundsätze in Unternehmen unerlässlich ist. Hinweisgeber tragen dazu bei, Missstände aufzudecken und zu korrigieren, indem sie Informationen über illegale oder unethische Praktiken melden.

Das Problem: Die Meldung solcher Vorgänge kann sehr riskant sein, da sie möglicherweise finanzielle Verluste oder negative Konsequenzen bei  der Arbeit einbringen kann.

Aus diesem Grund müssen hinweisgebende Mitarbeiter vor Diskriminierung und Repressalien geschützt werden.

Eine weitere Herausforderung besteht darin, dass viele Mitarbeiter oft nicht wissen, wo sie solche Informationen melden können oder wie sie am besten vorgehen sollen. Daher ist es für Unternehmen wichtig, einen Mechanismus zur Meldung von Missständen zu schaffen und proaktiv über diese Mechanismen zu informieren.

Das neue Gesetz

In den letzten Jahren ist die Bedeutung des Schutzes von Hinweisgebern immer stärker in den Fokus der Öffentlichkeit gerückt. Dies ist vor allem auf die steigende Zahl von Whistleblowern zurückzuführen, die sich gegen Missstände in ihrem Unternehmen oder in ihrer Branche wenden.

Mit dem nun beschlossenen Gesetzesentwurf soll der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden. Nach eigenem Bekunden will die Bundesregierung mit dem Gesetz nun zum einen die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) und zum anderen die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) umsetzen. Deutschland – sowie einige weitere EU-Staaten – sind mit der Umsetzung allerdings sehr spät dran, denn die EU-Richtlinie hätte eigentlich bis zum 17. Dezember 2021  transferiert werden müssen. Gegen Deutschland läuft deswegen ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren.

Was ändert sich für Unternehmen und Beschäftigte?

Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzliche alle Unternehmen, die mindestens 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, eine interne Meldestelle einrichten; Unternehmen mit bis zu 249 Mitarbeitenden haben die Möglichkeit, Meldestellen gemeinsam aufbauen.

Neue Meldestellen

Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche sind darüber hinaus spezielle Meldestellen vorgesehen. Wie die Bundesregierung ausführt, ist der Anwendungsbereich entsprechend der Vorgaben der EU-Richtlinie weit gefasst und umfasst neben Arbeiternehmerinnen und Arbeitnehmer auch Beamtinnen und Beamte, Anteilseignerinnen und Anteilseigner, Mitarbeiterinnen und Mitarbeiter von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.

Die hinweisgebende Person soll laut des Gesetzesentwurfs wählen können, ob sie sich an eine interne oder externe Meldestelle wende. Entscheidend ist, dass die Identität der hinweisgebenden Person in beiden Fällen grundsätzlich vertraulich zu behandeln ist. Meldungen sollen daher laut Entwurf auch anonym möglich sein. Laut Entwurfstext soll für interne Meldestellen allerdings keine Verpflichtung bestehen, „die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen“. Gleiches soll vorbehaltlich spezialgesetzlicher Regelungen auch für die externen Meldestellen gelten. In beiden Fällen sollte zudem gelten, dass die jeweilige Meldestelle „anonym eingehende Meldungen allerdings bearbeiten [sollte], soweit dadurch die vorrangige Bearbeitung nicht anonymer Meldungen nicht gefährdet wird“.

Schutz vor Repressalien

Für hinweisgebende Personen und bestimmte andere Personen gilt ein Schutz vor Repressalien beziehungsweise vor einer Drohungen damit.

Erfolgt nach einer Meldung durch einen Arbeitnehmer eine „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“, soll laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt. Daher hat „In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“.

Bei einem Verstoß gegen das Verbot von Repressalien soll dem Hinweisgeber ein Schadensersatzanspruch gegen den Verursacher zustehen.

In der Praxis bleibt abzuwarten, in wie weit die gesetzlichen Regelungen tatsächlich zu einem reibungslosen Aufdecken von Missständen führen.

Fazit

Der Schutz von Hinweisgebern ist von entscheidender Bedeutung für die Einhaltung ethischer Grundsätze im beruflichen Umfeld sowie für den Erhalt integrer Arbeitsplätze und fair gehandhabte Geschäftsfelder. Daher ist es Aufgabe aller Beteiligten – insbesondere der Unternehmen – sicherzustellen, dass effektive Maßnahmen zum Schutz von Hinweisgebern getroffen werden.

EU-US-Datentransfers: Europäische Kommission veröffentlicht Entwurf für neuen Angemessenheitsbeschluss

15. Dezember 2022

Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.

Aller guten Dinge sind drei?

Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.

US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.

Was ist ein Angemessenheitsbeschluss?

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.

Zentrale Inhalte des Entscheidungsentwurfs

Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.

Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.

Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.

Wie geht es nun weiter?

Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.

Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.

EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.

Widerspruch gegen die Verpflichtung auf Datengeheimnis wirksam?

14. Dezember 2022

Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:

Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.

Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).

Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.

Dürfen Beschäftigte ihre Unterschrift verweigern?

Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.

Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.

Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.

Recht auf Vergessenwerden: Löschpflicht ja, Nachforschungspflicht nein

13. Dezember 2022

Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.

Der Sachverhalt

Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.

Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.

Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.

Datenschutz vs. Informationsrecht

Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.

Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.

Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber

Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.

Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“

Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person

Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.

Auswirkungen auf die Praxis

Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.

 

Apple plant mehr Verschlüsselung

9. Dezember 2022

Apple stellte am 07.12.2022 drei neue Sicherheitsfunktionen vor, die sich auf den Schutz von Daten in der Cloud beziehen und damit den nächsten Schritt in den laufenden unternehmensinternen Bemühungen darstellen, Nutzerinnen und Nutzern bessere Möglichkeiten zum Schutz ihrer Daten zu bieten.

„Wir bei Apple setzen uns unermüdlich dafür ein, unseren Nutzern die beste Datensicherheit der Welt zu bieten. Wir identifizieren und entschärfen ständig neue Bedrohungen für ihre personenbezogenen Daten auf dem Gerät und in der Cloud”, erklärte Craig Federighi, Senior Vice President of Software Engineering von Apple. „Unsere Sicherheitsteams arbeiten unermüdlich daran, die Daten der Nutzer zu schützen, und mit iMessage Contact Key Verification, Security Keys und Advanced Data Protection for iCloud stehen den Nutzern drei leistungsstarke neue Tools zur Verfügung, mit denen sie ihre sensibelsten Daten und Kommunikationen weiter schützen können.”

iMessage Contact Key Verification

Mit der iMessage Contact Key Verification könnten nach den Angaben von Apple Nutzer:innen sicherstellen, dass sie nur mit den beabsichtigten Personen kommunizieren. Gespräche zwischen Personen, die die iMessage Contact Key Verification aktiviert haben, würden automatisch gewarnt, falls es beispielsweise einem staatlich unterstützten Angreifer gelingen sollte, in den Cloud-Server einzudringen und ein fremdes System einzuschleusen, um diese verschlüsselte Kommunikation zu überwachen. Für noch mehr Sicherheit könnten iMessage-Benutzer einen Kontaktverifizierungscode persönlich über FaceTime oder einen anderen sicheren Anruf austauschen.

Security Keys für Apple ID

Mit Security Keys für Apple ID hätten Nutzer:innen die Möglichkeit, einen Sicherheitsschlüssel zu verwenden, um sich bei ihrem Apple ID Account anzumelden.

Advanced Data Protection für iCloud

Mit der Advanced Data Protection für iCloud, die eine Ende-zu-Ende-Verschlüsselung verwendet, könnten wichtige iCloud-Daten wie beispielsweise iCloud Backups, Fotos und Notizen geschützt werden. Diese Funktion ist somit die wichtigste Neuerung. Die Funktion verhindere somit auch, dass Apple den Inhalt einiger der sensibelsten Daten, die auf seinen Servern gespeichert sind, einsehen könne.

Auch sorge die Funktion dafür, dass die meisten iCloud Daten auch im Falle einer Datenpanne in der Cloud geschützt wären. iCloud schütze aktuell standardmäßig 14 sensible Datenkategorien mit Ende-zu-Ende-Verschlüsselung, darunter Passwörter in iCloud Keychain und Gesundheitsdaten. Für Benutzer:innen, die den erweiterten Datenschutz aktivieren würden, stiege die Gesamtzahl der Datenkategorien, die mit Ende-zu-Ende-Verschlüsselung geschützt würden auf 23. Lediglich iCloud Mail, Kontakte und Kalender seien die einzigen wichtigen iCloud-Datenkategorien, die nicht abgedeckt wären, da sie mit den globalen E-Mail-, Kontakt- und Kalendersystemen interagieren müssten. Verschlüsselte Backups würden laut Apple auf freiwilliger Basis erfolgen und noch vor Ende des Jahres verfügbar sein.

Fazit

Dieser Schritt wird Sicherheitsbefürworter erfreuen, von denen viele zuvor die unverschlüsselten iCloud-Backups als Schwachstelle in Apples Datenschutzpolitik bezeichnet hatten. Es bedeutet auch, dass der Inhalt der Daten im Falle eines Angriffs auf Apples Server nicht zugänglich wäre. Wie Staaten wie die Volksrepublik China und die Russische Föderation darauf reagieren werden, ist bisher noch nicht ersichtlich. Strafverfolgungsbehörden könnte dieser Schritt vor Probleme stellen, da es für Apple unmöglich sein wird, den Behörden den Inhalt eines verschlüsselten Backups zu übermitteln. Das FBI kritisierte die neue Funktion von Apple in einer Stellungnahme am Mittwoch und sagte, dass sie die Fähigkeit der Behörde, das amerikanische Volk vor kriminellen Handlungen zu schützen beeinträchtigen würde, wie das Wall Street Journal berichtet.

US-Bundesstaat Indiana verklagt TikTok wegen Daten- und Jugendschutzverstößen

8. Dezember 2022

Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.

Unangemessene Inhalte träfen auf Spionage

Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.

Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.

Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.

Erste Klage dieser Art – aber kein neuer Vorwurf

Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.

 

Europäische Datenschutzbehörden über Twitter-Übernahme alarmiert

Seit der Übernahme von Twitter durch Elon Musk ist in der Firmenzentrale wohl Chaos ausgebrochen. Nicht nur die User des sozialen Netzwerkes sind seitdem besorgt: Auch die europäischen Datenschutzbehörden sind von den neuesten Vorgängen alarmiert. Insbesondere geraten die unternehmensinternen Sicherheitsmechanismen mehr und mehr in den Vordergrund.

Hat Twitter seinen Hauptsitz in Dublin?

Twitter entließ rund die Hälfte seiner Mitarbeitenden, unter anderem auch seine Datenschutz- und Sicherheitsbeauftragten. Darüber sorgt sich die irische Datenschutzbehörde (DPC): Sie prüft, ob es Twitter weiterhin erlaubt ist, ihr allein anstatt allen 27 EU-Staaten gegenüber verantwortlich zu sein. Dieses One-Stop-Shop-Prinzip (OSS) nach Art. 56 Datenschutz-Grundverordnung (DSGVO) ermöglicht es Twitter, den Austausch mit allen EU-Staaten zu umgehen. Dafür muss das Unternehmern jedoch einen Hauptsitz innerhalb der EU angeben, um sich so nur noch gegenüber der Datenschutzbehörde des entsprechenden Mitgliedstaats zu verantworten.

Jedoch darf der Mechanismus nur eingesetzt werden, wenn von dem Unternehmen bei der Festlegung der Hauptniederlassung weitere Auflagen erfüllt werden. So muss Twitter zum Beispiel dafür sorgen, dass „die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung“, die die Verarbeitung personenbezogener Daten betreffen, im Land der Hauptniederlassung nachgewiesen wird. Daneben ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten für die entsprechende nationale Aufsichtsbehörde zu benennen.

Mit einem Fragenkatalog untersucht die DPC, ob Twitter weiterhin seine Hauptniederlassung in Irland haben darf. Aufgrund des Chaos in der amerikanischen Firmenzentrale kommen jedoch Zweifel auf  – die Niederlassung in Irland muss nachweislich Einfluss auf das Unternehmen ausüben können. Falls nicht, droht Twitter die Regulierung durch jeden einzelnen der 27 EU-Staaten. Aus diesem Grund hat auch das Bundesamt für Datenschutz und Informationssicherheit (BfDI) Untersuchungen eingeleitet.

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holsteins, bezweifelt gegenüber Netzpolitik.org,  „dass die Niederlassung in Dublin, die bisher ‚main establishment‘ war, wenig Einfluss auf Änderungen nehmen konnte, die auch Auswirkungen auf personenbezogene Daten (z.B. ‚Twitter Blue‘) hatten.“ Daneben sieht eine anonyme Quelle die Kriterien für eine Hauptniederlassung in Irland nicht länger erfüllt. Twitter habe seit der Übernahme durch Musk keine Informationen über Produktveränderungen an die irische Niederlassung weitergegeben.

Sorge bei den Datenschutzbehörden

Twitter bestätigte gegenüber der DPC, dass es weiterhin seinen Hauptsitz in Irland beansprucht und damit von der DPC reguliert werden möchte. Das Unternehmen benannte dafür Renato Monteira als amtierenden Datenschutzverantwortlichen.

Twitters jüngste Produktänderungen haben jedoch nicht den Eindruck erweckt, dass „von Europa aus weiterhin die ‚Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten‘ bei Twitter getroffen werden“, sagt Hansen. Sie sieht allerdings ein „positives Zeichen […] darin, dass man anscheinend bei Twitter auf die irische Datenschutzbeauftragte reagiert und sich auch getroffen hat.“

Folgen für Twitter

Falls Twitter seinen Anspruch auf Hauptniederlassung in Irland verliert, könnten alle 27 Datenschutzbehörden der EU aufsichtsbehördlich tätig werden. Dies geht mit einem enormen bürokratischen Mehraufwand und empfindlichen Sanktionen einher, die pro EU-Staat bis zu vier Prozent des jährlichen Umsatzes ausmachen können. Derartige Folgen blieben bislang nicht zuletzt wegen des unternehmensfreundlichen Charakters der irischen Behörde aus. Seitens der französischen und belgischen Behörden ist, angesichts ihrer Sanktionsentscheidungen in der Vergangenheit, ein deutlich aggressiveres Verhalten zu erwarten.

Daneben könnten unter anderem die deutschen Datenschutzbehörden gegen Twitter ein sogenanntes Dringlichkeitsverfahren nach Art. 66 DSGVO einleiten. Dies ist aber erst möglich, sobald der „Schutz betroffener Personen“ auf dem Spiel stände.

Hackerangriff auf Continental: Wohl 40 Terabyte an Daten erbeutet

6. Dezember 2022

Eine Gruppe Krimineller ist in das Netzwerk des Autozulieferers Continental eingedrungen und hat dort erheblich viele Daten entwendet. Die für das Leak verantwortliche Ransomware-Gruppe LockBit 3.0 schreibt in ihrem Blog im Darknet, dass mehr als 40 Terabyte erbeutet worden seien. Es wird in der IT-Sicherheitscommunity gar vom umfangreichsten Datendiebstahl der jüngeren Geschichte gesprochen. Dabei handelt es sich offenbar um hochsensible Daten der Arbeitnehmer:innen. Eine Liste aller Dateinamen steht bereits im Netz.

Unter den erbeuteten Daten befinden sich unter anderem Strategiepläne, Prüfberichte, Dokumente von Wirtschaftsprüfern, Budgetpläne, Listen mit Rückstellungen, Verhandlungen über Gehaltserhöhungen, Geheimhaltungsabkommen mit anderen Unternehmen und Projektbeschreibungen.

Aber auch mehr als 47.000 Dateien enthalten das Wort “Arbeitssicherheit”. Gibt man den Suchbegriff “Unfälle” ein, erfährt man nicht nur körperlichen Problemen und Verletzungen, sondern auch von den psychischen Problemen der Arbeitnehmer. Außerdem stehen einige Namen von Mitarbeitern in den Dateinamen – auch in Verbindung mit Gehaltsverhandlungen oder Gesundheitsdaten von Betriebsärzten. 

LockBit 3.0 – Eine Ransomware as a Service Gruppe

LockBit sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. Als Teil des Einschüchterungsprogramms beziehe sich LockBit 3.0 stets auf die Datenschutz-Grundverordnung (DSGVO).

„(Die Opfer) werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenziellen Kundenklagen Geld zu verlieren“, berichtet Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry. Die Daten selbst werden derzeit für 40 Millionen Euro angeboten. LockBit verspricht: Wenn der Autozulieferer bezahlt, werden die Daten gelöscht. Datenschutzexperten raten jedoch davon ab, Ransomware-Gruppen das Erpressungsgeld zu zahlen.

LockBit wohl “Marktführer” in Ransomware-Angriffen

LockBit gilt als eine der größten Ransomware-Gruppen. Sicherheitsunternehmen bezeichneten sie im dritten Quartal 2022 sogar als führende Erpresser im digitalen Raum: Ungefähr jeder dritte Angriff geht laut unterschiedlichen IT-Experten auf das Konto der Gruppe. 

Schutz vor RAAS-Kampagnen: Best Practices

Bestuzhev empfiehlt in seiner aktuellen Stellungnahme folgende Best Practices:

  • Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
  • Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
  • Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
  • Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
  • Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
  • Erweitern Sie Ihren Überblick auf all Ihre Assets.
  • Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
  • Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
  • Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
  • Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
  • Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.

Innenministerkonferenz spricht sich für die Vorratsdatenspeicherung aus

Auf der diesjährigen Herbstkonferenz der Innenminister und -senatoren (Innenministerkonferenz) sprachen sich die Innenminister des Bundes und der Länder für eine umfassende Speicherung von IP-Adressen zur Strafverfolgung aus. Damit widersprach das Ergebnis dem nur wenige Wochen zuvor ergangenen Beschluss der Justizminister, die mit knapper Mehrheit der anlasslosen Vorratsdatenspeicherung eine Absage erteilt hatten.

EuGH-Urteil erfordert eine Neuregelung

Grund der Debatte war das Urteil des Europäischen Gerichtshofs (EuGH) vom 20. September 2022, worin dieser die deutsche Regelung der Vorratsdatenspeicherung als unvereinbar mit dem EU-Recht erklärt hatte. Das deutsche Telekommunikationsgesetz (TKG) sieht vor, dass Verkehrs- und Standortdaten zehn bzw. vier Wochen lang gespeichert werden müssen. Der EuGH befand, dass sich daraus sehr genaue Rückschlüsse auf das Leben von Privatpersonen ziehen ließen. Laut EuGH ist daher eine Vorratsdatenspeicherung von IP-Adressen nur in engen Grenzen, beispielsweise zum Schutz der nationalen Sicherheit oder zur Bekämpfung schwerer Kriminalität möglich.

Gegenentwurf zum sogenannten Quick-Freeze-Verfahren

Die Innenminister waren sich einig, dass das von Bundesjustizminister Marco Buschmann vorgeschlagene sogenannte „Quick-Freeze-Verfahren“ (wir berichteten) nicht ausreichend sei. Laut Hessens Innenminister Peter Beuth (CDU) seien längere IP-Speicherfristen dringend erforderlich, um Kindesmissbrauch im Internet wirksam zu bekämpfen. Auch Bundesinnenministerin Nancy Faeser zeigte sich erfreut von den Ergebnissen der Innenministerkonferenz.

1 2 3 4 5 196