|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 04. April 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Regulierungen in der digitalen Welt
- Aktuelles aus dem Datenschutz
|
1. Regulierungen in der digitalen Welt
Die digitalen Prozesse werden nicht nur mehr, sondern vor allem auch immer komplizierter. Es ist daher folgerichtig, dass wir immer mehr Regulierungen brauchen, um diese Prozesse in die richtige Richtung zu lenken. Das führt zum sogenannten "Bürokratiemonster", aber unter dem Strich führt kein Weg daran vorbei. Denn ohne Regulierung hätten wir Anarchie bzw. eine Herrschaft der Tech-Konzerne und der Cyber-Kriminellen.
|
Seit 2016 können wir in der EU eine deutliche Beschleunigung bei der Regulierung der digitalen Welt sehen. Inhaltlich stehen wir zwar erst am Anfang und die Rückschläge sind groß, aber der Ansatz den Menschen vor der Digitalisierung zu schützen bzw. zwischen den Bedürfnissen des Menschen und der Digitalisierung einen Ausgleich zu finden, ist da. Neben der DS-GVO gibt es inzwischen eine ganze Reihe weiterer EU-Verordnungen, die die Digitalisierung regeln.
|
Ein grundlegender Baustein für die IT-Sicherheit ist die Richtlinie 1148/2016, auch NIS genannt. Sie wird dieses Jahr noch durch NIS2 abgelöst und auf den neusten Stand gebracht. Die neue Richtlinie ist bereits am 16.01.2024 in Kraft getreten, umgesetzt muss sie aber erst zum 17.10.2024 werden. Hierzu ist ein Umsetzungsgesetz auf dem Weg und diese Regulierung, die am Ende wohl sehr viele Unternehmen betreffen wird, wird Thema im nächsten Newsletter sein. In der Richtlinie geht es um die Betreiber kritischer Infrastruktur und eine Reihe von Anforderungen, die erfüllt werden müssen. Aufsicht hat dabei das BSI (Bundesamt für Sicherheit in der Informationstechnologie). Die Existenz des BSI und nationaler Strukturen zur IT-Sicherheit gehen übrigens auch in weiten Teilen auf EU-Verordnungen zurück. Bereits 2013 hatte eine Verordnung Strukturen zur Umsetzung von IT-Sicherheit verpflichtend gemacht und wurde mit dem Cybersecurity-Act, Verordnung der EU 881/2019, inzwischen modifiziert.
|
Eine wenig beachtete Regulierung ist die Richtlinie 2161/2019, die als Omnibus-Richtlinie bekannt geworden ist. Eine EU-Richtlinie entfacht keine unmittelbare Wirkung als Gesetz, sondern muss durch nationales Recht umgesetzt werden. Die Richtlinie ist ein erster Schritt auf dem sehr schwierigen Gebiet der Desinformation im Internet. Es geht dabei um Transparenz, Richtigkeit und Wettbewerbsverzerrungen bei oder durch Bewertungen, Produktbeschreibungen und Suchergebnissen. Es wäre falsch zu sagen, dass dieser Ansatz zu gar nichts geführt hat, aber es ist nur ein erster Schritt in die richtige Richtung. In diesem Zusammenhang sein darauf hingewiesen, dass auch für die digitale Welt alle Regulierungen für Verbraucherschutz gelten, die in der analogen Welt eingehalten werden müssen.
|
Im Ansatz geht es bei der eben genannten Omnibus-Richtlinie darum, die Monopolstellung und Marktmacht der Tech-Konzerne zu brechen. In Bezug auf das Verhältnis der großen Tech-Konzerne zu kleineren gewerblichen Anbietern, war die Verordnung der EU 1150/2019 bereits ein erster Schritt. Dieser Ansatz wurde in noch stärkerer Form mit der Verordnung der EU 1925/2022, dem sogenannten Digital Markets Act, fortgeführt. Einige Tech-Konzerne wurden bereits als Torwächter für bestimmte Anwendungen eingestuft. Diese Einstufungen erfolgten im Spätsommer 2023 und nunmehr ist die Umsetzungsfrist abgelaufen. Die Ergebnisse sind sehr unterschiedlich. Microsoft hat sich mit am besten geschlagen und eine Vielzahl von Veränderungen eingeführt, die auferlegt worden waren. Auch beim Meta-Konzern hat sich etwas getan. Nicht so viel hingegen bei ByteDance, dem Mutterkonzern von Tiktok, und bei Apple. Apple hat deswegen, nicht viel beachtet in den Nachrichten, bereits eine Strafe auferlegt bekommen. Und zwar 1,8 Milliarden Euro. "Milliarden" ist kein Tippfehler, es sind nicht Millionen, sondern Milliarden. Ob Apple das jemals zahlen wird, da bin ich skeptisch. Aber es ist zu mindestens mal eine Ansage der EU-Kommission.
|
Zu Tiktok, also ByteDance, wird auch eine saftige Strafe erwartet. Diese Social Media Plattform ist kompliziert in der Einordnung. Die Installation der Anwendung ist aus Sicherheitsgründen in allen Einrichtungen der EU verboten. Aus selben Sicherheitsgründen auch in deutschen Regierungsnetzen, was auch Grund dafür ist, dass nur sehr wenige Parteien oder Politiker*innen, außer der AfD, dort aktiv sind, und daher die AfD die Plattform politisch klar dominiert. Dieses Sicherheitsdenken, einige sprechen von einer Sicherheits-hysterie, ist nicht ganz unbegründet. ByteDance ist ein chinesischer Konzern und könnte die Plattform theoretisch jederzeit zu "bösen Absichten" missbrauchen. Die Art des Einsatzes von Javascript in dem Portal würde dieses auch auf sehr einfache Art und Weise ermöglichen. Mit dieser Anwendung vorsichtig zu sein, ist sicher keine übertriebene Hysterie. Einen anderen Weg im Umgang mit Tiktok bestreitet derzeit die USA. Es ist ein Weg, der in der Tat Fragen aufwirft, denn man will dort Tiktok per Gesetz zerschlagen. Entweder muss ByteDance Tiktok verkaufen oder die Anwendung wird in den USA verboten. Der Ansatz ist mit den Grundsätzen freier Marktwirtschaft, Wettbewerb und weiteren demokratischen Grundwerten sehr schwierig zu vereinbaren. Die Geschichte erinnert an die Zerschlagung von Standard Oil im Jahr 1911. Es ging damals mit einem jahrelangen Rechtsstreit einher, wobei am Ende die Familie Rockefeller noch reicher als je zuvor wurde. Mal schauen, wie die Neuauflage mit ByteDance ablaufen wird.
|
Last but not least ist seit dem 17.02.2024 nun auch die Verordnung der EU 2065/2022 in Kraft getreten, der sogenannte Digital Services Act (DSA). In Deutschland wird diese Verordnung, die unmittelbar gilt, durch das DDG (Digitale Dienste Gesetz) umgesetzt, welches, wen wundert es, noch nicht final durch den Gesetzgebungsprozess ist. Aufsichtsbehörden für diese Regulierung werden, in Form sogenannter "digitaler Koordinatoren", die Bundesnetzagentur als auch die Bundeszentrale für Kinder- und Jugendmedienschutz, soweit die Rechte Minderjähriger betroffen sind. Der DSA hat es in sich. Die Anbieter von Suchmaschinen, Messengern, Hosting- und Social Media Diensten werden der Größe nach in verschiedene Kategorien eingeteilt und es werden diesen sehr weitreichende Pflichten auferlegt. Diese Pflichten betreffen vor allem die Ausspielung sowie die Moderation von Inhalten. Für gesetzeswidrige Inhalte, zum Beispiel Beleidigung oder Volksverhetzung, muss ein Meldesystem bestehen und gesetzeswidrige Inhalte müssen gelöscht werden. Ferner dürfen Nutzer*innen nicht ohne weiteres gesperrt werden. Die Algorithmen, die die Ausspielung der Beiträge steuern, müssen transparent gemacht werden sowie einiges mehr. Bei Missachtung der Pflichten steht den Nutzer*innen ein Beschwerde-recht bei der digitalen Koordinierungsstelle zu. Für Erwachsene ist die Nutzung besonders schutzwürdiger personenbezogener Daten im Sinne des Art. 9 DS-GVO zur Ausspielung personenbezogener Daten jetzt verboten. Für Minderjährige ist die Ausspielung personalisierter Werbung sogar generell verboten worden. Schritte in die richtige Richtung, wobei der Schutz Minderjähriger einige juristische wie technische Problemstellungen aufwirft und in vielen Bereichen leider ineffektiv bleiben wird, so meine Einschätzung. Aus dem DSA drohen den Tech-Konzernen Bußgelder bis zu 10% des Jahresumsatzes, und es wird in Bezug auf zukünftige Bußgelder sicher spannend werden. Kandidat Nummer Eins ist dabei die Plattform X, vormals Twitter, die sich entweder komplett wandelt oder Bußgeldkönig werden wird.
|
Mit dem DSA werden Schutzrechte im Internet gestärkt oder überhaupt erst geschaffen. Ausgenommen hierbei bleibt weiterhin das Problem von Desinformation, Hass- und Hetze. Dieses ist ein ganz schwieriges Feld, da, soweit nicht strafbar, vieles von der Meinungsfreiheit gedeckt ist. Dabei ist das erfinden von Tatsachen, die nicht stimmen oder nie passiert sind, natürlich keine Meinung und hat auch nichts mit Meinungsfreiheit zu tun. Gleiches gilt für ein Stalking und zerstören von Menschen durch Diffamierung unterhalb förmlicher Beleidigung. Es ist aber schwierig dieses so abzugrenzen, dass Meinungsfreiheit und Grundrechte nicht beeinträchtigt werden.
|
Final und gerade Mitte März 2024 im EU-Parlament beschlossen, gibt es demnächst noch den AI-Act, der als Verordnung der EU kommen wird. Hier geht es um die Regulierung künstlicher Intelligenz. Zankpunkte gibt es dabei viele und diese Verordnung ist sehr umstritten. Der CEO von Alphabet, also Google, ist übrigens für KI-Regulierung und lobt den Weg der EU. Final wurde der AI-Act mehrmals aufgeweicht. Kerngedanke ist die Wahrung der Grund- und Menschenrechte beim Einsatz künstlicher Intelligenz. Zweifellos ein guter Ansatz. Ein genereller Schutz vor einer Gesichtserkennung im öffentlichen Raum, und damit eine Massenüberwachung der Bürger*innen der EU, wurde auf Druck konservativer Politiker*innen gestrichen. Es ist ein komplexes Thema und am Ende doch eine deutliche Niederlage für den Schutz von Menschen vor staatlicher Überwachung. Dieser Kampf zwischen Datenschutz, Netzfreiheit und Überwachungswunsch des Staates wird derzeit auf allen Ebenen der EU und in den Mitgliedsländern geführt. Es ist eines der Themen unserer Zeit, das detaillierter betrachtet ein wenig verwundert. Denn nur 30 Jahre zurück, am Ende des kalten Krieges und der Stasi, hätte man sich über Methoden, wie wir sie heute zur potentiellen Überwachung und Beeinflussung sehen, in der Gesellschaft und in allen politischen Lagern so ereifert, dass diese niemals zugelassen worden wären. Aber die Zeiten und mit ihnen die Ansichten haben sich geändert. Heutzutage ist vieles salonfähig, was einst unsäglich war. Dazu gehört auch die Überwachung der Menschen durch Mittel der Informationstechnologie. Man geht wie selbstverständlich davon aus, dass diese Überwachungsmöglichkeiten natürlich nur von den redlichen, guten, demokratischen und moralischen Akteuren zu rechtskonformen Zwecken genutzt werden. Aber was, wenn nicht? Was, wenn man hier zu naiv ist?!
|
2. Aktuelles aus dem Datenschutz
Passend zum obigen Thema berichtet das IT-News Portal Golem über das Thema "Ladendiebe mit KI fassen". Ein französisches Startup namens Veesion bietet eine solche Software an, die auch bereits in Deutschland eingesetzt wird. Der Einsatz wirft sehr viele Fragen auf und Datenschützer sind sich sehr einig, dass die Anwendung nicht konform mit der DS-GVO ist. Dieses beginnt bereits mit der Information über den Einsatz, die deutlich bei Betreten eines Ladegeschäfts kenntlich gemacht werden muss. Auch fraglich ist der zunehmende Einsatz von KI zur Parkplatzüberwachung. Ein Anbieter solcher Systeme ist die Loyal Parking Deutschland GmbH in Dortmund. Diese wird gerade von der Aufsichtsbehörde zu ihrer Datenverarbeitung untersucht.
|
Die neue BSI Präsidentin Claudia Plattner warnt, dass "die Gefährdungslage so hoch wie nie ist". Ehrlich gesagt wissen wir das und es ist nichts neues. Nicht neues sind auch fortlaufenden russische Attacken auf Microsoft. Nichts neues ist ebenso die Tatsache, dass die EU Infrastruktur besser vor Cyberattacken schützen will. Angedacht ist ein Warnsystem für Cybersicherheit, dass Teil des kommenden Cybersolidaritätsgesetzes ist. Problem dabei ist aber die Hardware und Software in der kritischen Infrastruktur, die meistens dringend erneuert werden müsste, nur dass die staatlichen Akteure dafür kein Geld zur Verfügung haben.
|
Im Bereich der Automobilbranche wird Cyberkriminalität und Cybersicherheit als die größte Herausforderung der kommenden Jahre gesehen. Das berichtet eine Studie des Center of Automotive Management (CAM). Und diese Thematik darf man auf keinen Fall unterschätzen. Autos haben inzwischen eine Vielzahl an Bordcomputern und sind mit Ladeinfrastruktur, SIM, WLAN, Bluetooth, USB, Funkschlüssel oder Diagnoseschnittstellen mit dem Internet oder anderen Geräten verbunden. Eine Manipulation der Fahrtauglichkeit von Autos kann gravierende Auswirkungen haben. Daneben sammeln Autos sehr viele personenbezogene Daten, die missbraucht werden können.
|
Apple hat mit dem macOS14.4 um die 70 Sicherheitslücken geschlossen. Die übliche Geschichte. Bei Microsoft Windows war es sicher nicht anders und auch Chrome und Edge hatten einige Sicherheitslücken, die durch Updates geschlossen wurden. Das bedeutet am Ende nur, dass weiterhin Sicherheitslücken existieren, die nur nicht bekannt sind. "Nur nicht bekannt" heißt dabei nicht öffentlich bekannt und nicht den Herstellern der Anwendungen. Hackern vielleicht und vermutlich schon.
|
Eine Umfrage der EDSA (europäische Datenschutzaufsicht), an der 25 Aufsichtsbehörden verschiedener EU-Länder beteiligt waren, bestätigte eigentlich nur das, was wir alle wissen: Immer noch haben nicht alle Unternehmen in den EU-Ländern, insbesondere auch dort, wo es verpflichtend ist, einen Datenschutzbeauftragten bestellt. Ferner haben die Datenschutzbeauftragten zu wenig Ressourcen und Zeit zur Verfügung, um ihre Aufgaben angemessen umzusetzen. Sehr oft kommt es zu Interessenkonflikten oder die Weisungsfreiheit ist nicht gegeben.
|
Das BSI hat in einem CERT-Newsletter über Passkeys und deren Funktionsweise informiert. Man glaubt dort, dass diese Login-Methode zukünftig Passwörter ablösen könnte. Ein vollständiges Ablösen ist schwierig, aber vieles spricht dafür, dass diese Methodik des Login zukünftig vorrangig genutzt werden wird. Passkeys sind eine weitgehend phishing-sichere Technik, bei der ein Schlüsselpaar erzeugt und mit einem Account für eine Anwendung verknüpft wird. Es klingt sehr kompliziert, ist es aber in der Praxis nicht. Die Einrichtung erfolgt über die Anbieter und sollte immer mit einer 2-Faktor-Authentisierung erfolgen, wodurch eine sehr hohe Sicherheit gewährleistet ist.
|
Dann gibt es noch eine Modifikation des Onlinezugangsgesetzes (OZG). Die entscheidende Neuerung ist die, dass den Bürger*innen In Deutschland ab 2028 ein Recht zustehen soll, digitale Verwaltungsleistungen beim Verwaltungsgericht einklagen zu können. Ich sehe das recht pragmatisch und glaube nicht, dass es praktisch zu etwas führt. Wenn ich eine staatliche Verwaltungsleistung brauche, dann wird es wenig helfen darauf zu klagen diese auch digital durchführen zu dürfen, wenn man die Leistung mehr oder minder sofort braucht, eine Klage vor dem Verwaltungsgericht aber Jahre dauert.
|
Zunehmend gerät das Quanten-Computing in den Fokus der Tech-Konzerne. Nach Signal hat nun auch Apple iMessages auf Post-Quanten-Kryptografie umgestellt. Früher oder später werden alle Verschlüsselungen in diese Richtung gehen müssen, um die Sicherheit vor Entschlüsselung angemessen gewährleisten zu können.
|
Abschließend ist diese Zahl vielleicht interessant für alle diejenigen, die jetzt daran denken Ihren Sommerurlaub zu buchen: Ca. 20 Millionen Menschen wurden im Jahr 2023 Opfer von verschiedenen Formen von Cyberkriminalität in Zusammenhang mit Reisebuchungen. vorwiegend durch professionell gefälschte Webseiten und E-Mails. Das sagt ein Artikel von
t-online, der sich auf Daten von Statista beruft. Vermutlich bezieht sich die Zahl auf Menschen weltweit.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich mal wieder einen Blick auf NIS2 und in die Jahresberichte der Datenschutzbehörden für 2023 werfen, was dort interessantes enthalten ist.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
