Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.

Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.

Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.

Wann gelten pseudonymisierte Daten als personenbezogen?

In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.

Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.

Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.

Ringen um EuGH-Urteil

Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.

Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.

Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.

Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.

Auch Alexander Roßnagel übt Kritik

Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.

Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.

Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.

Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.

Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen

Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.

Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.

Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“

Im eigenen Portemonnaie haben die meisten von uns nicht nur Bargeld, sondern auch etliche Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek. Das Bundesdigitalministerium (BMDS) arbeitet daran, diese Karten nach und nach um digitale Nachweise zu ergänzen.

Im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.

Zum Start der Wallet braucht es nicht nur eine Smartphone-App, sondern auch eine digitale Infrastruktur. Vor wenigen Tagen hat das BMDS gemeinsam mit der Agentur für Sprunginnovationen (Sprind) eine Testumgebung gestartet. Unternehmen und Behörden können hier Anwendungen der geplanten Wallet testen. Digitalminister Karsten Wildberger (CDU) spricht von einem „Meilenstein“.

Staatliche Wallet zuerst

Zum Start der Wallet im Januar sollen sich Bürger:innen zunächst gegenüber der Verwaltung und Unternehmen digital ausweisen können. Erst später sollen dann weitere Nachweise wie Führerschein und Versicherungskarten hinzukommen.

Damit Unternehmen, Behörden und Organisationen die geplanten Funktionen in der sogenannten Sandbox testen können, müssen sie sich zunächst als Relying Party registrieren. Als solche werden Einrichtungen bezeichnet, die digitale Berechtigungsnachweise prüfen, die Nutzende in ihrer EUDI-Wallet haben.

Die Ergebnisse der Testläufe sollen dann in die weitere Entwicklung der staatlichen Wallet einfließen. Voraussichtlich 12 Monate nach deren Start können auch private Anbieter eigene Wallets anbieten, die sie dann mit eigenen Zusatzdiensten anreichern können.

Pilotprojekt in Sachsen

Bereits im Oktober vergangenen Jahres startete das Bundesdigitalministerium zusammen mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt in Sachsen.

Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit die erste Kommune Deutschlands, die die Wallet nutzt.

Außerdem wird das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.

Viele EU-Staaten liegen hinter dem Zeitplan

Die EUDI-Wallet basiert auf einem EU-Gesetz, das im Mai 2024 in Kraft trat. Die EU-Mitgliedstaaten müssen die Verordnung in nationale Gesetze gießen. Außerdem müssen sie bis Anfang 2027 eigene Wallets anbieten.

Ob dies EU-weit gelingt, ist allerdings fraglich. Der norwegische Identifizierungsdienstleister Signicat hat im vergangenen Dezember ermittelt, dass die Mehrheit der EU-Staaten hinter dem Zeitplan liegt. Nur zwölf Staaten werden demnach bis Ende 2026 wahrscheinlich eine fertige Wallet anbieten können, darunter Frankreich, Deutschland, Österreich, Griechenland und Italien.

Residential Proxies verteilen Netzwerkverkehr von Kunden auf Geräte, die bei Internetprovidern in den Endkundenbereichen stehen. Darüber leiten vielfach Cyberkriminelle ihre Daten, um ihre Herkunft zu verschleiern. Nun ist Googles Threat Intelligence Team ein empfindlicher Schlag gegen das als bislang größte Residential-Proxy-Netzwerk IPIDEA gelungen.

Einerseits hat Google zusammen mit Partnern Domains vom Netz genommen, die zur Steuerung von Geräten und Proxy-Traffic dadurch genutzt wurden. Andererseits haben die IT-Forscher technische Informationen zu Software-Development-Kits (SDKs) und damit entwickelter Proxy-Software für das IPIDEA-Netz an Plattformanbieter, Strafverfolger und Forschungseinrichtungen weitergereicht, um ein Bewusstsein bei allen potenziell Betroffenen zu schaffen.

Die SDKs werden etwa Entwicklern über mehrere Mobil- und Desktop-Plattformen angeboten und dienen dazu, Geräte von Nutzerinnen und Nutzern heimlich dem IPIDEA-Netzwerk hinzuzufügen. Das gemeinsame Vorgehen gegen diese SDK hilft, die Weiterverbreitung des Netzwerks einzudämmen. Auf zertifizierten Android-Geräten hat Google zudem die Sicherheitsmechanismen nachgeschärft. Google Play Protect soll seitdem User warnen und die Apps entfernen, die das IPIDEA-SDK enthalten – und ihre künftige Installation unterbinden.

Begehrte Rsidential-Proxy-Adressen

IP-Adressen aus Ländern wie den USA, Kanada und Europa seien besonders begehrt, erklärt Google in der Analyse. Die Proxy-Software sei entweder auf den Geräten vorinstalliert oder komme mit trojanisierten App-Versionen auf die Smartphones, führt Google weiter aus. Einige Nutzerinnen und Nutzer könnten sich solche Software sogar willentlich installieren, angelockt von dem Versprechen, ihre verfügbare Bandbreite zu monetarisieren. Sind die Geräte erst einmal im Residential-Proxy-Netzwerk angemeldet, verkaufen die Betreiber Zugriff darauf an ihre Kunden.

Die Betreiber solcher Proxy-Netze betonen oft die Privatsphäre und freie Meinungsäußerung als Nutzen der Residential Proxies. Googles Untersuchungen zeigten jedoch, dass diese Netze zu einem überragenden Teil von bösartigen Akteuren genutzt werden. IPIDEA hat Bekanntheit dafür erlangt, mehrere Botnetze zu beherbergen. Das SDK spielt demnach eine Schlüsselrolle dabei, Geräte den Botnetzen hinzuzufügen. Das betreffe das Badbox-2.0-Botnetz, das Aisuru-Botnetz und das Kimwolf-Botnet sowie weitere.

Google hat IPIDEA-Nutzung zudem zum Ausführen von Spionage und zum Verüben von Verbrechen durch Bedrohungsakteure beobachtet. Allein in einem siebentägigen Zeitraum im Januar hat Google mehr als 550 Cybergangs verfolgen können, die mit den IPIDEA-Exit-Knoten ihre Aktivitäten zu verschleiern versuchten. Darunter waren Gruppierungen aus China, Iran, Nordkorea und Russland. Sie haben damit unbefugt auf Security-as-a-Service-(SaaS)-Umgebungen und On-Premises-Infrastruktur von Opfern zugegriffen und Passwort-Spraying-Attacken gestartet.

Bei der Untersuchung haben Googles IT-Sicherheitsforscher 3075 ausführbare Windows-Dateien gefunden sowie mehr als 600 Android-Apps, die Verweise auf die Tier-1-Domains des Command-and-Control-Netzwerkes enthalten. Die mobilen Apps hatten zu einem großen Teil normale Funktionen von Tools, Spielen oder Inhaltsanzeigen, nutzten jedoch die IPIDEA-SDKs und aktivierten das Proxy-Verhalten zur Monetarisierung. Die Analyse schließt noch mit einigen Indizien für Infektionen (Indicators of Compromise, IOCs), mit denen Interessierte ihre Systeme auf möglichen Befall prüfen können.

Im Jahr 2024 warnte etwa der Identitätsverwaltungsdienstleister Okta davor, dass es zu vermehrten Credential-Stuffing-Angriffen kam. Diese gingen ebenfalls von Residential Proxies aus.

(dmk)