In der heutigen Degitalisierung geht es um Stress. Aber eigentlich auch wieder nicht. Das mag paradox klingen, hat aber mit einer ganz besonderen Art von Stress zu tun, dem Statusstress. Statusstress ist nicht nur ein wunderschönes Bild von einem Wort, sondern leider auch eine allzu treffende Bezeichnung des Umgangs mit dem Status der Digitalisierung in Deutschland und möglicher Kritik daran.
Besonders häufig zu finden ist der Statusstress in der Verwaltung, zum Teil aber auch im Gesundheitswesen oder bei Unternehmen, die in den beiden Branchen Dienstleistungen erbringen. Um Statusstress genauer zu verstehen, bedarf es einiger prägnanter Beispiele. Aus nicht ganz erfindlichen Gründen kommen ein paar der aktuellen Beispiele für diese Kolumne schwerpunktmäßig aus Berlin.
Das heißt aber nicht, dass Statusstress nicht auch in anderen Regionen in Deutschland, speziell im Kontext der Digitalisierung, vorkommt, es ist eher eine besondere Häufung der Nachrichten der letzten Tage.
Normalerweise ist Stress eine natürliche Alarmreaktion des menschlichen Körpers auf Belastungen, auf Stressoren. Die Auslöser von Stress können Umstände wie Zeitdruck, Lampenfieber oder lebensverändernde kritische Ereignisse sein, etwa ein möglicher Jobverlust. Kurzfristig setzt der menschliche Körper dann Stresshormone wie Adrenalin frei, um mit der kurzfristigen Belastung besser umgehen zu können – in Vorbereitung auf eine kurzfristige Fight-or-Flight-Situation: entweder der Situation stellen oder fliehen.
Stress ist also eigentlich auch ein Mittel, um mit schwierigen Situationen besser umgehen zu können. Ein Mittel, um sich einer gewissen anstrengenden und schwierigen Situation besser stellen zu können. Meist ist eine Situation dann zwar stressig, wir haben höheren Puls und Blutdruck, aber nach dem Ablassen des Stresses haben wir oftmals eine unangenehme Situation erfolgreich gemeistert und mehr erreicht, als wir vorher gedacht hätten.
Nun gibt es solche Stresssituationen auch für die Politik oder der Politik nahestehende Organisationen, für die Verwaltung oder der Verwaltung nahestehende Unternehmen etwa. Stressig kann es oftmals werden, wenn das jeweilige Handeln kritisiert wird, wenn Fehler offensichtlich werden. Auch hier gibt es dann eine Vorbereitung auf eine Fight-or-Flight-Situation. Fehler zugeben, beheben oder doch lieber erst mal kleinreden? Häufig fällt die Entscheidung auf die Aufrechterhaltung des Status Quo, auch wenn es durchweg sehr anstrengend und – titelgebend – stressig sein kann, den Status Quo als richtig darzustellen.
Nur ist die ohnehin schon stressige Aufrechterhaltung des ungenügenden Status Quo auf lange Sicht gar nicht mal so sinnvoll oder gesund, wie ein paar Beispiele aus der Digitalisierung der letzten Tage zeigen.
„Stand der Technik“ ist eine wiederkehrende Formulierung im Gutachten von David Zellhöfer zum Datenatlas der Bundesdruckerei. Zellhöfer ist seines Zeichens Professor an der Hochschule für Wirtschaft und Recht Berlin.
Im Gutachten geht es aber nicht um die Beschreibung, dass der Datenatlas der Bundesdruckerei den Stand der Technik auch erreiche. Es geht wissenschaftlich aufbereitet darum, dass der Datenatlas eben nicht mal den Stand der Technik erreiche. Schlimmer noch, es sei dabei nicht mal der Stand der Technik von heute, sondern der Stand der Technik von vor knapp 40 Jahren.
Eine durchaus harte Kritik, beim genaueren Lesen des Gutachtens finden sich aber viele Anhaltspunkte, wie es besser ginge. Es wird umfangreich aufbereitet, an welchen Stellen Details der Umsetzung des Datenatlas diesen Stand der Technik unterschreiten und welche Umsetzungsalternativen es geben würde. Mit etwas Abstand betrachtet mag das Gutachten zwar nicht nett klingen – es liefert aber zahlreiche Verbesserungsvorschläge, um einen möglichen besseren Datenatlas schaffen zu können. Eigentlich.
Das Gutachten von Zellhöfer mag bei den Beteiligten zu sofortigem Statusstress geführt haben, anders wäre die Prüfung rechtlicher Mittel gegen das Gutachten nicht erklären zu gewesen. Fehler zugeben und diese ausmerzen – oder eben mit viel Aufwand jegliche Kritik am zweifelhaften Status abschmettern. Fight or flight. Statusstress.
Im Falle des Datenatlas und der Bundesdruckerei lässt sich aber nicht genau ermessen, wie viel mehr Aufwand dieser Statusstress am Ende ausmachen wird. Anders ist das bei der zweifelhaften Aufrechterhaltung veralteter IT-Systeme.
In der letzten Woche wurde bekannt, dass der IT-Dienstleister des Landes Berlin, das IT-Dienstleistungszentrum (ITDZ) Berlin, stark unterfinanziert ist. Zwei Kredite in Höhe von 40 Millionen Euro sind nötig gewesen, um den laufenden Betrieb aufrechtzuerhalten. Bemerkenswert daran ist auch, dass die Behörden, die beim Dienstleister Auftragsverhältnisse haben, mit 16,8 Millionen in der Miese stehen. Die finanzielle Lage des Kommunaldienstleisters ist also eigentlich düster, aber als Anstalt öffentlichen Rechts kann das ITDZ nicht so einfach pleitegehen wie normale kommerzielle Unternehmen.
Woher kommt das finanzielle Problem? Einerseits aus der schlechten Finanzlage von Kommunen und Ländern. Andererseits auch vom Statusstress, diesmal in Bezug auf IT-Systeme.
In der Verwaltung werden oftmals sehr viele unterschiedliche Fachverfahren betrieben, spezialisierte Programme für bestimmte Verwaltungstätigkeiten. Programme für das Meldewesen etwa oder Programme zur Verwaltung kommunaler Aufgaben wie der Abfallentsorgung. Beim ITDZ sammeln sich ganz schön viele unterschiedliche Fachverfahren, der Tagesspiegel [€] schreibt von 415 unterschiedlichen Fachverfahren, die Berliner Behörden laut Senatskanzlei nutzen würden.
Auffällig dabei: Das ITDZ gibt einen mittleren zweistelligen Millionenbetrag im Jahr dafür aus, um die Risiken des Weiterbetriebs der Programme zu reduzieren, so ein Bericht der Chief Digital Officer (CDO) Martina Klement an das Berliner Abgeordnetenhaus. Die Kosten für die Risikoreduzierung des Betriebs liegen Klement zufolge bei durchschnittlich 415 Prozent der ursprünglichen Betriebskosten des jeweiligen Verfahrens. Statusstress. Die Aufrechterhaltung des Status Quo wird irgendwann wirtschaftlich so stressig, dass Weglaufen finanziell eigentlich gar nicht mehr funktioniert.
Bei der Beschönigung des nicht mehr funktionierenden Status Quo hilft dann auch keine kreative Antwortfindung seitens der Verwaltung auf Anfragen mehr. Kreativ hervorgetan hat sich etwa das Bezirksamt Charlottenburg-Wilmersdorf bei der Definition von Mehrfaktor-Authentifizierung. Neben einem ersten Faktor „Wissen“, einem Passwort, sei in der Verwaltung ja auch ein zweiter Faktor „Besitz“ vorhanden, weil Computersysteme „nur in Dienstzimmern zu benutzen“ seien, die mit einem Schließsystem gesichert seien. Schwammig wird die Definition dann dadurch, dass dazu auch Privatwohnungen für die „Telearbeit“ gehören sollen.
Mit anerkannten Regeln der Informationssicherheit hat das zwar nichts zu tun, aber irgendwie muss der Status Quo aufrechterhalten werden können. Die Informationssicherheit ist dabei aber zumindest gedanklich in der Überwindung von Statusstress bereits einen Schritt weiter, in Teilen jedenfalls.
In der Informationssicherheit gibt es in Deutschland schon länger immer wieder Beispiele von Statusstress auf Basis des Computerstrafrechts. Nach der Gesetzgebung um den sogenannten Hackerparagrafen kann seit 2007 das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt werden. Auch wenn das erst einmal logisch klingt, führt dies in der Praxis von gutartigen, ethischen Hacker*innen immer wieder zu Problemen. Menschen also, die auf Sicherheitslücken hinweisen, ohne diese bösartig auszunutzen, damit diese geschlossen werden können und somit die Sicherheit steigt.
Da bereits die Vorbereitung von Hacks zu Strafen führen kann, kommt es durch den Hackerparagrafen zu absonderlichen Verurteilungen. Im Fall Modern Solutions etwa wurde ein gutartiger Hacker rechtskräftig verurteilt, weil er die entsprechende Firma darauf hinwies, dass ein Passwort unverschlüsselt in einer ausführbaren Datei einer Middleware-Software gespeichert war. Daraus erwuchs ein erhebliches Sicherheitsrisiko, weil mit diesem einen Passwort ein Zugriff auf die Daten aller Modern-Solutions-Kunden möglich war.
Statt eines Dankes für den Hinweis gab es eine Hausdurchsuchung sowie ein Strafverfahren. Die Verfassungsbeschwerde im Kontext des Falls wurde vor dem Bundesverfassungsgericht abgewiesen.
Eine weitere Form von Statusstress: Durch Strafverfolgung von gutartigen Hacker*innen werden Systeme keinen Deut sicherer, vielmehr werden Sicherheitshinweise im Rahmen von Coordinated Vulnerability Disclosure-Verfahren, wie etwa solchen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), erschwert. Der Status Quo wird auch hier mit viel Stress aufrechterhalten, sicherer werden Systeme dadurch nicht.
Allerdings findet im Kontext des Hackerparagrafen inzwischen ein Umdenken nach. In der letzten Legislatur wurde eine Novellierung des Computerstrafrechts im parlamentarischen Prozess zumindest begonnen, BSI-Präsidentin Claudia Plattner forderte im November eine rechtliche Absicherung von gutartigen Hacker*innen.
Es gibt also bereits erste Ansätze, besser mit Statusstress zurechtzukommen. Nur wird es in vielen Bereichen der Digitalisierung noch viele Anläufe eines besseren Umgangs mit Kritik und einer offenen Fehlerkultur brauchen, um im Moment der Kritik oder Fehlermeldung richtig mit dem aufkommenden Stress umzugehen. Oftmals ist es in den Momenten, in denen Statusstress entsteht, nämlich gar nicht so düster, wie Menschen oftmals meinen, die einen mangelhaften Status Quo verteidigen wollen.
Professoren wie David Zellhöfer schreiben keine mehr als 100-seitigen Gutachten, nur um stumpfe Kritik an Vorhaben wie dem Datenatlas zu äußern. Es geht auch in als harsch wahrgenommener Kritik um Impulse, Dinge besser zu machen. Das Infragestellen veralteter IT-Systeme in der Verwaltung und kritische Fragen zur IT-Sicherheit sind, auch wenn sie als hart empfunden werden, Fragen danach, wie unsere gemeinsame digitale öffentliche Daseinsvorsorge besser werden kann. Ethischen Hacker*innen, die sich Tage und Nächte Zeit nehmen, Sicherheitslücken in fremden Systemen zu finden und zu dokumentieren, geht es nicht ums Kaputtmachen, es geht darum, dass Systeme nicht von anderen, bösartigen Mächten angegriffen werden können.
Diese Erkenntnis ist oftmals nicht so einfach, sie ist aber der erste Schritt zu einem stressfreien digitalen Zusammenleben.
Zwei Sicherheitslücken mit kritischer Risiko-Einstufung finden sich in Ivantis Endpoint Manager Mobile (EPMM). Angreifer können dadurch Schadcode einschleusen. Der Hersteller warnt, dass die Schwachstellen bereits in freier Wildbahn attackiert wurden. Aktualisierungen stehen bereit, mit denen Admins ihre Netze absichern können.
Weiterlesen nach der Anzeige
„Ivanti hat Updates für Endpoint Manager Mobile (EPMM) herausgegeben, die zwei kritische Sicherheitslücken angehen“, schreibt Ivanti in der Sicherheitsmitteilung. „Erfolgreiche Angriffe können zur Ausführung von Code aus dem Netz ohne Authentifizierung führen“, erklärt das Unternehmen weiter. „Wir wissen von einer sehr begrenzten Anzahl von Kunden, deren Lösungen zum Meldungszeitpunkt erfolgreich attackiert wurden.“
Details zu den Schwachstellen hält Ivanti zurück. Das Unternehmen gibt lediglich an, dass beide Schwachstellen vom Typ CWE-94 gemäß Common Weakness Enumeration sind: Unzureichende Kontrolle bei der Generierung von Code (“Code Injection“); das sind Lücken, bei denen Angreifer auf nicht genanntem Weg eigenen Code einschleusen können, der ausgeführt wird. Ivanti ergänzt jedoch, dass Angreifer für solch einen Angriff keine vorherige Authentifizierung benötigen (CVE-2026-1281, CVE-2026-1340; beide CVSS 9.8, Risiko „kritisch“). Die detaillierte Analyse von Ivanti erörtert jedoch, dass die Schwachstellen die In-House-App-Verteilung und die Android-Dateitransfer-Konfigurationsfunktionen betreffen.
In der Nacht zum Freitag hat Ivanti aktualisierte RPM veröffentlicht, mit denen Admins ihre Instanzen auf einen fehlerkorrigierten Stand bringen können. Betroffen sind Ivanti EPMM 12.5.0.0, 12.6.0.0, 12.7.0.0 sowie 12.5.1.0 und 12.6.1.0 und jeweils ältere Versionen. Die Aktualisierungen stehen jeweils als eigene RPMs für die Reihen 12.x.0.x sowie für 12.x.1.x zur Verfügung. Ivanti erklärt, dass es keine Downtime durch Anwendung des Patches kommt und den Entwicklern auch keine Einflüsse auf etwaige Features bekannt sind.
Ivanti erklärt weiter, dass die bekannten Vorfälle noch untersucht würden und bislang keine verlässlichen Informationen vorliegen, die als Indizien für erfolgreiche Angriffe dienen könnten (Indicators of Compromise, IOCs). Allerdings scheinen sich versuchte und erfolgreiche Angriffsversuche mit 404-Errorcodes im Apache-Log niederzuschlagen, wonach Admins daher suchen können. Allerdings erzeugen gepatchte Installationen ebenfalls derartige Fehlercodes, weshalb Ivanti eine Regular Expression für eine bessere Filterung in der detaillierten Analyse vorschlägt.
IT-Verantwortliche sollten umgehend ihre Instanzen patchen. Zuletzt hatte Ivanti im Dezember eine kritische Sicherheitslücke in Ivantis Endpoint Manager geschlossen – zu dem Zeitpunkt waren jedoch keine Angriffe auf die Lücke bekannt.
Weiterlesen nach der Anzeige
(dmk)
Das Weiße Haus hebt Vorgaben für IT-Sicherheit bei US-Bundesbehörden auf. Die in Folge des Solarwinds-Desasters erstellten Regeln für behördlich genutzte Software sind nicht länger bindend. Wesentlicher Bestandteil war, dass Behörden erheben, von welchen Bibliotheken, Programmen und Diensten ihre Software abhängt (SBOM, Software Bill of Materials). Wer diese Information hat, kann leichter erkennen, ob seine Software von bekannt gewordenen Sicherheitslücken betroffen ist.
Weiterlesen nach der Anzeige
Vergangenen Freitag hat das Office of Management and Budget (OMB), eine Abteilung des Weißen Hauses, die Aufhebung der bisherigen Sicherheitsregeln für Beschaffung und Einsatz von Software aufgehoben (M-26-05). Fortan soll jede Behörde für sich entscheiden, welchen Risiken sie ausgesetzt ist und wie sie diesen zu begegnen hat. Dies ist Ausfluss der Deregulierungspolitik des republikanischen US-Präsidenten Donald Trump.
Ab sofort ist Bundesbehörden freigestellt, ob sie das NIST Secure Software Development Framework (SSDF), SP 800-218 und die NIST Software Supply Chain Security Guidance einhalten möchten oder nicht. Diese Regeln werden in dem neuen Erlass als „unbewiesen und mühsam” bezeichnet, die „Compliance über echte Sicherheitsinvestitionen gestellt” hätten. Was er als echte Sicherheitsinvestitionen erachtet, lässt OMB-Chef Russell Vought offen.
„Jede Behörde soll die Sicherheit ihrer Lieferanten validieren, indem sie sichere Programmierprinzipien anwendet, basierend auf einer umfassenden Risikoeinschätzung”, gibt er allgemein gehalten vor. Zwar sollen Behörden ein Verzeichnis der bei ihnen eingesetzten Soft- und Hardware führen sowie jeweils eigene Richtlinien und Prozesse für Hard- und Software ausarbeiten, aber nur soweit dies „ihre Risikoeinschätzung und Aufgabenstellungen” erfordern. Was das in der Praxis heißt, bleibt den einzelnen Behörden überlassen.
Die jetzt aufgehobenen Sicherheitsvorkehrungen haben eine Vorgeschichte: 2019 gelang es mutmaßlich staatlichen Angreifern Russlands, Solarwinds‘ Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. Solarwinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen sowie Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren, weil die Angreifer das Arsenal an Hack-Software geplündert hatten. Fireeye gehörte zum Teil der CIA. Im Februar 2021 sprach Microsoft-Manager Brad Smith vom „größten und raffiniertesten Angriff, den die Welt je gesehen hat“.
Nach diesem schweren Schlag ergriff der damalige US-Präsident Joe Biden Maßnahmen, die im Mai 2021 in einem Erlass für IT-Sicherheit in Bundesbehörden (Executive Order 14028 Improving the Nation’s Cybersecurity) verdichtet wurden. Dazu gehörte die Absicherung der Lieferkette für Software. Das NIST (National Institute for Standards an Technology), eine Abteilung des US-Handelsministeriums, schritt zur Tat und arbeitete die erwähnten Secure Software Development Framework und Software Supply Chain Security Guidance aus. Zeitgemäß, denn inzwischen ist fast jedes dritte Unternehmen von Angriffen auf seine Software-Lieferkette betroffen.
Weiterlesen nach der Anzeige
Die Einhaltung dieser NIST-Empfehlungen wurde durch OMB-Erlass M-22-18 für Bundesbehörden ab September 2022 verpflichtend. Lieferanten mussten zeigen, dass sie ihre Software unter Einhaltung von Sicherheitsprinzipien entwickeln und welche Komponenten enthalten sind (SBOM). Ausgenommen waren behördliche Eigenentwicklungen, die sich jedoch tunlichst an den gleichen Regeln orientieren sollten.
Im Juni 2023 verlängerte OMB-Erlass M-23-16 bestimmte Übergangsfristen bis Dezember des Jahres und stellte klar, dass Open Source Software nicht erfasst ist. Schließlich gibt es dort keinen zentralen Lieferanten, der die Entwicklung überwacht. Außerdem wurde proprietäre frei verfügbare Software ausgenommen, beispielsweise Webbrowser. Denn Anbieter kostenloser Software setzen meist auf „friss oder stirb” – sie sind schwer dazu zu bewegen, Zertifizierungen zu durchlaufen und Abhängigkeiten offenzulegen.
Entwicklungen im Behördenauftrag waren so weit ausgenommen, als die Behörde die Entwicklung bestimmt und beaufsichtigt, denn das galt dann als Eigenentwicklung. Die Einschränkungen des Jahres 2023 gehen der amtierenden US-Regierung nicht weit genug. Sie hebt beide OMB-Erlässe aus der Amtszeit Bidens auf.
(ds)
Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.
Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.
Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.
In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.
Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.
Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.
Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.
Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.
Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.
Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.
Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.
Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.
Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.
Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.
Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.
Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.
Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“
![Neu in .NET 10.0 [8]: Neuerungen für partielle Klassen in C# 14.0](https://i3.wp.com/heise.cloudimg.io/bound/1200x1200/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/5/0/1/8/0/4/4/csharp_sign-880ad48e29751852.jpg?w=80&resize=80,80&ssl=1 "Neu in .NET 10.0 [8]: Neuerungen für partielle Klassen in C# 14.0")
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
Syncthing‑Fork unter fremder Kontrolle? Community schluckt das nicht
Weiter billig Tanken und Heizen: Koalition will CO₂-Preis für 2027 nicht erhöhen
