Im Ringen um eine Reform der Datenschutzgrundverordnung (DSGVO) unterstützt die deutsche Bundesregierung offenbar den Vorschlag der EU-Kommission für eine weitergehende Aufweichung. Konkret setzt sich Deutschland im Rat der EU-Mitgliedstaaten dafür ein, personenbezogene Daten unter Umständen von der DSGVO auszunehmen. Das berichtet MLex [Paywall] unter Berufung auf einen Kompromissvorschlag der Deutschen.

Der Rat verhandelt derzeit über seine Position zu einem Gesetzespaket, mit dem die EU-Kommission Teile ihrer Digitalregulierung überarbeiten will, um Europas Wettbewerbsfähigkeit zu erhöhen. Das „Digitaler Omnibus“ genannte Sammelgesetz soll unter anderem sich überlappende Datennutzungsgesetze zusammenführen, die Anwendung von KI-Regeln aufschieben und die DSGVO reformieren.

Während die EU-Kommission behauptet, es handle sich dabei lediglich um Vereinfachungen und technische Anpassungen, gehen einzelne Vorschläge faktisch weit darüber hinaus.

Umkämpfte Definition

Besonders umstritten ist der Vorschlag, pseudonymisierte Daten teilweise von der DSGVO auszunehmen. Unter Pseudonymisierung versteht man das Ersetzen direkter Identifikationsmerkmale wie Namen oder Telefonnummern durch ein Pseudonym, etwa eine Buchstaben- oder Zahlenkombination. Bislang gelten unter der DSGVO in der Regel auch pseudonymisierte Daten als personenbezogen. Erst bei einer Anonymisierung fallen Daten aus dem Geltungsbereich der Verordnung, also wenn sie nicht mehr einer Person zuzuordnen sind.

Die Kommission will hier einen sogenannten relativen Personenbezug einführen. Vereinfacht gesagt bedeutet das: Daten sollen für Verarbeiter dann nicht mehr als personenbezogen gelten sollen, wenn es unwahrscheinlich ist, dass sie Personen hinter Pseudonymen re-identifizieren.

Der Europäische Datenschutzausschuss, in dem die nationalen Aufsichtsbehörden organisiert sind, und der Europäische Datenschutzbeauftragte, übten an dem Vorhaben scharfe Kritik. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO und fürchten Rechtsunsicherheiten.

Von Big Techs Wunschliste

Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem pseudonymisierte Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit sehr leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Solche vermeintlich durch Pseudonymisierung geschützten Daten können für Betroffene erhebliche Risiken bedeuten.

In ihrem Vorschlag beruft sich die EU-Kommission auf die jüngste Rechtsprechung des Europäischen Gerichtshofes. Kritiker:innen wie die Berliner Datenschutzbeauftragte Maike Kamp merkten jedoch an, dass dies auf einer selektiven Auslegung der EuGH-Rechtsprechung beruhe. Der Vorschlag der Kommission könne dazu führen, dass etwa Daten aus Online-Tracking nicht mehr der DSGVO unterliegen würden.

Der Datenschutzaktivist Max Schrems und die Organisation noyb warnen zudem davor, dass die Änderung die Arbeit von Aufsichtsbehörden weiter erschweren und kleine sowie mittlere Unternehmen ohne große Rechtsabteilungen überfordern könnte. Eine Aufweichung der Regeln zu pseudonymisierten Daten hatten unter anderem große Tech-Konzerne jahrelang gefordert.

Selbst Bundesregierung warnt vor Rechtsunsicherheiten

Nach ersten Verhandlungen in der Arbeitsgruppe Vereinfachung hatte die zypriotische Ratspräsidentschaft Ende Februar vorgeschlagen, den umstrittenen Passus und weitere Vorschläge der Kommission ganz zu streichen. Statt einer geänderten Definition sollten lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen.

MLex zufolge unterstützt eine Reihe von Staaten den Vorschlag der Ratspräsidentschaft, darunter Österreich, Belgien, Kroatien, Bulgarien und die Niederlande. Dagegen wendet sich dem Bericht zufolge Deutschland, unterstützt von Dänemark.

Die Bundesregierung, in der Arbeitsgruppe vertreten durch das CDU-geführte Digitalministerium, betone die Notwendigkeit eines relativen Personenbezugs beziehungsweise einer relativen Anonymisierung, so MLex. Sie schlage eine Änderung der Definition personenbezogener Daten unter Verweis auf den bereits bestehenden Erwägungsgrund 26 der DSGVO vor.

Dort heißt es: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“ Tatsächlich ist der relative Personenbezug in dieser Fußnote bereits angelegt, indem auf die Fähigkeiten und die Motivation des Verarbeiters zur Re-Identifizierung abgestellt wird.

Dass der Schritt, den Erwägungsgrund für die Definition personenbezogener Daten zu nutzen, ein Risiko für kleine und mittlere Unternehmen birgt, sieht allerdings offenbar auch die Bundesregierung. Laut MLex schreibt sie, der Text müsse „sorgfältig formuliert werden, damit er nicht zu weiteren Unsicherheiten führt und es für Verantwortliche, Auftragsverarbeiter und betroffene Personen schwieriger macht, ihre Rechte und Pflichten zu verstehen.“

Canonical hat den Authentication-Daemon Authd in die offiziellen Paketquellen des kommenden Ubuntu 26.04 LTS aufgenommen. Damit können Nutzer erstmals direkt über die Standardpaketquellen auf die Software zugreifen, mit der sich Ubuntu-Systeme bei Cloud-basierten Providern authentifizieren können. Bislang war Authd nur über ein PPA (Personal Package Archive) oder durch manuelle Kompilierung verfügbar.

Authd ist ein Authentication-Daemon, der die Integration von Ubuntu Desktop und Server mit Cloud-basierten Identity-Providern ermöglicht. Die Software nutzt dazu standardisierte Protokolle wie OpenID Connect (OIDC) und den OAuth 2.0 Device Authorization Grant Flow (RFC 8628). Das Besondere: Authd verfolgt eine modulare Broker-Architektur, bei der für jeden Identity-Provider ein eigener Broker als Snap-Paket bereitsteht.

Aktuell unterstützt Authd Microsoft Entra ID und Google Cloud IAM direkt. Neu in Ubuntu 26.04 LTS ist ein generischer OIDC-Broker, der die Anbindung beliebiger OIDC-kompatibler Provider erlaubt. Damit können Administratoren nun auch Dienste wie Okta, Auth0, Ping Identity oder selbst gehostete Software wie Keycloak einbinden. Canonical bezeichnet dies als Antwort auf den Bedarf nach flexibler Identity-Provider-Integration: „Dieses neue Broker-Snap ist unsere Antwort auf diese Nachfrage und ermöglicht es Ubuntu Desktop und Server, sich mit jedem Identitätsanbieter zu integrieren, der einen standardmäßigen OIDC-Flow unterstützt“, heißt es im offiziellen Blog.

Universe statt Main: Community-Fokus bei der Paketierung

Canonical hat Authd ins Universe-Repository gepackt, nicht ins Main-Repository. Der Unterschied: Während Main-Pakete direkt von Canonical mit garantierten Sicherheitsupdates versorgt werden, gelten Universe-Pakete als Community-maintained. Im Fall von Authd bedeutet dies jedoch nicht mangelnden Support: Canonical selbst pflegt das Paket und liefert Sicherheitsupdates über den gesamten LTS-Zyklus von fünf Jahren (mit Ubuntu Pro sogar bis zu zehn Jahre).

Für Unternehmen bietet die Integration in das offizielle Ubuntu-Archiv erhebliche Vorteile gegenüber dem bisherigen Weg via PPA. Die Installation erfolgt nun über standardisierte Kanäle, was Compliance-Anforderungen erleichtert. Zudem entfällt der Wartungsaufwand für manuelle Updates, Sicherheitspatches erreichen die Systeme automatisch über die regulären Ubuntu-Update-Mechanismen.

Installation

Die Installation von Authd in Ubuntu 26.04 LTS ist unkompliziert: Nach Aktivierung des Universe-Repositorys mit add-apt-repository universe lässt sich das Paket über apt install authd einrichten. Die eigentlichen Provider-Broker werden als separate Snap-Pakete installiert, beispielsweise snap install authd-msentra für Microsoft Entra ID oder snap install authd-oidc-generic für den generischen OIDC-Broker.

Canonical sieht die Entwicklung noch am Anfang: „Authd wird in das offizielle Ubuntu-Archiv aufgenommen – und das ist erst der Anfang.“ Geplant sind Erweiterungen der Broker-Unterstützung und zusätzliche Management-Werkzeuge basierend auf Feedback aus der Praxis.

Weitere Details zur Authd-Integration finden sich im Ubuntu Community Hub.

(fo)

Ende Februar haben die Best Western Hotels (BWH) in E-Mails an Kunden und Kundinnen vor laufenden Phishing-Angriffen gewarnt. Auf unsere Nachfrage hat die Hotelkette die Situation etwas deutlicher geschildert.

Auch jetzt erreichen uns noch Leserhinweise, dass nach jüngst getätigten Buchungen bei Betroffenen etwa Phishing-SMS eintrudeln, die mit real verwendeten Daten operieren. Das Problem hat die Hotelkette offenbar noch nicht im Griff.

Weltweites Problem

Auf Nachfrage von heise online erklärt Best Western Hotels: „Nach aktuellem Kenntnisstand handelt es sich um eine anhaltende Serie unterschiedlich gelagerter Cyberangriffe auf touristische Buchungssysteme und deren technische Infrastruktur sowie auf Browser, Apps und Standardsoftware weltweit.“ Die anschließende Aussage: „Nach derzeitiger Einschätzung könnten die Vorfälle auch im Zusammenhang mit Formen hybrider Kriegsführung stehen“ wirkt allerdings weit hergeholt. Es lässt sich nicht erschließen, wie das einer der Kriegsparteien helfen würde. Die Vorfälle sollen jedoch lediglich einen „sehr geringen Anteil der insgesamt über Best Western getätigten Buchungen“ betreffen.

BWH erklärt weiter: „Wir arbeiten mit höchster Dringlichkeit und unter Einsatz aller verfügbaren Mittel daran, mögliche Beeinträchtigungen zu verhindern, unsere Systeme umfassend abzusichern und entsprechende Angriffe erfolgreich abzuwehren.“ Die Hotelkette kooperiert demnach eng mit mehreren Cybersecurity-Unternehmen und internationalen Strafverfolgungsbehörden wie dem FBI. Die BWH versprechen weitergehende Informationen zu veröffentlichen, sofern der Kette gesicherte Erkenntnisse vorliegen.

Abhilfe offenbar schwierig

Konkret von den Cyberangriffen betroffene Buchungsplattformen nennt BWH nicht. Die Schuldzuweisung an externe Buchungssysteme und auf Rechnern genutzte Browser, Apps und Standardprogramme wirkt ein wenig wie der Versuch, sich aus der Verantwortung zu stehlen. Darauf deutet ebenso der Hinweis von BWH, dass auch „zahlreiche weitere Unternehmen der Branche betroffen“ sind.

Möglicherweise hält sich das Problem auch deshalb so hartnäckig, da insbesondere kleinere Hotels mit wenig Verkehr an diese Systeme angeschlossen sind. Dort setzen die Betreiber unter Umständen keine weiteren Sicherheitsmaßnahmen um, wie die Nutzung getrennter Systeme für Buchungsverwaltung und etwa normalem E-Mail- und Schriftverkehr sowie für das Surfen im Netz. Die Pflege der Betriebssysteme und Softwarestände könnte mangels Ressourcen dort ebenso schleifen gelassen werden wie Mitarbeiterschulungen zu Cyberrisiken. Ein mögliches weiteres Indiz in diese Richtung liefern auch die Vorfälle in Hotels in Südtirol, die kompromittierte Extranet-Zugänge zu Booking.com zu beklagen hatten.

(dmk)