Der Streit um den EU-US-Datenschutzrahmen geht in die nächste Runde. Der französische Abgeordnete Philippe Latombe hat bestätigt, dass er gegen das Urteil des Gerichts der Europäischen Union (EuG) vom September zum Bestand des Data Privacy Framework (DPF) Rechtsmittel beim Europäischen Gerichtshof (EuGH) einlegen wird. Damit wird der freie transatlantische Datenfluss schon zum dritten Mal ein Fall für das höchste EU-Gericht.

Latombe, der für die Regierungspartei Mouvement Démocrate in der französischen Nationalversammlung sitzt, öffnet mit dem Schritt die Tür für ein „Schrems III“-Urteil. So hatte der EuGH schon die Vorgängerabkommen Safe Harbor und Privacy Shield für ungültig erklärt. Das geschah auf Betreiben des österreichischen Bürgerrechtlers Max Schrems, der noch überlegt, ob er in der Sache ebenfalls noch einmal aktiv wird. Der EuGH urteilte in beiden Verfahren, dass die US-Überwachungspraktiken insbesondere mit Abschnitt 702 des Foreign Intelligence Surveillance Act (FISA) und der Anordnung 12333 die Datenschutzrechte der EU-Bürger verletzten.

Weiteres Grundsatzurteil erwartet

Stein des Anstoßes ist aktuell der jüngste Angemessenheitsbeschluss für den Transfer personenbezogener Daten aus der EU in die USA der EU-Kommission. Diese erkennt damit die Rechtslage zum Schutz der Privatsphäre in den Vereinigten Staaten als vergleichbar hoch wie auf dem alten Kontinent an. Auch das EuG war in erster Instanz der Ansicht, dass die USA zum Zeitpunkt des Erlasses des Angemessenheitsbeschlusses ein im Wesentlichen gleichwertiges Schutzniveau für personenbezogene Daten gewährleisteten.

Latombe begründete seine Klage und die nun folgende Berufung hauptsächlich mit dem Argument, dass das DFP nicht mit der EU-Grundrechtecharta und der Datenschutz-Grundverordnung (DSGVO) vereinbar sei. Der Parlamentarier erläutert sein Vorgehen gegenüber Euractiv damit, dass der neu geschaffene Data Protection Review Court (DPRC) in den USA weder unparteiisch noch unabhängig von der Exekutive sei. Damit werde das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet.

Datenhunger der US-Geheimdienste

Zudem beklagt Latombe die massive und nicht zielgerichtete Datensammelei von US-Geheimdiensten wie der NSA. Die getroffenen Vorkehrungen im DPF seien nicht ausreichend, um diesen schweren Grundrechtseingriffen entgegenzuwirken. US-Präsident Donald Trump hat die von seinem Vorgänger Joe Biden eingeführten Schutzmaßnahmen noch aufgeweicht.

Der Volksvertreter will mit seinem Ansatz auch die Kommission und die Mitgliedstaaten unter Druck setzen, einen dauerhaft rechtssicheren Rahmen zu schaffen. Von der neuen EuGH-Prüfung hängt etwa ab, ob in der EU ansässige Firmen rechtssicher personenbezogene Daten bei US-Cloudanbietern speichern und verarbeiten können. Es ist davon auszugehen, dass die Luxemburger Richter jenseits der Bewertung der EuG-Entscheidung auch die mit den aufgeworfenen Rechtsfragen verknüpften Tatsachen genau untersuchen und ein weiteres Grundsatzurteil fällen werden.

(vbr)

Die dänische EU-Ratspräsidentschaft hat laut dem dänischen Justizminister Peter Hummelgard ihren Plan aufgegeben, Anbieter von Kommunikationsdiensten zur Suche nach Darstellungen sexuellen Kindesmissbrauchs zu verpflichten. Das erkärte eine Sprecherin der Ratspräsidentschaft auf Anfrage von heise online und bestätigte damit einen Bericht des dänischen Rundfunks (DR).

Dänemarks Regierung, die bis Jahresende dem Rat der EU-Mitgliedstaaten vorsteht und dort Einigungen zwischen den Staaten erzielen soll, gibt damit eines der umstrittensten Vorhaben der vergangenen Monate mangels Erfolgsaussichten auf. Über Wochen hatte die dänische Ratspräsidentschaft versucht, andere Mitgliedstaaten von ihrem Vorschlag zu überzeugen, nachdem Anbieter von Kommunikationsdiensten zu einer aktiven Suche nach potenziell kinder- und jugendpornografischen Inhalten oder Missbrauchsdarstellungen hätten verpflichtet werden können.

Die Kopenhagener Kehrtwende geht wohl auch auf regierungsinterne Streitigkeiten zurück: Während die dänischen Sozialdemokraten den Vorschlag für gut befanden, ging der Koalitionspartner Moderaterne auf Distanz zu dem Vorhaben.

Abschied von der Chatkontrolle

Auch in Deutschland hatte die Positionierung der neuen Bundesregierung kurz vor einer vorentscheidenden Abstimmung für massiven Zwist innerhalb der Koalition und der Regierungsfraktionen gesorgt – so hatten sich Abgeordnete der Regierungsfraktionen beschwert, dass sie nicht ausreichend beteiligt worden seien. Daraufhin setzte die dänische Ratspräsidentschaft die Abstimmung vom nächsten Treffen der Innenminister zunächst ab.

Die letzte Chance auf eine Einigung unter dänischer Führung besteht im Dezember, offenbar wollte die Regierung in Kopenhagen lieber einen Kompromiss ohne Chatkontrolle als gar keinen. Die bisherige Regelung, mit denen den großen Plattformanbietern die freiwillige, aktive Suche nach potenziellen Missbrauchsdarstellungen erlaubt wird, läuft im kommenden Frühjahr nach Verlängerung aus. Genau diese Freiwilligkeit will Dänemarks Justizminister nun im Rahmen der künftigen CSA-Verordnung kodifizieren, die zudem noch eine Vielzahl anderer und weniger umstrittener Vorhaben enthält.

(mho)

In den USA hat sich ein hochrangiger Manager des Rüstungskonzerns L3Harris schuldig bekannt, Informationen zu Zero-Day-Lücken an einen Russen verkauft zu haben. Das geht aus einer Mitteilung des US-Justizministeriums und Medienberichten hervor. Der 39-Jährige ist australischer Staatsbürger und hat laut TechCrunch bei L3Harris jene Abteilung geleitet, die unter anderem Spyware für die US-Regierung und deren engsten Verbündete entwickelt. Das Ministerium ergänzt, dass die Details zu Sicherheitslücken „exklusiv an die USA und ausgewählte Alliierte“ verkauft werden sollten. Stattdessen habe sie der Manager an jemanden verkauft, der mit seinen Verbindungen zur russischen Regierung geworben habe. Laut TechCrunch hat der Manager 1,3 Millionen US-Dollar eingenommen.

Für USA und US-Allierte gedachte Exploits

Wie das US-Justizministerium ausführt, wurden dem Manager der L3Harris-Sparte Trenchant Millionen in Kryptogeld versprochen. Daraufhin habe er mehrere Verträge mit dem Mann unterzeichnet und dabei auch weitergehende Unterstützung bei der Arbeit mit den Exploits zugesagt. Zwischen 2022 und 2025 habe er seinen Zugang auf die internen Systeme ausgenutzt, um an die Zero-Day-Lücken zu gelangen. Die werden als Handelsgeheimnisse mit einem Gesamtwert von 35 Millionen US-Dollar eingestuft. Für jeden einzelnen der Verkäufe können laut dem US-Justizministerium 10 Jahre Haft und 250.000 US-Dollar Strafe verhängt werden.

Dass die Zero-Day-Exploits in der Folge eingesetzt wurden, kann die Anklage nicht belegen, sie geht aber davon aus. „Wahrscheinlich“ seien damit „zahlreiche ahnungslose Opfer“ angegriffen worden, erklärt die zuständige Bundesstaatsanwältin. TechCrunch führt noch aus, dass Trenchant seine Dienste ausschließlich den Regierungen der sogenannten Five Eyes verkauft. Das sind neben den USA noch Australien, Kanada, Neuseeland und Großbritannien, die in Geheimdienstfragen engsten Alliierten der Vereinigten Staaten. Der Manager, der sich jetzt schuldig bekannt hat, hat demnach noch vor wenigen Monaten einen Angestellten entlassen, der Zero-Day-Exploits für den Chrome-Browser gestohlen haben soll. Der habe aber beteuert, dass er darauf gar keinen Zugriff hatte.

(mho)