Es geht um nicht weniger als eine Generalüberholung der europäischen Digitalregulierung: Am 19. November will die EU-Kommission einen umfassenden Gesetzesvorschlag vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll laut Kommission Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen.

Vier Regulierungsbereiche stehen im Fokus des umfangreichen Reformvorhabens: der Datenschutz, Regeln für die Datennutzung, der Umgang mit Cybersicherheitsvorfällen und die KI-Verordnung. Daher auch der Begriff Omnibus („für alle“) – er wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zugleich geändert werden. Die Kommission hat ihre zahlreichen Pläne auf zwei getrennte Gesetzesvorschläge aufgeteilt.

Wir veröffentlichen einen Zwischenstand des Gesetzespakets.

Aus vier mach eins: der überarbeitete Data Act

Mit dem ersten „Digital-Omnibus“ plant die EU-Kommission eine umfassende Konsolidierung verschiedener Datengesetze.

Im Zentrum steht hier der vor rund zwei Jahren verabschiedete Data Act, der nach einer Übergangsfrist erst seit September EU-weit anwendbar ist und nun überarbeitet werden soll. Im neuen Data Act sollen gleich drei weitere Gesetze aufgehen: die Open-Data-Richtlinie, die Verordnung über den freien Fluss nicht-personenbezogener Daten und der Data Governance Act.

Die Kommission präsentiert das erste Omnibus-Gesetz als „eine ehrgeizige Liste technischer Änderungen an einem umfangreichen Korpus digitaler Rechtsvorschriften, die den breitesten Bereich digitaler Unternehmen abdecken.“ Ziel sei es, „Unternehmen, öffentlichen Verwaltungen und Bürgern gleichermaßen sofortige Erleichterungen zu verschaffen“.

Kommission will die Datenschutzgrundverordnung aufbohren

Dabei will die Kommission auch die Datenschutzgrundverordnung (DSGVO) aufbohren. Im Fokus stehen hier unter anderem Cookies und pseudonymisierte Daten.

Um der Cookie-Banner-Flut und der „Zustimmungsmüdigkeit“ bei den Nutzenden zu begegnen, will die Kommission „den Weg für automatisierte und maschinenlesbare Angaben zu individuellen Präferenzen und deren Berücksichtigung durch Website-Anbieter ebnen, sobald entsprechende Standards verfügbar sind“.

Konkret bedeutet das: Etwa Browser oder Betriebssysteme sollen Signale an Websites senden, die individuelle Entscheidungen der Nutzenden übermitteln, ob diese Cookies annehmen oder ablehnen wollen. Ausgenommen von dieser Regel sollen Medienanbieter (media service providers) sein – „angesichts der Bedeutung des unabhängigen Journalismus in einer demokratischen Gesellschaft und um dessen wirtschaftliche Grundlage nicht zu untergraben“.

Darüber hinaus will die Kommission Artikel 9 der DSGVO zu besonderen Kategorien von Daten aufbohren. Durch diesen Artikel sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, die oben genannte Informationen explizit offenbaren. Das bedeutet: Gibt etwa eine Person in einem Auswahlfeld an, welche sexuelle Orientierung sie hat, wäre das weiterhin besonders geschützt. Schließt ein Datenverarbeiter aufgrund vermeintlicher Interessen oder Merkmale auf die mutmaßliche sexuelle Orientierung eines Menschen, würden bisherige Einschränkungen wegfallen.

Zugleich betont die Kommission, dass „der verstärkte Schutz genetischer Daten und biometrischer Daten aufgrund ihrer einzigartigen und spezifischen Merkmale unverändert bleiben sollte“. Auch die Verwendung personenbezogener Daten für das Training von KI-Modellen auf Grundlage des berechtigten Interesses soll nach den Plänen der EU-Kommission künftig grundsätzlich erlaubt sein.

KI-Verordnung soll aufgeweicht werden

Weitergehende Regelungen zum Umgang mit Künstlicher Intelligenz finden sich im zweiten Gesetzespaket zur KI-Verordnung.

Die hier geplanten Änderungen begründet die Kommission damit, dass es bei der KI-Verordnung noch „Herausforderungen bei der Umsetzung“ gebe, „die das wirksame Inkrafttreten wichtiger Bestimmungen gefährden könnten“. Die Kommission schlägt daher „gezielte Vereinfachungsmaßnahmen vor, die eine zeitnahe, reibungslose und verhältnismäßige Umsetzung gewährleisten sollen“.

Konkret sieht der zweite Omnibus unter anderem vor, die KI-Aufsicht teilweise bei dem sogenannten AI Office zu bündeln, das direkt bei der Kommission angesiedelt ist. Davon wären vor allem sehr große Online-Plattformen (VLOPS) und Anbieter großer Suchmaschinen betroffen.

VLOPs sind laut dem Digital Services Act (DSA) solche Angebote, die monatlich mehr als 45 Millionen Nutzer:innen in der EU erreichen. Dazu zählen große soziale Netzwerke und Marktplätze wie Facebook, Instagram oder Amazon.

Außerdem will die Kommission es Anbietern und Betreibern von KI-Systemen „erleichtern“, Dateschutzgesetze einzuhalten, wenn sie personenbezogene Daten verarbeiten. Zudem will sie Sonderregeln für kleine und mittlere Unternehmen schaffen, um sie von bestimmten Verpflichtungen etwa bei Dokumentation und Monitoring auszunehmen.

Unklar ist derzeit offenbar noch, ob die weitere Umsetzung der KI-Verordnung in Teilen aufgeschoben wird. Eine solche Verschiebung wäre im Sinne der Bundesregierung. Digitalminister Karsten Wildberger (CDU) wirbt seit Monaten dafür. Als Grund führt der Minister an, dass die technischen Standards noch nicht vorlägen.

Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

• AntiSamy auf Version 1.7.8 aktualisiert und Stored-Cross-Site-Scripting-Lücke entfernt
• Pfadprüfung in die ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindern
• Ein CSRF-Enforcement-Problem in bestimmten Authentifizierungs-Flüssen angegangen
• Lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter gelöst
• Nginx-Modul aktualsiiert, um Sicherheitsstandards und Compliance zu folgen

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

• Hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und diese zurückgezogen
• Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-MAils mit PDF-Anhängen korrigiert
• Eingabe- und „null“-Prüfungen im PreAuthServlet ergänzt, um Preisgabe interner Fehler durch fehlformatierte Anfragen zu verhindern
• Ein Admin-Konto-Auflistungsproblem gelöst
• Apache HttpClient-Bibliothek auf Version 4.5.14 aktualisiert

Detailinformationen nicht vorhanden

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko „kritisch“ ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.

(dmk)

Viele Demonstrationen in Mannheim starten oder enden auf dem Alten Messplatz. Am Rand des Platzes, an der Alten Feuerwache, hängen acht Überwachungskameras, weitere sind über den Platz verteilt. Insgesamt filmen 70 Kameras die Innenstadt, 46 davon sind an eine KI-Verhaltenserkennung gekoppelt.

Das ist spätestens dann ein Problem, wenn Menschen hier demonstrieren wollen. David Werdermann, Jurist bei der Gesellschaft für Freiheitsrechte, sagt: „Die Versammlungsfreiheit lebt davon, dass Menschen ohne Angst und Einschüchterung ihre Meinung auf der Straße kundtun können.“ Videoüberwachung und KI-gestützte Auswertung könne Menschen von der Versammlungsteilnahme abhalten, „zumal sie sich wegen des Vermummungsverbots nicht gegen eine mögliche Erfassung wehren können“, sagt Werdermann.

Beständige Unsicherheit

Um eine Einschränkung des Versammlungsrechts zu vermeiden, schaltet die Polizei einzelne Kameras angeblich aus, wenn im Überwachungsbereich angemeldete Versammlungen stattfinden – und keine erheblichen Gefahren für die innere Sicherheit und Ordnung bestehen. Protokolle dazu, wann welche Kamera ab- und wieder angeschaltet wurde, will die Mannheimer Polizei allerdings nicht herausgeben. Für Versammlungsteilnehmer*innen bleibt somit die beständige Unsicherheit, ob sie nicht gerade doch gefilmt werden.

„Schon der bloße Eindruck, während einer Demonstration gefilmt zu werden, entfaltet eine erhebliche abschreckende Wirkung – auch wenn die Kameras tatsächlich ausgeschaltet sind“, sagt David Werdermann. Die deutsche Rechtsprechung unterstützt seine Argumentation.

Teilnehmer*innen können nicht hinreichend verlässlich erkennen, ob Kameras in Betrieb sind oder nicht, entschied das Oberverwaltungsgericht Nordrhein-Westfalen 2020. Damit bestätigte es die vorgelagerte Entscheidung, dass öffentliche Videokameras während Versammlungen verhüllt werden müssen. Das Oberverwaltungsgericht Niedersachsen entschied schon 2015, dass auch eine halbausgefahrene Mastkamera eines Polizeifahrzeugs während einer Demonstration nicht rechtens ist, egal ob sie läuft. Allein die Präsenz der Kamera ist zu viel.

Es gibt technische Lösungen

Eigentlich müssten Mitarbeiter*innen der Stadt Mannheim vor jeder Demonstration entlang der Route Kameras vorübergehend außer Betrieb setzen. Dazu könnten sie mit Leitern zu allen Kameras hinaufsteigen und Blenden vor die Linsen schrauben oder einfach Säcke über die Geräte stülpen.

Es gibt allerdings smartere Lösungen: Ein deutscher Hersteller produziert für seine Videoüberwachungssysteme beispielsweise neongelbe Jalousien, die per Mausklick vor die Linsen fahren.