Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

Derzeit häufen sich die Meldungen, dass die Funktion „Microsoft Edge Secure Network“ gar kein VPN sei. Es stelle die Funktion nur für den Browser und nicht für das gesamte System bereit. Zudem wird nicht aller Verkehr getunnelt. Das hat Microsoft jedoch nie versprochen.

Der derzeitige Aufschrei geht zurück auf einen Beitrag auf X von einem jungen IT-Sicherheitsforscher namens Sooraj Sathyanarayanan. Dort schreibt er: „Ich habe eine gründliche Sicherheitsanalyse von Microsoft Edges ‚Secure Network VPN‘ gemacht“. Der Name lautet allerdings offiziell „Microsoft Edge Secure Network“ (auf Deutsch etwas ungelenk das „sichere Microsoft Edge-Netzwerk“). Die Beschreibung in den Browser-Einstellungen unter „Datenschutz, Suche und Dienste“ – „Sicheres Microsoft Edge-Netzwerk verwenden“ lautet tatsächlich „integriertes VPN, das vor Onlinetrackern schützt. Sie erhalten 5 GB kostenloses VPN pro Monat“. Etwas detaillierter ist nach Klick auf das Fragezeichen neben der Funktion zu lesen: „Secure Network ist ein integriertes VPN, mit dem Sie Ihre Netzwerkverbindungen gegen Online-Hacker absichern, sich vor Onlinetrackern schützen und Ihren Standort privat halten können. Sie erhalten jeden Monat 5 GB kostenlose sichere Netzwerkdaten, wenn Sie sich mit Ihrem Microsoft-Konto bei Edge anmelden“.

Tunnel für Klartext-Verbindungen im Browser

Sathyanarayanan erklärt, dass Edge Secure Network jedoch kein VPN sei. Es handele sich um einen „HTTP CONNECT“-Proxy, der auf Cloudflares Privacy-Proxy-Plattform aufsetzt. Lediglich Verkehr aus dem Edge-Browser werde getunnelt. Andere Anfragen des Systems wie DNS-Anfragen, E-Mail-Clients, Hintergrunddienste, Betriebssystemupdates, schlicht alles außerhalb von Edge bleibt weiterhin sichtbar. Schlimmer noch: Standardmäßig sei die „optimierte“ Einstellung vorausgewählt, die nur in öffentlichen WLANs oder beim Besuch unverschlüsselter HTTP-Seiten eingreift. Im heimischen Netz macht das VPN also beim Besuch von HTTPS-Seiten nichts, außer man stellt die Einstellungen um auf „Alle Seiten“. „Die meisten User werden das niemals machen, was bedeutet, die meisten User erhalten die meiste Zeit null Schutz“, führt der IT-Forscher aus. Ein weiteres Problem liegt darin, dass der Traffic ohne Verschlüsselung weiterlaufe, wenn die Verbindung zu Cloudflare-Servern ausfalle – ohne, dass Nutzer gewarnt würden.

Außerdem muss man sich mit einem Microsoft-Konto anmelden. Damit ist die eigene Identität mit der VPN-Nutzung verknüpft. Sofern ein Konto angemeldet ist, synchronisiert er die meisten Daten, den Verlauf, Passwörter, Favoriten, Formulardaten, Erweiterungen und geöffnete Tabs in allen Edge-Instanzen. Daher erfordere Edge Secure Network die vollständige Offenlegung der Identität der Nutzer. Zudem übernimmt Cloudflare das Routing. Alle 25 Stunden lösche das Unternehmen Diagnose- und Support-Daten. Microsoft behauptet, dass Cloudflare niemals die Konto-Identität sehe, und Cloudflare gibt an, dass es den Traffic nicht untersuche. Hier müssten Nutzer den Unternehmen vertrauen, da sie keine unabhängige Überprüfung vornehmen können und die Codebasis Closed Source sei.

Microsofts Angebot

Zwar sind die Beobachtungen korrekt. Allerdings behauptet Microsoft gar nicht, dass es sich um ein vollwertiges VPN handelt. Bereits bei der Vorstellung in einer Vorabversion von Microsoft Edge im April 2022 war der Nutzen des Quasi-VPNs im Webbrowser klar: „Der Datenverkehr ist damit auch bei Verbindungen, die nicht SSL-gesichert sind, nicht mehr abhörbar. Zudem verschleiert der Tunnel die eigene IP-Adresse, sodass Tracking erschwert wird. Der Tunnel wird über den CDN- und Internet-Security-Anbieter Cloudflare aufgebaut.“

Auf der verlinkten Webseite zu „Microsoft Edge Secure Network“ erklärt das Unternehmen auch die Voreinstellung, dass zur Begrenzung des Traffics nur unsichere Verbindungen über die VPN-Tunnel gehen. „Um Ihre zugewiesene VPN-Datenbandbreite zu schonen, werden Streaming-Seiten wie Netflix, Hulu, HBO und andere nicht über den Secure-Network-VPN-Dienst geleitet, es sei denn, Sie entscheiden sich dafür, das VPN für alle Seiten zu nutzen“, schreibt Microsoft dort.

Übertriebene Aufregung

Die Aufregung um die Microsoft-Edge-Funktion erscheint daher übertrieben. Interessierte müssen die Funktion überhaupt erst finden und aktivieren. Dass daraus aufgrund der Beschreibung die Erwartung erwächst, dass sämtlicher Traffic des Geräts über einen VPN-Tunnel geleitet wird, ist zumindest zweifelhaft. Bei anderen Webbrowsern mit integrierter VPN-Funktion erwartet das vermutlich ebenfalls niemand. Microsoft geht zudem offen damit um, dass Nutzer angemeldet sein müssen und Cloudflare den Dienst bereitstellt.

(dmk)

Der Dachverband europäischer Digitalorganisationen EDRi hat eine neue Kampagne zum Schutz von Verschlüsselung und privater Kommunikation gestartet. Hintergrund der Kampagne „Keep It Safe and Secure“ (KISS) ist, dass die verschlüsselte Kommunikation in der EU nicht nur durch die Chatkontrolle-Gesetzgebung unter Druck steht, sondern auch durch weitere Projekte.

Staatliche Akteure wie Polizeien und Geheimdienste begehren unter dem Deckmantel des Going-Dark-Narrativs Zugriff auf die Inhalte der Kommunikation. Außerdem beklagt EDRi, dass eine staatlich alimentierte Hacking-Industrie Menschen aus Aktivismus, Politik, Wirtschaft und Journalismus ins Visier nehme und die IT-Sicherheit aller Menschen gefährde.

Die EU hatte im letzten Jahr unter dem Schlagwort ProtectEU einen Fahrplan zum Ausbau der Überwachung vorgestellt. Die Angriffe auf die Verschlüsselung verstecken sich hinter der Formulierung „Rechtmäßiger Zugang zu Daten für Strafverfolgung“. Die Pläne sehen neben einem Angriff auf Verschlüsselung auch den Ausbau der Vorratsdatenspeicherung vor. Die EU-Kommission will noch im ersten Quartal eine Folgenabschätzung dazu veröffentlichen.

Schwachstellen und Hintertüren

Europol und andere Strafverfolgungsbehörden, so heißt es in der Kampagne, drängten unter anderem darauf, Hacking-Methoden zu legalisieren, welche die Verschlüsselung schwächen. Diese Methoden sind immer damit verbunden, Schwachstellen und Hintertüren in Hard- und Software einzubauen oder auszunutzen.

Zu den Methoden gehören wie bei der Chatkontrolle ursprünglich geplant das Client-Side-Scanning, bei dem Inhalte wie Texte, Bilder oder Videos auf einem Gerät oder in einem Kommunikationskanal schon vor der Verschlüsselung gescannt werden. Weitere Ansätze sind unsichere Verschlüsselungsmethoden, bei denen nicht nur die Kommunizierenden Schlüssel haben, sondern Behörden „Nachschlüssel“ zum Entschlüsseln der Kommunikation besitzen. Ein weiterer Ansatz sind Systeme, bei denen Behörden als unsichtbarer „Geist“ an verschlüsselter Kommunikation teilnehmen und die Kommunikation so mitlesen können.

Schutz von Verschlüsselung gefordert

In einer Petition fordern EDRi und die Bündnispartner der Kampagne von den EU-Abgeordneten Schutz von Verschlüsselung und ein Verbot von Staatstrojanern. Die massive Mobilisierung im Rahmen Chatkontrolle sei ein klares Zeichen dafür gewesen, dass den Menschen Verschlüsselung wichtig ist. „Wenn wir die Verschlüsselung verlieren, verlieren wir auch das Vertrauen in alles, was wir online tun, und gefährden damit die Sicherheit unserer demokratischen Gesellschaft, unserer Wirtschaft und unserer Menschenrechte“, heißt es weiter.