Max Schrems ist eigentlich schwer aus der Ruhe zu bringen. Der Jurist aus Österreich zerrte unter anderem Facebook vor Gericht, treibt Datenschutzbehörden vor sich her und brachte vor dem Europäischen Gerichtshof gleich zwei transatlantische Datenabkommen zu Fall. Doch bei einer spontan anberaumten Pressekonferenz am Montagmorgen merkt man selbst ihm eine gewisse Fassungslosigkeit an.

Noch vor wenigen Wochen war der Gründer der Nichtregierungsorganisation noyb auf Einladung der Europäischen Kommission in Brüssel. Die Meinung bei einem Treffen zur Zukunft der Datenschutzgrundverordnung (DSGVO) war einhellig, so erzählt es Schrems: Es gibt Reformbedarf, aber der müsse sorgfältig austariert werden. Ein für 2026 geplanter Fitness-Check sei der richtige Rahmen.

Noch Anfang November gingen deshalb alle Beobachter:innen davon aus, dass die DSGVO im geplanten Gesetz zum „digitalen Omnibus“ nicht wesentlich angefasst wird. Mit dem Paket will die Kommission Teile ihrer Digitalregulierung vereinfachen.

Im Laufe der vergangenen Woche dann kocht die Brüsseler Gerüchteküche. Die Anzeichen verdichten sich, dass die Kommission am 19. November überraschend weitreichende Änderungen vorschlagen wird. Am Freitag platzt die Bombe: Wir veröffentlichen die Entwürfe der Kommission, die belegen, dass die Kommission eine Reform mit der Abrissbirne plant.

„Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen im Zeitalter der DSGVO“, schreibt Schrems in einer Pressemitteilung. „Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft.“

Freifahrtschein für Werbe-Tracking und Datenhändler

Nach der Lektüre des ersten Entwurfs sei klar, dass der Schaden für die DSGVO riesig wäre, so Schrems weiter. Dem Gesetz, das die Europäische Kommission selbst gerne als weltweiten Goldstandard im Datenschutz feiert, drohe ein „Tod durch 1.000 Schnitte“. Große Teile des Entwurfs würden gegen europäische Konventionen, die Charta der Grundrechte und die ständige Rechtsprechung des Europäischen Gerichtshofs verstoßen.

Das wohl größte Schlupfloch könnte laut noyb durch eine Neudefinition dessen entstehen, was als personenbezogenes Datum zu verstehen und somit von der DSGVO erfasst sei. Weitgehend ausgenommen werden sollen nämlich offenbar pseudonymisierte Daten, also solche, bei denen Firmen die Daten nicht einem Namen zuordnen, sondern einem Pseudonym wie „user12473“ oder einer ID aus einem Tracking-Cookie. Die EU-Kommission wolle hier einen „subjektiven Ansatz“ einführen, bei dem Daten nicht mehr als personenbezogen gelten, wenn ein Unternehmen die Person hinter dem Pseudonym nicht identifizieren könne.

Erst vor wenigen Tagen hatte eine Recherche von netzpolitik.org mit internationalen Partnermedien demonstriert, wie leicht sich aus pseudonymisierten Daten metergenaue Bewegungsprofile erstellen lassen. Das Rechercheteam erhielt von Datenhändlern kostenlos Datensätze mit 278 Millionen Standortdaten aus Belgien. Die Daten enthalten weder Namen noch Telefonnummern, sondern nur pseudonyme Identifier, und doch war es möglich, mit den Daten das Leben von Spitzenpersonal der Europäischen Union auszuspionieren.

Während sich die EU-Kommission besorgt über die Recherchefunde äußerte und neue Sicherheitshinweise für ihre Beamten veröffentlichte, würde ihr Vorschlag für den digitalen Omnibus die aufgedeckte Praxis legalisieren, so Schrems. „Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.“

Wildcard für KI

Weiter kritisiert noyb eine mögliche „DSGVO-Wildcard“ für KI-Systeme, von der insbesondere große Tech-Konzerne wie Google, Meta, Microsoft oder OpenAI profitieren würden. Denn nicht nur das Training, auch der Betrieb von KI-Systemen mit personenbezogenen Daten könnte dann mit dem „berechtigten Interesse“ gerechtfertigt werden.

„Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles ‚OK‘ erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert“, so noyb.

Die DSGVO sieht ein solches Interesse als Rechtsgrundlage zwar grundsätzlich vor, bislang ist aber umstritten, ob es für KI-Systeme anwendbar ist. Im Rahmen der Abwägung mit den Interessen der betroffenen Personen sollen Betreiber nach den Ideen der Kommission bestimmte „Schutzmaßnahmen“ ergreifen. Es wird jedoch nicht näher definiert, wie diese aussehen.

Der einzige angebliche Schutz sei ein Widerspruchsrecht, das in der Praxis jedoch scheitern werde, analysiert noyb. Nutzer:innen müssten „hunderte Unternehmen ausfindig machen und einzelne Formulare ausfüllen“. Widersprüche und eine mögliche Informationspflicht könnten die Unternehmen kaum umsetzen.

Betroffenenrechte unter Druck

Unter Druck ist außerdem eine zentrale Errungenschaft der DSGVO: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

„Im Umkehrschluss bedeutet dies, dass zum Beispiel ein Arbeitgeber einen Antrag auf Auskunft als ‚missbräuchlich‘ ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt – zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten.“ Das Gleiche würde für Journalist:innen oder Forschende gelten, so noyb.

Massiv eingeschränkt werden soll zudem der Schutz für sensible Daten nach Artikel 9 der DSGVO. Dazu zählen beispielsweise Daten zu ethnischer Herkunft, sexueller Orientierung, politischer oder gewerkschaftlicher Zugehörigkeit sowie Gesundheitsdaten. Entgegen der Rechtsprechung des Europäischen Gerichtshofs will die Kommission den Schutz nur dann gewähren, wenn solche sensiblen Informationen „direkt offenbart“ werden, kritisiert noyb.

Nicht mehr geschützt wären Menschen, bei denen etwa auf die Zugehörigkeit zu bestimmten Gruppen geschlossen werde. „Die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen.“

Kritisch sieht noyb auch erweiterte Befugnisse, Daten auf Endgeräten zu speichern und auszulesen. Tracking-Cookies könnten dann statt wie bisher nicht mehr nur nach Einwilligung, sondern zum Beispiel ebenfalls auf Basis des berechtigten Interesses platziert werden. Auch die Zwecke, zu denen Daten von Geräten ausgelesen werden dürfen, sollen erweitert werden. Zu den Verarbeitungen auf der „weißen Liste“ würden nun auch „aggregierte Statistiken“ und „Sicherheitszwecke“ landen. Das sei zwar grundsätzlich verständlich, könne Unternehmen jedoch zu vermeintlichen Sicherheitszwecken die komplette Durchleuchtung von Privatgeräten erlauben.

Kritik am verstolperten Vorstoß

Alles in allem helfe der Entwurf nicht wie versprochen „kleinen Unternehmen“, sondern komme „wieder einmal hauptsächlich ‚Big Tech‘ zugute“, so das Fazit von Max Schrems und noyb. Der Entwurf sei außerdem „auch sehr schlecht formuliert“, so Schrems. Auch andere Jurist:innen hatten in den vergangenen Tagen die juristische Qualität bemängelt.

Erklärt werden kann dies wohl unter anderem durch massiven Zeitdruck. „Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren“, so Schrems. Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen.

„Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trumpsche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen.“

Danke, Deutschland?

Motiviert werde die Kommission offenbar durch einen Tunnelblick auf den KI-Hype und der Sorge, Europa könne abgehängt werden, mutmaßt Schrems. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren.“ Eine Änderung, die KI „befreien“ würde, hätte jedoch massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Schrems weiter: „Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“

Verantwortlich macht der Jurist dafür auch die deutsche Bundesregierung. Diese hatte in einem Arbeitspapier, das wir kürzlich veröffentlicht haben, weitreichende Einschnitte bei der DSGVO angeregt. Die EU-Kommission sei auf diesen Zug aufgesprungen, obwohl zuvor eigentlich sowohl Interessengruppen als auch die Mitgliedstaaten ausdrücklich darum gebeten hätten, die DSGVO nicht wieder zu öffnen.

Dazu Schrems: „Deutschland hat traditionell eine extreme Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln.“

Europol forciert ihre Kooperation mit Tech-Unternehmen aus den USA. Die Bürgerrechtsorganisation Statewatch kritisiert diese Allianz in einem Forschungsbericht als intransparent und Quelle massiver Interessenkonflikte. Die Kooperation ist demnach derart eng, dass Microsoft-Angestellte bereits eigene Arbeitsplätze in der Zentrale der EU-Polizeibehörde in Den Haag haben. Ein Europol-Beamter habe Firmen auf dem InCyber Forum, das in diesem Jahr in Lille, Frankreich, veranstaltet wurde, zudem explizit dazu aufgerufen, unternehmenseigene Daten direkt über ein neues Cyber Intelligence Gateway weiterzuleiten, um die Koordination zu verbessern. Basis für diese Entwicklung ist die umstrittene Erweiterung des Europol-Mandats 2022, die den Datenaustausch mit privaten und öffentlichen Stellen vereinfacht, Big-Data-Analysen ermöglicht und den Einsatz KI-gestützter Ermittlungsinstrumente vorantreibt.

Europol verweist laut der Analyse häufig auf „Geschäftsgeheimnisse“ oder „Datenschutz“, um Details über Verträge oder Lizenzierungen zurückzuhalten. Ein besonders kontroverses Beispiel ist die mehrjährige Nutzung der Big-Data-Plattform Gotham von Palantir. Obwohl die auch hierzulande umkämpfte Software laut Statewatch zur Basis zahlreicher Instrumente für vorausschauende Polizeiarbeit und Überwachung bei Europol gehört, habe das Amt Presseanfragen dazu abgeblockt. Von 69 Dokumenten zur Palantir-Zusammenarbeit seien lediglich zwei freigegeben, obwohl Europol nach dem Bruch sogar rechtliche Schritte gegen die US-Firma in Betracht gezogen habe. Auch die Gesichtserkennungsfirma Clearview AI, an der Palantir-Mitbegründer Peter Thiel beteiligt ist, präsentierte ihre Technologie bei Europol. Der EU-Datenschutzbeauftragte habe aber explizit gefordert, keine Dienste von Clearview in Anspruch zu nehmen, da dies wahrscheinlich gegen die Europol-Verordnung verstoßen würde.

„Wer ist wer“ der Überwachungsindustrie

Zunehmend problematisch erscheint auch das „Drehtür“-Phänomen, wonach Mitarbeiter der Behörde gerne in die Wirtschaft wechseln. Diese Gefahr dürfte sich noch verschärfen, da die EU-Kommission eine Verdoppelung der Europol-Stellen anstrebt. Ein Fall betrifft einen Ex-Cybercrime-Spezialisten, der unmittelbar nach seinem Ausscheiden 2023 zu Maltego Technologies wechselte. Europol weigerte sich, nähere Angaben dazu zu machen. Ein weiteres Unternehmen in Europols Dunstkreis ist Cellebrite, ein israelischer Tech-Riese, der Software zum Extrahieren von Daten aus Mobiltelefonen liefert. Seine Programme wurden in der Vergangenheit etwa zur Überwachung von Journalisten und Aktivisten verwendet. Die Tatsache, dass der Leiter des europäischen Vertriebs von Cellebrite zuvor in leitender Position beim Staatstrojaner-Entwickler NSO Group (Pegasus) tätig war, unterstreicht das Konfliktpotenzial solcher Allianzen.

Zentraler Schauplatz dieser Annäherung sind die jährlich stattfindenden „Research and Industry Days“. Dabei handelt es sich um eine 2024 von der Europol eingeführte Plattform, bei der Dutzende von Tech-Firmen und Verbänden ihre KI-basierten Überwachungs- und Datenanalysetools präsentieren. Die dabei vorgestellten Technologien reichen von Systemen zum Ausspähen von Mobiltelefonen von Asylsuchenden bis hin zu fortgeschrittenen Werkzeugen wie dem „Voice Inspector“ zur Stimmerkennung, Mitteln gegen Deepfakes oder Drohnen-Schnittstellen. Solche Veranstaltungen sicherten den Teilnehmern ein ungewöhnlich hohes Maß an Vertraulichkeit zu, monieren die Forscher. Sie werten diese Praxis als „präventive Garantie gegen die Freigabe von Informationen“, was die Rechenschaftspflicht und die öffentliche Kontrolle der zunehmenden „privat-öffentlichen Polizeiarbeit“ bei Europol zusätzlich erschwere.

()

In der Web-basierten Datentransfer-Software Monsta FTP klafft eine Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen und ausführen. Ein Update steht bereit.

Die Schwachsstellenbeschreibung lautet: „Monsta FTP 2.11 und frühere Versionen enthalten eine Schwachstelle, die nicht authentifizierten Nutzern das Hochladen beliebiger Dateien erlaubt. Der Fehler ermöglicht Angreifern, Code auszuführen, indem sie speziell präparierte Dateien von einem bösartigen (S)FTP-Server hochladen“ (CVE-2025-34299, CVSS4 9.3, Risiko „kritisch“).

Schwachstellen-Analyse führt zu Stirnrunzeln

Die IT-Forscher von watchtowr haben die Lücke entdeckt und eine Analyse mit viel Augenzwinkern dazu veröffentlicht. Von Monsta FTP finden sich mindestens 5000 aus dem Internet zugreifbare Instanzen. Damit kann man etwa auf Inhalte eines externen (S)FTP-Servers zugreifen – Dateien lesen, schreiben und verändern, mit einem nutzerfreundlichen Interface. Die Nutzerbasis besteht etwa aus Finanzinstituten, Unternehmen und auch überambitionierten Einzelnutzern. Für Angreifer ist die Software auch deshalb interessant, da sie in PHP programmiert sei, frotzelt watchtowr.

Interessierte können dort eine Untersuchungskette verfolgen, die von der nicht ganz taufrischen Version 2.10.4 von Monsta FTP ausgeht – aktuell ist der 2.11er-Entwicklungszweig –, da ein großer Teil des Internets nicht die aktuelle Version einsetze. Darin fanden sich drei Sicherheitslücken, die bereits für die Version 2.10.3 bekannt waren. Daher haben die IT-Sicherheitsforscher sich den aktuellen 2.11er-Zweig angesehen, ob die Lücken darin abgedichtet waren.

Die Analysten fanden neue Funktionen im Programmcode, die Filterung etwa für Pfade nachrüsten. Proof-of-Concept-Code zum Missbrauch der SSRF-Schwachstelle CVE-2022-31827 – in Monsta FTP 2.10.3 – funktionierte jedoch immer noch. Die Analyse der Schwachstelle führte dann zur Entdeckung der neuen Sicherheitslücke, die das Ausführen von Schadcode ermöglicht – im Speziellen eine „Pre-Authentication Remote Code Execution“, also Ausführen von Schadcode aus dem Netz ohne vorherige Anmeldung.

Monsta FTP 2.11.3 vom 26. August 2025 soll diese Sicherheitslücke korrekt abdichten, erklärt watchtowr. Das Changelog von Monsta FTP schreibt zu dem Release lediglich „Resolved PHP 7.x compatibility issue“; abgedichtete Sicherheitslecks erwähnen die Entwickler nicht.

Datentransfer-Software mit Lücken: Liebling der Cybergangs

Datentransferlösungen wie Monsta FTP kommen etwa zur Verwaltung von Webseiten zum Einsatz, oder auch allgemeiner zum Datenaustausch. Cybergangs wie cl0p nutzen derartige Sicherheitslücken darin aus, um Daten in großem Stil zu kopieren und die betroffenen Unternehmen damit zu erpressen. Mitte 2023 hatte die kriminelle Vereinigung etwa durch eine Sicherheitslücke in MOVEit Transfer Daten bei vielen namhaften Unternehmen und Konzernen abgegriffen.

Erst vor wenigen Tagen ist auf der Darknet-Leaksite der cl0p-Bande die Washington Post als Opfer eines Datenabzugs aufgetaucht. Die Washington Post reagierte nicht auf unsere Anfragen dazu; die Täter nennen auch nicht den Umfang und die Art der angeblich kopierten Daten. Noch jünger ist der Eintrag zum Tastatur- und Maus-Hersteller Logitech. Auch hier fehlen etwaige Informationen zu Art und Umfang des Datendiebstahls oder gar eine Bestätigung seitens Logitech. Ob cl0p tatsächlich Daten bei den beiden namhaften Organisationen abgegriffen hat und durch welche Sicherheitslücke in welcher Software, ist derzeit vollkommen unklar.

Cybercrime und Ransomware sind keine Naturkatastrophen, denen man ohnmächtig gegenübersteht. Wer verstanden hat, wie die Angreifer ticken, welche Methoden sie einsetzen und wie die existierenden Schutzmöglichkeiten funktionieren, kann seine IT so absichern, dass deren Schutzmaßnahmen nicht beim ersten falschen Klick in sich zusammenstürzen. Genau dabei hilft das heise security Webinar Die Bedrohung durch Cybercrime – und wie man sich davor schützt.

(dmk)

Max Schrems ist eigentlich schwer aus der Ruhe zu bringen. Der Jurist aus Österreich zerrte unter anderem Facebook vor Gericht, treibt Datenschutzbehörden vor sich her und brachte vor dem Europäischen Gerichtshof gleich zwei transatlantische Datenabkommen zu Fall. Doch bei einer spontan anberaumten Pressekonferenz am Montagmorgen merkt man selbst ihm eine gewisse Fassungslosigkeit an.

Noch vor wenigen Wochen war der Gründer der Nichtregierungsorganisation noyb auf Einladung der Europäischen Kommission in Brüssel. Die Meinung bei einem Treffen zur Zukunft der Datenschutzgrundverordnung (DSGVO) war einhellig, so erzählt es Schrems: Es gibt Reformbedarf, aber der müsse sorgfältig austariert werden. Ein für 2026 geplanter Fitness-Check sei der richtige Rahmen.

Noch Anfang November gingen deshalb alle Beobachter:innen davon aus, dass die DSGVO im geplanten Gesetz zum „digitalen Omnibus“ nicht wesentlich angefasst wird. Mit dem Paket will die Kommission Teile ihrer Digitalregulierung vereinfachen.

Im Laufe der vergangenen Woche dann kocht die Brüsseler Gerüchteküche. Die Anzeichen verdichten sich, dass die Kommission am 19. November überraschend weitreichende Änderungen vorschlagen wird. Am Freitag platzt die Bombe: Wir veröffentlichen die Entwürfe der Kommission, die belegen, dass die Kommission eine Reform mit der Abrissbirne plant.

„Das wäre der extremste Angriff auf die Privatsphäre der Europäer:innen im Zeitalter der DSGVO“, schreibt Schrems in einer Pressemitteilung. „Im Kern handelt es sich um einen massiven Deregulierungsversuch, der 40 Jahre europäische Grundrechtsdoktrin über den Haufen wirft.“

Freifahrtschein für Werbe-Tracking und Datenhändler

Nach der Lektüre des ersten Entwurfs sei klar, dass der Schaden für die DSGVO riesig wäre, so Schrems weiter. Dem Gesetz, das die Europäische Kommission selbst gerne als weltweiten Goldstandard im Datenschutz feiert, drohe ein „Tod durch 1.000 Schnitte“. Große Teile des Entwurfs würden gegen europäische Konventionen, die Charta der Grundrechte und die ständige Rechtsprechung des Europäischen Gerichtshofs verstoßen.

Das wohl größte Schlupfloch könnte laut noyb durch eine Neudefinition dessen entstehen, was als personenbezogenes Datum zu verstehen und somit von der DSGVO erfasst sei. Weitgehend ausgenommen werden sollen nämlich offenbar pseudonymisierte Daten, also solche, bei denen Firmen die Daten nicht einem Namen zuordnen, sondern einem Pseudonym wie „user12473“ oder einer ID aus einem Tracking-Cookie. Die EU-Kommission wolle hier einen „subjektiven Ansatz“ einführen, bei dem Daten nicht mehr als personenbezogen gelten, wenn ein Unternehmen die Person hinter dem Pseudonym nicht identifizieren könne.

Erst vor wenigen Tagen hatte eine Recherche von netzpolitik.org mit internationalen Partnermedien demonstriert, wie leicht sich aus pseudonymisierten Daten metergenaue Bewegungsprofile erstellen lassen. Das Rechercheteam erhielt von Datenhändlern kostenlos Datensätze mit 278 Millionen Standortdaten aus Belgien. Die Daten enthalten weder Namen noch Telefonnummern, sondern nur pseudonyme Identifier, und doch war es möglich, mit den Daten das Leben von Spitzenpersonal der Europäischen Union auszuspionieren.

Während sich die EU-Kommission besorgt über die Recherchefunde äußerte und neue Sicherheitshinweise für ihre Beamten veröffentlichte, würde ihr Vorschlag für den digitalen Omnibus die aufgedeckte Praxis legalisieren, so Schrems. „Dies würde bedeuten, dass ganze Industriezweige, die mit Pseudonymen oder zufälligen ID-Nummern arbeiten, nicht mehr (vollständig) von der DSGVO abgedeckt wären. Dies könnte für fast alle Bereiche des Online-Trackings, der Online-Werbung und die meisten Datenbroker gelten.“

Wildcard für KI

Weiter kritisiert noyb eine mögliche „DSGVO-Wildcard“ für KI-Systeme, von der insbesondere große Tech-Konzerne wie Google, Meta, Microsoft oder OpenAI profitieren würden. Denn nicht nur das Training, auch der Betrieb von KI-Systemen mit personenbezogenen Daten könnte dann mit dem „berechtigten Interesse“ gerechtfertigt werden.

„Das bedeutet, dass eine Hochrisikotechnologie, die mit den persönlichsten Gedanken und sensiblen Daten der Menschen gespeist wird, im Rahmen der DSGVO ein generelles ‚OK‘ erhält. Gleichzeitig bleibt jede herkömmliche Datenbank oder Überwachungskamera streng reguliert“, so noyb.

Die DSGVO sieht ein solches Interesse als Rechtsgrundlage zwar grundsätzlich vor, bislang ist aber umstritten, ob es für KI-Systeme anwendbar ist. Im Rahmen der Abwägung mit den Interessen der betroffenen Personen sollen Betreiber nach den Ideen der Kommission bestimmte „Schutzmaßnahmen“ ergreifen. Es wird jedoch nicht näher definiert, wie diese aussehen.

Der einzige angebliche Schutz sei ein Widerspruchsrecht, das in der Praxis jedoch scheitern werde, analysiert noyb. Nutzer:innen müssten „hunderte Unternehmen ausfindig machen und einzelne Formulare ausfüllen“. Widersprüche und eine mögliche Informationspflicht könnten die Unternehmen kaum umsetzen.

Betroffenenrechte unter Druck

Unter Druck ist außerdem eine zentrale Errungenschaft der DSGVO: die Betroffenenrechte. Anträge auf Auskunft, Berichtigung oder Löschung von Daten sollen künftig abgelehnt werden können, wenn sie „missbräuchlich“ seien. Die Ausübung dieser Rechte soll nur noch gestattet sein, wenn sie „Datenschutzzwecken“ dient.

„Im Umkehrschluss bedeutet dies, dass zum Beispiel ein Arbeitgeber einen Antrag auf Auskunft als ‚missbräuchlich‘ ablehnen könnte, wenn ein Arbeitnehmer diesen im Rahmen eines Arbeitskonflikts über unbezahlte Arbeitsstunden stellt – zum Beispiel, um einen Nachweis über die geleisteten Arbeitsstunden zu erhalten.“ Das Gleiche würde für Journalist:innen oder Forschende gelten, so noyb.

Massiv eingeschränkt werden soll zudem der Schutz für sensible Daten nach Artikel 9 der DSGVO. Dazu zählen beispielsweise Daten zu ethnischer Herkunft, sexueller Orientierung, politischer oder gewerkschaftlicher Zugehörigkeit sowie Gesundheitsdaten. Entgegen der Rechtsprechung des Europäischen Gerichtshofs will die Kommission den Schutz nur dann gewähren, wenn solche sensiblen Informationen „direkt offenbart“ werden, kritisiert noyb.

Nicht mehr geschützt wären Menschen, bei denen etwa auf die Zugehörigkeit zu bestimmten Gruppen geschlossen werde. „Die Kommission scheint sich vor allem um Unternehmen zu kümmern, die solche Daten für das KI-Training nutzen wollen.“

Kritisch sieht noyb auch erweiterte Befugnisse, Daten auf Endgeräten zu speichern und auszulesen. Tracking-Cookies könnten dann statt wie bisher nicht mehr nur nach Einwilligung, sondern zum Beispiel ebenfalls auf Basis des berechtigten Interesses platziert werden. Auch die Zwecke, zu denen Daten von Geräten ausgelesen werden dürfen, sollen erweitert werden. Zu den Verarbeitungen auf der „weißen Liste“ würden nun auch „aggregierte Statistiken“ und „Sicherheitszwecke“ landen. Das sei zwar grundsätzlich verständlich, könne Unternehmen jedoch zu vermeintlichen Sicherheitszwecken die komplette Durchleuchtung von Privatgeräten erlauben.

Kritik am verstolperten Vorstoß

Alles in allem helfe der Entwurf nicht wie versprochen „kleinen Unternehmen“, sondern komme „wieder einmal hauptsächlich ‚Big Tech‘ zugute“, so das Fazit von Max Schrems und noyb. Der Entwurf sei außerdem „auch sehr schlecht formuliert“, so Schrems. Auch andere Jurist:innen hatten in den vergangenen Tagen die juristische Qualität bemängelt.

Erklärt werden kann dies wohl unter anderem durch massiven Zeitdruck. „Brüsseler Insider berichteten, dass bestimmte Referate nur fünf (!) Arbeitstage Zeit hatten, um einen über 180-seitigen Gesetzesentwurf zu kommentieren“, so Schrems. Ein Teil der EU-Kommission scheint alle anderen in Brüssel überrennen zu wollen.

„Sie scheinen alle Regeln der Gesetzgebung zu missachten, mit potenziell schrecklichen Folgen. Es ist besorgniserregend, wie sich Trumpsche Gesetzgebungspraktiken in Brüssel durchzusetzen scheinen.“

Danke, Deutschland?

Motiviert werde die Kommission offenbar durch einen Tunnelblick auf den KI-Hype und der Sorge, Europa könne abgehängt werden, mutmaßt Schrems. „Bei diesem Vorschlag wird übersehen, dass die meisten Datenverarbeitungen nicht auf KI basieren.“ Eine Änderung, die KI „befreien“ würde, hätte jedoch massive unbeabsichtigte Folgen für viele andere Bereiche der DSGVO. Schrems weiter: „Auch der Schutz von Gesundheitsdaten, Minderheiten oder Arbeitnehmer:innen wäre durch diesen Entwurf vorbei. Große Teile der Online-Werbebranche könnten aufgrund der vorgeschlagenen Änderungen ihre Pflichten nach der DSGVO umgehen.“

Verantwortlich macht der Jurist dafür auch die deutsche Bundesregierung. Diese hatte in einem Arbeitspapier, das wir kürzlich veröffentlicht haben, weitreichende Einschnitte bei der DSGVO angeregt. Die EU-Kommission sei auf diesen Zug aufgesprungen, obwohl zuvor eigentlich sowohl Interessengruppen als auch die Mitgliedstaaten ausdrücklich darum gebeten hätten, die DSGVO nicht wieder zu öffnen.

Dazu Schrems: „Deutschland hat traditionell eine extreme Anti-DSGVO-Position in Europa eingenommen. Es scheint einfacher zu sein, ein EU-Gesetz für die deutschen Probleme mit der Digitalisierung verantwortlich zu machen, als die Dinge auf nationaler Ebene zu regeln.“

Europol forciert ihre Kooperation mit Tech-Unternehmen aus den USA. Die Bürgerrechtsorganisation Statewatch kritisiert diese Allianz in einem Forschungsbericht als intransparent und Quelle massiver Interessenkonflikte. Die Kooperation ist demnach derart eng, dass Microsoft-Angestellte bereits eigene Arbeitsplätze in der Zentrale der EU-Polizeibehörde in Den Haag haben. Ein Europol-Beamter habe Firmen auf dem InCyber Forum, das in diesem Jahr in Lille, Frankreich, veranstaltet wurde, zudem explizit dazu aufgerufen, unternehmenseigene Daten direkt über ein neues Cyber Intelligence Gateway weiterzuleiten, um die Koordination zu verbessern. Basis für diese Entwicklung ist die umstrittene Erweiterung des Europol-Mandats 2022, die den Datenaustausch mit privaten und öffentlichen Stellen vereinfacht, Big-Data-Analysen ermöglicht und den Einsatz KI-gestützter Ermittlungsinstrumente vorantreibt.

Europol verweist laut der Analyse häufig auf „Geschäftsgeheimnisse“ oder „Datenschutz“, um Details über Verträge oder Lizenzierungen zurückzuhalten. Ein besonders kontroverses Beispiel ist die mehrjährige Nutzung der Big-Data-Plattform Gotham von Palantir. Obwohl die auch hierzulande umkämpfte Software laut Statewatch zur Basis zahlreicher Instrumente für vorausschauende Polizeiarbeit und Überwachung bei Europol gehört, habe das Amt Presseanfragen dazu abgeblockt. Von 69 Dokumenten zur Palantir-Zusammenarbeit seien lediglich zwei freigegeben, obwohl Europol nach dem Bruch sogar rechtliche Schritte gegen die US-Firma in Betracht gezogen habe. Auch die Gesichtserkennungsfirma Clearview AI, an der Palantir-Mitbegründer Peter Thiel beteiligt ist, präsentierte ihre Technologie bei Europol. Der EU-Datenschutzbeauftragte habe aber explizit gefordert, keine Dienste von Clearview in Anspruch zu nehmen, da dies wahrscheinlich gegen die Europol-Verordnung verstoßen würde.

„Wer ist wer“ der Überwachungsindustrie

Zunehmend problematisch erscheint auch das „Drehtür“-Phänomen, wonach Mitarbeiter der Behörde gerne in die Wirtschaft wechseln. Diese Gefahr dürfte sich noch verschärfen, da die EU-Kommission eine Verdoppelung der Europol-Stellen anstrebt. Ein Fall betrifft einen Ex-Cybercrime-Spezialisten, der unmittelbar nach seinem Ausscheiden 2023 zu Maltego Technologies wechselte. Europol weigerte sich, nähere Angaben dazu zu machen. Ein weiteres Unternehmen in Europols Dunstkreis ist Cellebrite, ein israelischer Tech-Riese, der Software zum Extrahieren von Daten aus Mobiltelefonen liefert. Seine Programme wurden in der Vergangenheit etwa zur Überwachung von Journalisten und Aktivisten verwendet. Die Tatsache, dass der Leiter des europäischen Vertriebs von Cellebrite zuvor in leitender Position beim Staatstrojaner-Entwickler NSO Group (Pegasus) tätig war, unterstreicht das Konfliktpotenzial solcher Allianzen.

Zentraler Schauplatz dieser Annäherung sind die jährlich stattfindenden „Research and Industry Days“. Dabei handelt es sich um eine 2024 von der Europol eingeführte Plattform, bei der Dutzende von Tech-Firmen und Verbänden ihre KI-basierten Überwachungs- und Datenanalysetools präsentieren. Die dabei vorgestellten Technologien reichen von Systemen zum Ausspähen von Mobiltelefonen von Asylsuchenden bis hin zu fortgeschrittenen Werkzeugen wie dem „Voice Inspector“ zur Stimmerkennung, Mitteln gegen Deepfakes oder Drohnen-Schnittstellen. Solche Veranstaltungen sicherten den Teilnehmern ein ungewöhnlich hohes Maß an Vertraulichkeit zu, monieren die Forscher. Sie werten diese Praxis als „präventive Garantie gegen die Freigabe von Informationen“, was die Rechenschaftspflicht und die öffentliche Kontrolle der zunehmenden „privat-öffentlichen Polizeiarbeit“ bei Europol zusätzlich erschwere.

()

In der Web-basierten Datentransfer-Software Monsta FTP klafft eine Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen und ausführen. Ein Update steht bereit.

Die Schwachsstellenbeschreibung lautet: „Monsta FTP 2.11 und frühere Versionen enthalten eine Schwachstelle, die nicht authentifizierten Nutzern das Hochladen beliebiger Dateien erlaubt. Der Fehler ermöglicht Angreifern, Code auszuführen, indem sie speziell präparierte Dateien von einem bösartigen (S)FTP-Server hochladen“ (CVE-2025-34299, CVSS4 9.3, Risiko „kritisch“).

Schwachstellen-Analyse führt zu Stirnrunzeln

Die IT-Forscher von watchtowr haben die Lücke entdeckt und eine Analyse mit viel Augenzwinkern dazu veröffentlicht. Von Monsta FTP finden sich mindestens 5000 aus dem Internet zugreifbare Instanzen. Damit kann man etwa auf Inhalte eines externen (S)FTP-Servers zugreifen – Dateien lesen, schreiben und verändern, mit einem nutzerfreundlichen Interface. Die Nutzerbasis besteht etwa aus Finanzinstituten, Unternehmen und auch überambitionierten Einzelnutzern. Für Angreifer ist die Software auch deshalb interessant, da sie in PHP programmiert sei, frotzelt watchtowr.

Interessierte können dort eine Untersuchungskette verfolgen, die von der nicht ganz taufrischen Version 2.10.4 von Monsta FTP ausgeht – aktuell ist der 2.11er-Entwicklungszweig –, da ein großer Teil des Internets nicht die aktuelle Version einsetze. Darin fanden sich drei Sicherheitslücken, die bereits für die Version 2.10.3 bekannt waren. Daher haben die IT-Sicherheitsforscher sich den aktuellen 2.11er-Zweig angesehen, ob die Lücken darin abgedichtet waren.

Die Analysten fanden neue Funktionen im Programmcode, die Filterung etwa für Pfade nachrüsten. Proof-of-Concept-Code zum Missbrauch der SSRF-Schwachstelle CVE-2022-31827 – in Monsta FTP 2.10.3 – funktionierte jedoch immer noch. Die Analyse der Schwachstelle führte dann zur Entdeckung der neuen Sicherheitslücke, die das Ausführen von Schadcode ermöglicht – im Speziellen eine „Pre-Authentication Remote Code Execution“, also Ausführen von Schadcode aus dem Netz ohne vorherige Anmeldung.

Monsta FTP 2.11.3 vom 26. August 2025 soll diese Sicherheitslücke korrekt abdichten, erklärt watchtowr. Das Changelog von Monsta FTP schreibt zu dem Release lediglich „Resolved PHP 7.x compatibility issue“; abgedichtete Sicherheitslecks erwähnen die Entwickler nicht.

Datentransfer-Software mit Lücken: Liebling der Cybergangs

Datentransferlösungen wie Monsta FTP kommen etwa zur Verwaltung von Webseiten zum Einsatz, oder auch allgemeiner zum Datenaustausch. Cybergangs wie cl0p nutzen derartige Sicherheitslücken darin aus, um Daten in großem Stil zu kopieren und die betroffenen Unternehmen damit zu erpressen. Mitte 2023 hatte die kriminelle Vereinigung etwa durch eine Sicherheitslücke in MOVEit Transfer Daten bei vielen namhaften Unternehmen und Konzernen abgegriffen.

Erst vor wenigen Tagen ist auf der Darknet-Leaksite der cl0p-Bande die Washington Post als Opfer eines Datenabzugs aufgetaucht. Die Washington Post reagierte nicht auf unsere Anfragen dazu; die Täter nennen auch nicht den Umfang und die Art der angeblich kopierten Daten. Noch jünger ist der Eintrag zum Tastatur- und Maus-Hersteller Logitech. Auch hier fehlen etwaige Informationen zu Art und Umfang des Datendiebstahls oder gar eine Bestätigung seitens Logitech. Ob cl0p tatsächlich Daten bei den beiden namhaften Organisationen abgegriffen hat und durch welche Sicherheitslücke in welcher Software, ist derzeit vollkommen unklar.

Cybercrime und Ransomware sind keine Naturkatastrophen, denen man ohnmächtig gegenübersteht. Wer verstanden hat, wie die Angreifer ticken, welche Methoden sie einsetzen und wie die existierenden Schutzmöglichkeiten funktionieren, kann seine IT so absichern, dass deren Schutzmaßnahmen nicht beim ersten falschen Klick in sich zusammenstürzen. Genau dabei hilft das heise security Webinar Die Bedrohung durch Cybercrime – und wie man sich davor schützt.

(dmk)