Connect with us

Datenschutz & Sicherheit

Zivilgesellschaft stellt sich gegen „Sicherheitspaket“



Die Bundesregierung soll ihre Pläne für eine biometrische Gesichtersuche im Internet und den Einsatz von KI-Datenanalysen in der Polizeiarbeit zurückziehen. Das fordert eine Koalition aus zivilgesellschaftlichen Organisationen in einem heute veröffentlichten Brief. Die Kritik richtet sich gegen das sogenannte „Sicherheitspaket“ aus dem Bundesinnenministerium von Alexander Dobrindt (CSU). Derzeit befindet es sich in der Abstimmung zwischen den Ministerien.

Das Paket sieht vor, dass das Bundeskriminalamt und die Bundespolizei Personen anhand ihrer biometrischen Daten in „öffentlich zugänglichen Daten aus dem Internet“ suchen und identifizieren dürfen. Polizeibehörden dürften dann etwa die Gesichter, Stimm- oder Bewegungsmuster der Personen einsetzen, um in Posts auf Instagram oder in offenen Chatgruppen nach ihnen zu suchen. Nicht nur Verdächtige, sondern auch Opfer und Zeug*innen soll die Polizei auf diesem Weg identifizieren dürfen.

Auch das Bundesamt für Migration und Flüchtlinge (BAMF) soll die biometrische Suche einsetzen dürfen, um die Identität von Menschen im Asylverfahren zu klären.

„Gesichtsdatenbank aller Bürger*innen“

Mehrere zivilgesellschaftliche Organisationen zeigen sich angesichts dieser Pläne alarmiert, darunter die Vereine D64, AlgorithmWatch, der Chaos Computer Club und Amnesty International Deutschland. Biometrische Datenbanken, wie sie für eine solche Suche notwendig wären, ermöglichten Massenüberwachung und schwere Verstöße gegen Grundrechte wie das Recht auf Privatsphäre, heißt es in dem Appell.

Die Pläne könnten etwa dazu führen, dass Menschen es künftig vermeiden, Fotos und Videos im Netz zu teilen oder gar an Tätigkeiten teilzunehmen, von denen Aufnahmen ins Netz gelangen könnten, schreibt das Bündnis. Es fordert die Bundesregierung auf, sich gegen jede Form der biometrischen Auswertung des Internets einzusetzen.

„Innenminister Dobrindt schlägt im Prinzip vor, eine gigantische Gesichtsdatenbank aller Bürgerinnen und Bürger aus dem Internet zu bauen – ganz egal, ob jemand verdächtig ist oder nicht“, sagt Kilian Vieth-Ditlmann von der Organisation AlgorithmWatch. Familienfotos und Party-Selfies seien dann ebenso im Visier wie Bilder, auf denen man nur im Hintergrund zu sehen ist. „Das ist völlig unverhältnismäßig und genau deshalb durch EU-Recht verboten.“

Die KI-Verordnung der EU untersagt KI-Systeme, „die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen oder erweitern“. Zugleich gilt die Verordnung nicht für KI-Systeme, wenn diese ausschließlich für „Zwecke der nationalen Sicherheit“ eingesetzt werden.

Big Data, wenig Kontrolle

Das BMI plant zudem weitere Befugnisse für das Bundeskriminalamt und die Bundespolizei. Sie sollen ihre verschiedenen Datenbanken technisch zusammenführen und automatisiert analysieren dürfen. Das ist das Versprechen von Big-Data-Analysesoftware, wie sie etwa der umstrittene US-Konzern Palantir anbietet.

Diese automatisierte Auswertung von Daten beschränke sich nicht auf Tatverdächtige, kritisieren die zivilgesellschaftlichen Organisationen. Auch Opfer, Zeug*innen und weitere unbeteiligte Personen, deren Daten zufälligerweise bei der Polizei landen, werden mit einbezogen. Der Quellcode von Palantirs Software sei zudem nicht offen, sodass die Ergebnisse nicht nachvollziehbar seien. Der Einsatz von KI-Systemen, die ihre Entscheidungen nicht offenlegten, sei besonders riskant für bereits marginalisierte Gruppen in der Bevölkerung.


2025-07-14
1272.12
107


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Besonders schlecht kommt Palantir weg. Laut den Plänen sollen Polizeibehörden auch die Systeme von Drittanbietern wie Palantir für die Analyse einsetzen dürfen. „Palantir ist eng verbunden mit dem Tech-Milliardär Peter Thiel, der bekennender Anhänger der Trump-Regierung und explizit der Auffassung ist, dass Demokratie nicht mit Freiheit vereinbar sei“, warnt das Bündnis. Der Einsatz der Software gefährde die digitale Souveränität Deutschlands.

„An der Grenze zur Verfassungswidrigkeit“

Jenseits der Kritik an den konkreten geplanten Überwachungsmaßnahmen kritisieren die Organisationen die politische Stoßrichtung der Bundesregierung: Die Maßnahmen stünden insgesamt in keinem angemessenen Verhältnis zu dem vermuteten Gewinn an Sicherheit. Außerdem loteten sie rechtliche Grauzonen aus. „Als Zivilgesellschaft haben wir die Erwartung, dass die Bundesregierung Gesetze vorlegt, die nicht ständig an der Grenze der Verfassungswidrigkeit und des Europarechts – und sogar darüber hinaus – segeln.“ Solche Gesetze führten auch zu jahrelanger Rechtsunsicherheit für die Strafverfolgungsbehörden.

Vor dem Hintergrund erstarkender rechtsextremer Parteien sollten „demokratische Kräfte“ die Möglichkeiten des Machtmissbrauchs verhindern und keine Überwachungsinfrastruktur aufbauen.

Das „Sicherheitspaket“ ist aktuell noch in einem frühen Stadium. Das Haus von Alexander Dobrindt hat die Entwürfe zur Vorabstimmung an andere Ministerien verschickt. Danach folgt die Länder- und Verbändebeteiligung und die offizielle Ressortabstimmung, bevor das Kabinett das Paket beschließt und an den Bundestag schickt. Zum weiteren Zeitplan wollte sich das BMI nicht äußern.



Source link

Datenschutz & Sicherheit

EU-Kommission stellt Schutz sensibler Behördendaten auf dünnes Eis


Eine E-Mail über Outlook verschicken, eine Tabelle mit Excel erstellen oder die nächste Präsentation mit PowerPoint – die Anwendungen von Microsoft 365 nutzen viele Mitarbeiter*innen in Behörden selbstverständlich und vertrauen dem US-amerikanischen Tech-Konzern damit Daten über interne Vorgänge der EU an, etwa Inhalte aus E-Mails oder Präsentationen. Doch wie schützt Microsoft diese Behördendaten? Und vor allem: Wer kontrolliert, wie Microsoft mit den Daten umgeht?

Gute Kundin für Microsoft 365 ist die öffentliche Verwaltung auf EU-Ebene, etwa die Europäische Kommission. Die Behörde beschäftigt 32.860 Mitarbeiter*innen, also eine ganze Menge Nutzer*innen von Microsofts Büro-Software. Das bedeutet eine Menge Daten – und Verantwortung, diese Daten zu schützen. In einem mehrjährigen Verfahren musste die Kommission belegen, dass das gelingt.

Nun hat der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski das dazugehörige Verfahren abgeschlossen. Mitte Juli bescheinigte er der Kommission die „Datenschutzkonformität bei der Nutzung von Microsoft 365“. In einem Brief an die Generaldirektorin Veronica Gaffey stellte er fest:

Die Kommission hat nun die Kontrolle darüber, was bei der Nutzung der Microsoft 365-Dienste geschieht. Dies ist das Ergebnis zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen, die in Zusammenarbeit mit Microsoft umgesetzt wurden oder geplant sind.

Ein Grund zur Entwarnung ist das aber nicht. Ein Blick auf die Gesamtsituation zeigt: Nach wie vor gibt es Grund für ernste Bedenken beim Schutz sensibler Behördendaten. Sie fallen bloß nicht mehr in die Zuständigkeit von Datenschutz-Wächter Wojciech Wiewiórowski.

Deshalb zeigt sich Wiewiórowski nun zufrieden

Noch im März 2024 hatte Wiewiórowski die Kommission dazu aufgefordert (PDF), beim Datenschutz massiv nachzubessern. Sein Befund: Die Lizenzvereinbarung mit Microsoft sei lückenhaft, und das präge die Art und Weise, wie die Kommission die Büroanwendungen nutzt. Die Behörde habe versäumt, vertraglich festzulegen, dass Microsoft bestimmte Daten nur zu bestimmten Zwecken verarbeiten dürfe. Zudem seien die Daten nicht ausreichend geschützt, wenn die Kommission sie in Drittländer außerhalb der EU überträgt.

Im Fokus der Aufforderung standen nur ein paar der Bestimmungen eines Gesetzes für die Verwaltung der EU von 2018, wie der EDSB auf Anfrage von netzpolitik.org erklärt. Das Gesetz hat einen langen Namen: „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“. Die Datenschutz-Grundverordnung (DSGVO) wiederum sei nicht Teil der Prüfung durch den EDSB. Denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“.

Laut Wiewiórowski habe die Kommission inzwischen die Mängel behoben, die er und sein Team bei ihrer Prüfung gefunden haben. Was sich zunächst wie eine gute Nachricht für behördlichen Datenschutz anhört, erweist sich bei näherem Hinsehen allerdings als wenig aussagekräftig. Denn mehrere Gesetze zum transatlantischen Datentransfer stutzen den Einfluss des EDSB auf ein Minimum.

Der kurze Erfolg von „Schrems II“

Als der EDSB im Jahr 2021 seine Untersuchung zur Microsoft-365-Nutzung der Kommission aufgenommen hatte, stand insbesondere in der Kritik, dass die Kommission das „Schrems II“-Urteil nicht berücksichtige (PDF). Diese Einschätzung wiederholte er im Mai 2024. Nun hat der EDSB das Verfahren beigelegt und äußert sich nicht mehr zu „Schrems II“.

Bei „Schrems II“ handelt es sich um ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2020. Damals kippte der Gerichtshof den Privacy Shield, ein Datenschutzabkommen zwischen EU und USA. Anlass war eine Beschwerde des Juristen und Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde: Facebook Irland leite demnach seine Daten an den Mutterkonzern in den USA weiter. Und Schrems hatte Erfolg.

„Schrems II“ besagt: Überträgt eine Behörde personenbezogene Daten ins Ausland, dann muss das Zielland ein bestimmtes Datenschutzniveau aufweisen. Das Unternehmen Microsoft hat seinen Sitz in den Vereinigten Staaten. Die erreichen laut EuGH-Urteil das geforderte Schutzniveau nicht. Denn US-Behörden hätten zu viele Zugriffsmöglichkeiten, was mit den hohen Anforderungen an den Datenschutz in der EU nicht vereinbar sei.

So wurde „Schrems II“ ausgehebelt

Dass der EDSB „Schrems II“ inzwischen nicht mehr erwähnt, mag damit zusammenhängen, dass seit Mitte 2023 der sogenannte Datenschutzrahmen EU-USA gilt (EU-US Data Privacy Framework, kurz DPF). Er hat den Privacy Shield abgelöst. Die EU-Kommission hat hierbei eine Angemessenheitsentscheidung zugunsten der USA getroffen. Demnach sollen die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können, die aus der EU an US-Unternehmen übertragen werden.

Unterm Strich dürfen US-amerikanische Unternehmen also personenbezogene Daten von EU-Bürger*innen in den USA speichern und verarbeiten, ohne zusätzliche Datenschutzgarantien einrichten zu müssen. Kritiker*innen mahnen, dass „kaum rechtlicher Schutz vor dem anlasslosen wie massenhaften Zugriff der amerikanischen Behörden“ besteht. Schrems bezeichnete dieses neue Abkommen als „Zaubertrick“.

Und der EDSB? Der sei für die Angemessenheitsentscheidung mit den USA beim Thema Microsoft 365 in der Kommissions-Verwaltung schlicht nicht zuständig, wie die Behörde gegenüber netzpolitik.org erklärt. Er verwies lediglich darauf, die Kommission habe detaillierte Vorschriften formuliert, wie entsprechend zertifizierte Unternehmen personenbezogene Daten an US-Behörden zwecks Strafverfolgung und nationaler Sicherheit übermitteln dürfen.


2025-07-14
1295.12
109


– für digitale Freiheitsrechte!



Euro für digitale Freiheitsrechte!

 

Doch selbst, wenn der DPF erneut vom EuGH gekippt werden würde, kann sich die Kommission dem EDSB zufolge schon jetzt „zurecht“ auf eine Ausnahmeregelung des Gesetzes von 2018 berufen: Sollen Daten an Microsoft in einem Drittland erfolgen, das nicht als angemessen gilt, lässt sich das durch die Kommission mit „wichtigen Gründen des öffentlichen Interesses“ rechtfertigen.

Noch mehr Wege, wie Daten in die USA fließen

Daten der europäischen Verwaltung können zudem per US-amerikanischem Cloud Act (Clarifying Lawful Overseas Use of Data Act) in die USA gelangen. Demnach sind Anbieter, die ihren Unternehmenssitz in den USA haben, dazu verpflichtet, Daten und Informationen zu Nutzer*innen gegenüber US-Behörden offenzulegen, wenn die es verlangen. Das ist unabhängig davon, wo die Daten liegen, etwa auf europäischen Rechenzentren. Zu diesem Schluss kam beispielsweise der Wissenschaftliche Dienst des Deutschen Bundestages in einem Bericht aus dem Jahr 2024.

Auch die Aussage des Chefjustiziars von Microsoft Frankreich, Anton Carniaux, deutet darauf hin. Mitte Juli wurde er im französischen Senat befragt: Können die USA auch Daten einsehen, ohne dass die französischen Behörden zuvor ausdrücklich zugestimmt hätten? Laut Carniaux könne Microsoft nicht garantieren, dass US-Behörden keinen Zugriff auf Nutzer*innendaten erhalten.

Datenschutzbeauftragter mahnt zur Vorsicht

Wie soll die EU also den Zugriff auf Daten regulieren, wenn der Cloud Act US-Behörden derart weitreichende Befugnisse gewährt? Auch auf wiederholte Nachfrage verweist der EDSB dazu lediglich auf zusätzliche Vertragsbestimmungen, die die Kommission mit Microsoft ausgehandelt habe. Demnach hätten alleine die EU oder ihre Mitgliedstaaten das Recht, Microsoft zur Offenlegung von Daten aus Behörden zu verpflichten.

„Uns wurden auch im direkten Austausch mit Microsoft keine technischen Änderungen bekannt, die den Zugriff durch US-Behörden verhindern würden“, schreibt die Datenschutzorganisation noyb auf Anfrage von netzpolitik.org. Sie bezeichnet die Vereinbarungen der Kommission mit Microsoft als Paper-Compliance. Es sei nicht ersichtlich, dass der EDSB ein technisches Audit erstellt habe. Stattdessen vertraue er auf die Vertragsänderungen der EU-Kommission. „Vermutlich kann die NSA weiterhin live in den Dokumenten der EU-Kommission mitlesen“, schätzt noyb.

Denn noch ein weiteres US-Gesetz öffnet dem Datenfluss von der EU in die USA Tür und Tor: der Foreign Intelligence Surveillance Act (FISA), insbesondere dessen berühmt-berüchtigte Section 702. Demnach dürfen US-Behörden wie die National Security Agency (NSA) etwa im Namen der Terrorismus-Bekämpfung großflächig Daten von Online-Diensten abfragen – eine Lizenz zur großflächigen Überwachung des Internets. Im vergangenen Jahr hatte der US-Kongress diese brisante Regelung um zwei weitere Jahre verlängert.

Auch der EDPB hat das auf dem Schirm: Er empfiehlt der Kommission, diese Entwicklungen zu verfolgen.



Source link

Weiterlesen

Datenschutz & Sicherheit

Untersuchung: Attacken auf Sonicwall-Firewalls wohl über Lücke aus 2024


Sonicwall hat jüngste Hinweise auf Angriffe auf bestimmte Firewallserien überprüft und ist nun zu dem Schluss gekommen, dass Angreifer wohl nicht an einer Zero-Day-Lücke ansetzen. Vielmehr sei das Einfallstor eine Schwachstelle aus dem Jahr 2024.

Darauf weist das IT-Unternehmen in einem aktualisierten Beitrag hin. Vor wenigen Tagen sorgten Attacken auf Firewalls der Gen-7-Serie für Schlagzeilen, und verschiedene Sicherheitsforscher vermuteten eine Zero-Day-Lücke als Ansatzpunkt.

Sonicwall führt aus, dass die Angreifer mit hoher Wahrscheinlichkeit abermals an einer älteren „kritischen“ Sicherheitslücke (CVE-2025-40766) ansetzen, die bereits 2024 für Ransomwareattacken ausgenutzt wurde. Sicherheitsupdates sind seitdem verfügbar, aber aufgrund der derzeitigen Attacken offensichtlich bisher nicht flächendeckend installiert. Demzufolge sollten Admins dringend prüfen, ob ihre Instanzen bereits abgesichert sind.

Der Firewallhersteller gibt an, dass ihnen derzeit weniger als 40 Fälle mit Attacken bekannt sind. Dabei stehen primär Firewalls im Fokus von Angreifern, die von der Gen-6- auf die Gen-7-Reiher migriert wurden. Dabei wurden auch Passwörter mitgenommen, was in diesem Kontext ein Sicherheitsrisiko darstellt. In der Warnmeldung von damals weist Sonicwall Admins zum Ändern von Passwörtern für Nutzer mit SSL-VPN-Zugriff an. Sind Attacken erfolgreich, können Angreifer unter anderem Admin-Accounts übernehmen.

Admins müssen neben dem Zurücksetzen von Passwörtern sicherstellen, dass mindestens die Firmware 7.3.0 installiert ist. Für zusätzlichen Schutz sollten außerdem die Funktionen Botnet Protection, Geo-IP-Filtering und eine Multi-Faktor-Authentifizierung (MFA) aktiv sein. Überdies sollten Admins Accounts kontrollieren und inaktive und ihnen unbekannte Konten umgehend löschen.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Auslegungssache 140: Grenzen des Auskunftsrechts


Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz in Episode 140 des c’t-Datenschutz-Podcasts.


Dr. Carlo Piltz

Dr. Carlo Piltz

Rechtsanwalt Dr. Carlo Piltz in der Auslegungssache

Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen.

Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind.

Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten.

Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall.

Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Episode 140:

Hier geht es zu allen bisherigen Folgen:


(hob)



Source link

Weiterlesen

Beliebt