Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird von der EU-Kommission ein weiteres Reformvorhaben, das sogenannte Digital Package, vorlegen. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

Mitglieder der Unions- und SPD-Fraktion haben sich bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt. Kurz vor Ende kam noch einmal kräftig Bewegung in die Diskussionen zwischen den Beteiligten: Wie genau soll im Fall der Fälle der Betrieb einer betriebskritischen Komponente in den kritischen Anlagen verboten werden können? Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium untersagt werden kann. Mit der Ausweitung der Betroffenen des dann überarbeiteten BSI-Gesetzes auf voraussichtlich etwa 30.000 Betreiber wird das wesentlich relevanter.

Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die dann ein Verbot möglich wäre, wenn die Hersteller nicht als vertrauenswürdig gelten.

Zugleich wird aber die Reihenfolge geändert: Von einer Ex-Ante, also einer Prüfung im Vorhinein, wird dann auf Ex-Post umgestellt – die Betreiber können auf eigenes Risiko also Komponenten einsetzen, müssen deren Verwendung aber dem BSI anzeigen und im Nachgang bei einem Verbot auch wieder ausbauen. Da die Entscheidung über ein Verbot aber immer auch eine politische Dimension hat, muss dieses von der Hausleitung des Bundesinnenministeriums ausgesprochen werden. Dessen Staatssekretär Hans-Georg Engelke zeigte sich am Mittwochabend auch „ganz zufrieden“ mit der gefundenen Lösung.

Telekommunikationsanbieter fürchten Unsicherheit

Insbesondere die Telekommunikationsbranche fordert Planungssicherheit. „Wir brauchen an dieser Stelle Planungssicherheit und nicht ein Wiederaufmachen dieser Thematik im Jahresrhythmus“, forderte Telefonica Deutschland-Vorständin Valentina Daiber bei einer Veranstaltung des CDU-nahen Wirtschaftsrats am Mittwoch in Berlin.

Das sei zwar ein absolut legitimer Wunsch, erwiderte Klaus Müller, Präsident der Bundesnetzagentur. Ihm stehe aber eben eine sich schnell verändernde Welt entgegen. Die Bundesnetzagentur hatte erst am Montag den Entwurf neuer Sicherheitsrichtlinien im Telekommunikationsbereich veröffentlicht – im Vorgriff auf die NIS2-Regelungen.

Er sei zu den Notwendigkeiten mit der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik Claudia Plattner regelmäßig im Dialog, sagte Müller bei der Veranstaltung: „Das sind keine schönen Gespräche.“ Tatsächlich dürften die Regelungen vor allem in anderen Kritis-Branchen Auswirkungen haben – der Telekommunikationssektor hat dank der Huawei-Debatte und dem bisherigen §9b BSI-Gesetz bereits vergleichsweise viel Erfahrung.

CISO Bund geht zum BSI

Auf Plattners Behörde kommen nun weitere Aufgaben zu: Die Rolle des „Chief Information Security Officer“ (CISO), also des IT-Sicherheitsbeauftragten der Bundesverwaltung, geht nach der Einigung im parlamentarischen Verfahren nun zur Bonner Behörde – dort soll die Stelle angesiedelt werden. Eine weitere relevante Änderung betrifft nicht nur das BSI, sondern auch die anderen nachgeordneten Bundesbehörden: Die sollen zumindest gewisse Sicherheitspflichten künftig auch erfüllen müssen. Eine Forderung, die auch der Bundesrechnungshof erhoben hat.

Mit der Einigung im Bundestag wird die Wahrscheinlichkeit von Strafzahlungen an die EU wegen der Nichtumsetzung von EU-Recht deutlich reduziert: Die EU-Kommission hatte zuletzt angekündigt, gegen jene Staaten, die die NIS2-Richtlinie nicht in nationales Recht umgesetzt haben, ein Vertragsverletzungsverfahren einzuleiten. Bislang haben erst 15 der 27 Mitgliedstaaten die Vorgaben für mehr Cybersicherheit in kritischen Infrastrukturen umgesetzt.

Die Strafe hätte zuständigkeitshalber aus dem Etat des Innenministeriums beglichen werden müssen, das den Entwurf kurz vor der Sommerpause mit einigen offenen Baustellen den Abgeordneten im Bundestag überantwortete. Der soll das Umsetzungsgesetz nach der Einigung aufgrund der vielfältigen Dringlichkeit schnellstmöglich verabschieden – kommende Woche soll das Gesetz den Bundestag passieren.

(wpl)

In die seit Jahren feststeckenden Verhandlungen im EU-Rat zur sogenannten Chatkontrolle ist Bewegung gekommen. Die nationalen Botschafter haben laut einem Bericht von Politico (€) in der gestrigen Sitzung einem neuen Anlauf aus Dänemark zugestimmt. Wie MLex berichtet, habe mit Deutschland auch ein großes Kritikerland Zustimmung signalisiert. Damit ließe sich die Sperrminorität, die den Rat bisher gebremst hat, überwinden.

Seit Jahren ist der Gesetzentwurf der Europäischen Union zur Bekämpfung von Material über sexuellen Kindesmissbrauch (CSAM) umstritten; im EU-Rat gab es dazu seit drei Jahren keine Einigung. Knackpunkt bei den Verhandlungen ist immer wieder die verpflichtende, anlasslose Chatkontrolle, also die massenhafte Durchleuchtung privater und auch verschlüsselter Kommunikation.

Dänemark hatte, nachdem es keine Mehrheit für seinen Vorschlag erhalten hatte, einen neuen Kompromiss (PDF) vorgelegt. Demnach sollten die „Aufdeckungspflichten“ aus dem Gesetzentwurf entfallen, also Artikel 7 bis 11 – und damit auch die Anordnungen, die Dienste zur Chatkontrolle verpflichten könnten.

Von offizieller Seite gibt es widersprüchliche Signale über die mögliche, bevorstehende Einigung. Eine Sprecherin der dänischen Repräsentanz sagte am Mittwoch gegenüber netzpolitik.org, die EU-Ratspräsidentschaft sei zum Schluss gekommen, dass es „genügend Unterstützung für den vorgeschlagenen Weg gibt, obwohl mehrere Mitgliedstaaten sich einen ehrgeizigeren Ansatz gewünscht hätten.“ Ein neuer Kompromissvorschlag würde nächste Woche in der Sitzung der Arbeitsgruppe diskutiert werden.

Ausreichende Mehrheit nicht sicher

Ein Sprecher des EU-Rates äußerte sich verhaltener: „Der Vorsitz hat die nötige Unterstützung bekommen, um den neuen Vorschlag (der noch nicht vorliegt) auf technischer Ebene zu besprechen. Der heutige AStV hat sich nicht inhaltlich mit dem neuen Vorschlag auseinandergesetzt. Ob es eine ausreichende Mehrheit gibt, lässt sich zum jetzigen Zeitpunkt von daher nicht sagen.“

Auch ohne eine verpflichtende Chatkontrolle wäre die Überwachung vertraulicher Kommunikation nicht vom Tisch. Die „vorübergehende Ausnahme“ der Vertraulichkeit der Kommunikation – also die freiwillige Chatkontrolle – will Dänemark nämlich „dauerhaft machen“. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen eigentlich nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Die freiwillige Chatkontrolle wurde allerdings 2021 vorübergehend erlaubt. Mit dem neuen Vorschlag soll sie dauerhaft erlaubt werden. Die Bundesdatenschutzbeauftragte kritisierte gegenüber der Bundesregierung jedoch auch das „freiwillige“ Scannen als rechtswidrig.

Nach Einigung im Rat käme der Trilog

Laut einer Notiz an Diplomaten, die Politico vorliegt, sehen die dänischen Pläne eine Überprüfungsklausel vor, um verpflichtende Scans in Zukunft erneut zu erwägen. Demnach dürfte die verpflichtende Chatkontrolle immer wieder als Thema auftauchen und auf EU-Ebene diskutiert werden.

Einen neuen Vorschlag soll es erst in der kommenden Woche geben; Dänemark hatte bislang nur eine Zusammenfassung geliefert. Laut dem MLex-Bericht haben einige Länder gesagt, dass sie ihre Zustimmung vom endgültigen Text abhängig machen. Sollte der EU-Rat letztlich grünes Licht geben, dann geht die Verordnung in den sogenannten Trilog, also die finalen Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Rat.