isoc.de

Author Archive

Die Vertraulichkeit und Sicherheit der digitalen Kommunikation sind für unsere Gesellschaft unerlässlich. Nicht nur der demokratische Diskurs lebt von einem freien Meinungsaustausch, sondern auch unsere Wirtschaft braucht eine sichere Kommunikation. Die Informationsfreiheit ist ein hohes Gut und ist in Artikel 11 der EU-Grundrechtecharta verankert.

Die Europäische Kommission hat Pläne zur Überwachung aller Kommunikationsinhalte in Erwägung gezogen, was diesen wichtigen demokratischen und wirtschaftlichen Zielen zuwiderlaufen würde. Die geplante anlasslose Überwachung aller Kommunikationsinhalte zur Erleichterung der Aufklärung von Straftaten bedeutet jedoch entweder die Entschlüsselung aller verschlüsselten Nachrichten durch die Diensteanbieter oder die Umgehung der Ende-zu-Ende-Verschlüsselung durch automatisiertes und massenhaftes “Client Side Scanning” (CSS) auf den Endgeräten der Nutzer.

Auf Initiative der Gesellschaft für Informatik (GI) hat CEPIS einen offenen Brief veröffentlicht, in dem die europäischen Gesetzgeber aufgefordert werden, das Recht auf eine starke und effektive Verschlüsselung für alle EU-Bürger, Unternehmen und Institutionen nicht zu untergraben. Darüber hinaus sollen Anbieter von Kommunikationsdiensten verpflichtet werden, den EU-Bürgern eine sichere IKT-Infrastruktur zur Verfügung zu stellen. Zudem wird ein Ende aller Aktivitäten gefordert, die die Verschlüsselung schwächen und umgehen, da sie die Sicherheit aller EU-Bürger und unserer Wirtschaft einem enormen Risiko aussetzen.

Als ISOC.DE unterstützen wir diese Forderungen und haben daher den Brief mitgezeichnet. Den offenen Brief finden Sie hier: https://cepis.org/right-to-secure-communication/

Am 9. Februar 2022 trafen sich interessierte ISOC.DE-Mitglieder beim virtuellen Kaminabend zum Thema „Internet Governance“, um im Rahmen dessen die gewonnenen Eindrücke vom letztjährigen Internet Governance Forum (IGF) in Kattowitz auszutauschen und zu diskutieren.

Nach einer kurzen Einführung ins Thema, die u.a. die Entstehungsgeschichte des IGF und die Multistakeholder Advisory Group (MAG) als dessen wesentliches thematisches Steuerungsorgan beleuchtete, wurde die enge Einbindung und die durchaus deutlich akzentsetzende Rolle der Gastgeberländer diskutiert. Weiterhin wurden die regionalen und nationalen IGF-Initiativen angesprochen – so z.B. der europäische Euro-DIG oder das deutsche IGF-D – sowie deren Verzahnung mit dem globalen IGF.

Vom IGF 2021 in Kattowitz haben die Teilnehmer unter den ISOC.DE-Mitgliedern als wesentliche Erkenntnisse Folgendes mitgenommen:

• Viele Gremien, viele Themen
• Im IGF werden keine Entscheidungen getroffen werden, eine Entscheidungsfindung wird durch das IGF vielmehr ermöglicht durch den dort stattfindenden Erkenntnisgewinn – dies wurde als positiv wahrgenommen
• Ein starker Fokus lag auf Aspekten wie „Menschenrechte der Nutzer“ oder „Demokratische Prinzipien bilden Grundlage für das Internet“
• Als weniger wünschenswerte Entwicklung entstand der Eindruck, dass die Lokalisierung des IGF-Prozesses insgesamt zu einer Atomisierung führt in zweierlei Hinsicht: Zum einen konkurrieren die regionalen bzw. nationalen IGFs mit dem globale IGF um Aufmerksamkeit, zum anderen sorgt die sehr breite Themenvielfalt bis hin zu KI, Nachhaltigkeit & Co. dafür, dass die eigentliche Internet Governance an sich zunehmend weniger im Fokus steht.

Die unter einem sich dafür anbietenden Motto „Make IGF Internet again“ stehende erneute Hinwendung zu Themen mit deutlich stärkerem Bezug zu klassischer Internet Governance wurde begrüßt.

ISOC.DE-Mitglied Manuel Höferlin steuerte ferner seine Sicht als Bundestagsabgeordneter bei auf die spezielle Relevanz des gesamten IGF-Prozesses gerade auch für Parlamentarier weltweit. Die Teilnahme von Regierungsvertretern am IGF ist wichtig, gewünscht und soll deswegen beibehalten und nach Möglichkeit ausgebaut werden. Da aber Regierungen nicht auch die Parlamente vertreten können und sollen, sondern von letzteren idealerweise beaufsichtigt werden, ist die IGF-Teilnahme gerade auch für Parlamentarier – auch die der Opposition – enorm wichtig.

Aus seiner Sicht ist es – gerade, weil viel national reguliert wird – gewinnbringend, politische Stakeholder anderer Länder zu treffen und zu hören, was z.B. bzgl. entsprechender Gesetzgebung in diesen Ländern passiert. Parlamentarier sind aus dieser Perspektive – wie alle anderen IGF-Teilnehmer auch – Internetnutzer mit verschiedener Herkunft und verschiedenem Hintergrund, die sich treffen und austauschen und so voneinander lernen. Manuel Höferlin schließt mit dem Wunsch nach einem regelmäßigen unterjährigen Austausch zwischen Parlamentariern, welcher aber als aktuelle Baustelle der IGF-Parlamentarier formalisiert und vorbereitet werden müsste.

Der Kaminabend schließt mit dem Hinweis, dass das zum Jahresende anstehende globale IGF im äthiopischen Addis Abeba stattfinden soll.

Verschlüsselung ist eine wichtige Technologie, die dazu beiträgt, dass Menschen, ihre Informationen und ihre Kommunikation privat und sicher bleiben. Einige Regierungen und Organisationen drängen jedoch darauf, die Verschlüsselung zu schwächen, was einen gefährlichen Präzedenzfall schaffen würde, der die Sicherheit von Milliarden von Menschen auf der ganzen Welt gefährdet.

Wir unterstützen daher Bemühungen, die die Nutzung starker Verschlüsselung zum Schutz der Menschen überall verbessert, stärkt und fördert. Insbesondere gilt das für Aktivitäten von Unternehmen, ihre Kunden zu schützen, indem sie starke Verschlüsselung in ihren Diensten und auf ihren Plattformen einsetzen.

Daher sind wir Mitglied der Global Encryption Coalition, kurz GEC, geworden. Sie hat sich zum Ziel gesetzt, Verschlüsselung in wichtigen Ländern und multilateralen Foren zu fördern und zu verteidigen, wo sie bedroht ist. Die GEC unterstützt Unternehmen dabei, ihren Nutzern verschlüsselte Dienste anzubieten. Sie wurde im Jahr 2020 vom Center for Democracy & Technology, Global Partners Digital und der Internet Society gegründet und hat inzwischen über 200 Mitglieder weltweit.

Mehr Informationen zur GEC finden sich unter: https://www.globalencryption.org

Aufmerksame Internetnutzer sind sicherlich in den vergangenen Monaten über eine Abkürzung gestolpert, die derzeit in aller Munde ist. Die Datenschutzgrundverordnung, abgekürzt DSGVO bzw. deren englischsprachige Übersetzung GDPR. Dahinter steht die Europäische Datenschutz-Richtlinie, die bereits im Mai 2016 in Kraft getreten ist, aber erst ab 25. Mai 2018 durchgesetzt wird.

In der Vergangenheit konnten Internetnutzer schwer feststellen, welche ihrer Daten von Anbietern erhoben, gespeichert und an andere Unternehmen weitergegeben wurden. Die neue DSGVO stärkt die Rechte von Internetnutzern und stellt eine transparente Datenerhebung und -verwendung sicher, wenn diese ihre Daten in digitalen Plattformen und Anwendungen eingeben. Unternehmen erhalten klare Vorgaben, wie sie die Einwilligung und den Widerruf zur Datenverarbeitung zu formulieren haben. Sie sind verpflichtet, Internetnutzer zu informieren, wenn sie deren Daten in das außereuropäische Ausland weitergeben. Eine weitere Neuerung ist das Recht auf Datenübertragbarkeit, Internetnutzer können von Plattformen und Anwendungen ihre Daten in maschinenlesbarer Form anfordern.

Basis der Datenschutzgrundverordnung sind die zwei Prinzipien „Data Protection by Design“ und „Data Protection by Default“. Erstmal ist damit vorgegeben, wie geeignete technische und organisatorische Maßnahmen zum Datenschutz umgesetzt werden sollen. Der Grundsatz der Datenvermeidung soll durch Einsatz geeigneter technischer Maßnahmen wie beispielsweise Pseudonymisierungs-Techniken wirksam umgesetzt werden. Der Grundsatz der Datensparsamkeit soll durch geeignete Voreinstellung und Parametrisierung von IT-Systemen erreicht werden, indem nur solche Daten verarbeitet werden, die für die Zwecke der Verarbeitung erforderlich sind.

Was konkret verändert sich nun ab Mai 2018 für Internetnutzer? Wir haben die wichtigsten Punkte zusammengestellt:

1. Umfassenderes Auskunftsrecht (Artikel 15 DSGVO): Das bestehende Auskunftsrecht wird um vier Punkte erweitert:
   • geplante Dauer der Speicherung seitens des Datenverarbeiters
   • die Rechtsgrundlage, auf der die Datenerhebung basiert und das berechtigte Interesse, wenn die Datenerhebung auf einem solchen beruht
   • die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
   • das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Damit haben Internetnutzer einen Auskunftsanspruch darüber, welche Daten verarbeitet werden, über die Verarbeitungszwecke, über die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger, an die die Daten weitergegeben werden oder worden sind und ob ein für die Verarbeitung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet und die Umstände der Verarbeitung. Im Falle einer automatisierten Entscheidungsfindung einschließlich dem sog. Profiling müssen dem Betroffenen aussagekräftigte Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung mitgeteilt werden.

2. Umfassenderes Einwilligungsrecht (Artikel 4 DSGVO) und Widerrufsrecht (Artikel 7 DSGVO):

Für eine Einwilligung müssen Internetnutzern vorab weitergehende Informationen erhalten. Die Kopplung an Gewinnspiele ist ebenfalls nicht mehr erlaubt. Künftig gilt, dass Nutzer

• eine freiwillige Entscheidung treffen, ohne Nachteile zu erleiden
• die Einwilligung „in informierter Weise“ (klare Hervorhebung ist nötig) erteilen
• ein Widerrufsrecht haben
• die Einwilligung zur Verarbeitung personenbezogener Daten nur „für einen oder mehrere bestimmte Zwecke“ erteilen.

Ein vorangekreuztes Kästchen bei der Plattform bzw. dem Anbieter ist für eine Einwilligung nicht mehr rechtens. Die Einwilligung muss durch den Anbieter protokolliert werden.

Ein Widerruf muss jederzeit möglich sein, dieser muss so einfach wie die Einwilligung sein. Unternehmen müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

3. Recht auf Löschung, auch genannt „Recht auf Vergessenwerden“ (Artikel 17 Abs. 1 DSGVO): Dieses Recht bleibt bestehen und bringt keine wesentlichen Änderungen im Vergleich zum entsprechenden § 35 Abs. 2 BDSG.
4. Recht auf Datenübertragbarkeit (Artikel 20 DSGVO): Internetnutzer haben ab sofort das Recht, ihre personenbezogenen Daten, die sie bei Plattformen oder Anwendungen eingegeben haben, in einem strukturierten, gängigen und maschinenlesbaren Format von diesen zu erhalten. Weiterhin haben sie das Recht, diese Daten einem anderen Unternehmen zu übermitteln.
5. Information bei Übertragung der Daten ins Ausland (Artikel 49 DSGVO): Neu ist die Informationspflicht bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Sofern z.B. Daten in einer US-Cloud gespeichert werden, muss die betroffene Person darüber informiert werden, dass es sich um ein so genanntes „unsicheres Drittland“ handelt. Darüber hinaus muss das Unternehmen/Plattform darstellen, auf welche Maßnahmen die Übermittlung gestützt wird (z.B. Europäischen Standardvertragsklauseln, Binding Corporate Rules), eventuell müssen betroffenen Personen sogar Kopien dieser Maßnahmen zur Verfügung gestellt werden.