Sicherheitslücke im Internet Explorer zeigt Notwendigkeit gesetzlicher Regelungen

Gerold Reichenbach
Foto: Corinne van den Broek

Der erneute Skandal um eine bislang vor der Öffentlichkeit verschwiegene Sicherheitslücke im Internet Explorer von Microsoft macht einmal mehr die Notwendigkeit gesetzlicher Regelungen für die IT-Sicherheit deutlich. Diese Sicherheitslücke war Microsoft bereits seit Juni 2014 bekannt und wurde jetzt von der Zero Day Initiative veröffentlicht.

Unternehmen müssen zukünftig deutlich mehr für die Sicherheit ihrer Systeme und Produkte tun. Es kann nicht in ihr Belieben gestellt sein, ob und wenn ja wann sie die Öffentlichkeit und ihre Kunden über Sicherheitslücken informieren. Darüber hinaus müssen wir prüfen, ob die bestehenden Haftungsregelungen für IT- und Softwarehersteller ausreichend sind.

Facebook will Nutzerinnen und Nutzer überallhin verfolgen

Gerold Reichenbach
Foto: Corinne van den Broek

Mit seiner neuen Werbeplattform Atlas will Facebook Werbetreibenden die Möglichkeit bieten, Nutzerinnen und Nutzer über verschiedene Geräte hinweg wiederzuerkennen. Umso wichtiger, dass bei den Verhandlungen zu einer starken einheitlichen europäischen Datenschutz-Grundverordnung das Prinzip der Einwilligung gestärkt wird. So muss bei Profilbildungen die bewusste Einwilligung Voraussetzung sein, und zudem das Marktortprinzip beibehalten werden.

Bis dato können Werbesysteme nicht unterscheiden, ob es sich immer um denselben Nutzer auf verschiedenen Geräten oder um verschiedene Nutzer handelt. Mit Atlas will Facebook die Ausspäh-Lücke schließen und seine Mitglieder im ganzen Internet jederzeit identifizieren können. Das Unternehmen verspricht sich damit noch mehr Geschäft, weil es künftig jeden jederzeit personalisiert etwa mit Werbung ansprechen kann. Die ständigen Veränderungen der Datenschutzeinstellungen bei Facebook und die Art und Weise wie das Unternehmen mit den sensiblen Daten seiner Nutzerinnen und Nutzer umgeht, um den eigenen  Profit zu maximieren, zeigen einmal mehr, dass wir wirksame Datenschutzgesetze in Europa brauchen.

Daten- und Verbraucherschutz im digitalen Zeitalter sind nicht mehr auf nationaler Ebene regelbar. Wir unterstützen daher die Bundesregierung, wenn sie sich für eine zügige Verabschiedung einer europäischen Datenschutz-Grundverordnung (DS-GVO) einsetzt, die sowohl den Persönlichkeits- als auch den Verbraucherschutz der Bürgerinnen und Bürger in den Mittelpunkt und stellt.

Das Facebook Beispiel zeigt erneut, wie wichtig es ist, bei den Verhandlungen zur DS-GVO darauf zu achten, dass das Prinzip der Einwilligung als Rechtsgrundlage gestärkt wird und insbesondere bei Profilbildungen die Einwilligung als grundsätzliche Voraussetzung vorgesehen wird. Durch eine Verankerung des Marktortprinzips besteht eine bessere Möglichkeit, Internetgiganten wie Facebook die Stirn zu bieten, da dann europäisches Datenschutzrecht unabhängig vom Sitz auf alle Unternehmen Anwendung findet, die ihre Produkte und Dienstleistungen an europäische Bürgerinnen und Bürger richten. Dies ist nicht nur im Interesse der Nutzerinnen und Nutzer, sondern auch im Sinne der Chancengleichheit der europäischen Unternehmen.

Unabhängigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit dringend geboten

Gerold Reichenbach
Foto: Corinne van den Broek

Der heute im Kabinett beschlossene Gesetzentwurf zur Unabhängigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) setzt eine seit Jahren von der SPD-Bundestagsfraktion erhobene Forderung um. Gerade in der heutigen Zeit, wo Datenschutz eine herausragende Rolle sowohl im nationalen, europäischen als auch internationalen Kontext spielt, ist die Gewährleistung der Unabhängigkeit der BfDI immens wichtig.

Auch wenn in der Praxis weder die Rechts- noch die Dienstaufsicht über die BfDI ausgeübt wurde, ist das Ziel des vorliegenden Gesetzentwurfs europarechtlich konsequent. Der Europäische Gerichtshof hat bereits 2010 die Bedeutung der völligen Unabhängigkeit der Datenschutzkontrolle festgestellt.

Bei den weiteren Beratungen zum vorgelegten Gesetzentwurf ist sicherzustellen, dass die BfDI weiterhin bei allen datenschutzrechtlich relevanten Vorhaben von vornherein einbezogen wird und auch von sich aus aktiv werden kann.

Safe Harbor ist nicht safe

Gerold Reichenbach
Foto: Corinne van den Broek

Die vom Center for Digital Democracy (CDD) bei der Federal Trade Commission (FTC) erhobenen Vorwürfe gegen 30 US-Unternehmen, unter dem Deckmantel von Safe Harbor umfassende Mengen an personenbezogenen Daten europäischer Bürgerinnen und Bürger zu sammeln und auszuwerten, zeigen einmal mehr, dass das transatlantische Datenschutz-Abkommen in seiner jetzigen Fassung nicht bestehen bleiben kann. Die Beschwerde des CDD ist ein deutlicher Beleg für das systematische Versagen von Safe Harbor und für das bewusste Umgehen von vereinbarten Datenschutzstandards. Dies führt dazu, dass das Datenschutzversprechen gegenüber Europa vollständig ins Leere läuft.

Das Ziel der Datenschutzbeschwerde ist eine Aussetzung und eine  umfangreiche Reform des Safe-Harbor-Abkommens. Dies ist auch die einzig richtige Konsequenz: Wenn nicht sogar die Aussetzung, so sind zumindest enorme Nachverhandlungen erforderlich, um einen effektiven Datenschutz bei der Übermittlung und Verarbeitung von Daten in die USA sicherzustellen und vor allem durch wirksame Kontroll- und Sanktionsmöglichkeiten auch durchzusetzen.

IT-Sicherheitsgesetz muss jetzt kommen

Gerold Reichenbach
Foto: Corinne van den Broek

Internetdiensteanbieter müssen Kundendaten auf ihren Servern besser schützen. Sichere Passwörter des Einzelnen können die Sicherungsmaßnahmen der Unternehmen nicht ersetzen. Wir brauchen darum dringend ein IT-Sicherheitsgesetz mit klaren Anforderungen und Meldepflichten.

Der  milliardenfache Identitätsdiebstahl macht erneut deutlich, dass sich der einzelne Nutzer nur begrenzt selbst schützen kann. Auch wenn sichere Passwörter eine wichtige Schutzmaßnahme des Einzelnen sind, entbindet dies nicht die Unternehmen und Anbieter von Online-Diensten von ihrer Verpflichtung Daten sicher und verschlüsselt zu speichern. Bei einem Ausmaß von 1,2 Milliarden Datensätzen liegt es nahe, dass die Daten bei Diensteanbietern und Onlineshops nicht genügend gesichert wurden. Die Diensteanbieter müssen den Schutz der Daten vor unberechtigtem Zugriff und Missbrauch sicherstellen und hierzu entsprechende technische und organisatorische Sicherheitsvorkehrungen treffen.

In einer zunehmend vernetzten Welt steigt der Grad der Abhängigkeit von IT-Strukturen und die Sicherheitsanforderungen müssen angepasst werden. Erforderlich ist deshalb neben der Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) als wichtigste IT-Sicherheitsbehörde Deutschlands und der verstärkten Aufklärung der Bevölkerung über eigene Schutzmaßnahmen die zeitnahe Verabschiedung des IT-Sicherheitsgesetzes. Dieses sollte neben einer Meldepflicht bei IT-Sicherheitsvorfällen zudem die Unternehmen verpflichten, deutlich mehr für die Sicherheit ihrer Systeme und der Kundendaten zu tun. Bei Versäumnissen jedoch sollten Unternehmen künftig stärker in die Haftung genommen werden können.

Die digitale Gesellschaft braucht ein Immunsystem

Gerold Reichenbach
Foto: Corinne van den Broek

Der neueste Vorfall von Identitätsdiebstahl zeigt, wie wichtig Maßnahmen zur Sicherung von Daten und IT-Systemen sind. Das Bundesamt für Sicherheit in der Informationstechnik muss mit entsprechenden Ressourcen ausgestattet werden. Wir brauchen zudem ein modernes und wirksames IT-Sicherheitsgesetz.

Der gestrige Bericht der New York Times über die Aufdeckung eines Datendiebstahls mit immensen Ausmaß führt wieder einmal vor Augen, dass wir beim Datenschutz und Datensicherheit nicht nur reden dürfen, sondern handeln müssen. 1,2 Milliarden Kombinationen von Benutzernamen und Passwörtern sowie Millionen E-Mail-Adressen sollen gestohlen worden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft die Berichte derzeit gemeinsam mit deutschen und amerikanischen Behörden. Sollte die Zahl von 1,2 Milliarden Datensätzen zutreffen, werden mit sehr hoher Wahrscheinlichkeit auch viele deutscher Nutzer von Online-Diensten betroffen sein.

Angesichts dieses neusten Vorfalls ist es wichtig, dass das BSI als zentrale IT-Sicherheitsbehörde Deutschlands bei den kommenden Haushaltsberatungen mit den entsprechenden Ressourcen ausgestattet wird um der täglich wachsenden Bedrohung begegnen zu können. Dieser erneute Angriff und vor allem auch dessen Ausmaß macht zudem deutlich, dass wir dringend ein modernes und wirksames IT-Sicherheitsgesetz und entsprechende Meldepflichten brauchen, wie wir dies im Koalitionsvertrag vereinbart haben. Dies ist notwendig, um ein „Immunsystem“ der digitalen Gesellschaft zu schaffen, um gegen derartige Angriffe besser geschützt zu sein.

Ausschuss für Digitale Agenda trifft Blogger im Deutschen Bundestag

Gerold Reichenbach
Foto: Corinne van den Broek

In meiner Funktion als stellvertretender Vorsitzender des Ausschusses Digitale Agenda habe ich gestern im Deutschen Bundestag mit Bloggern aus verschiedenen Ländern mit teilweise eingeschränkter Meinungs- und Pressefreiheit über die Rolle des Ausschusses Digitale Agenda, der digitalen Agenda der Bundesregierung und weitere netzpolitische Themen diskutiert. Der Umgang von Deutschland mit der NSA-Affäre, unterschiedliches Verständnis von Privatheit, Durchsetzung von Informationsfreiheit, Konsequenzen des sogenannten Google-Urteils auf die Meinungs- und Pressefreiheit – dies sind nur einige der Themen, dabei angesprochen wurden.

Neben philosophischen Exkursen zu der Frage, inwiefern das Internet als Werkzeug mißbraucht werden kann um Demokratie zu manipulieren, ging es auch sehr konkret um Abwägungsfragen in Bezug auf Meinungs- und Pressefreiheit im digitalen Zeitalter. Insbesondere waren die Teilnehmerinnen und Teilnehmer an Einschätzungen zu den Auswirkungen des Google-Urteils und an der konkreten Ausgestaltung des „Recht auf Vergessen“ interessiert.

Beim Thema NSA-Affäre wurde deutlich, dass neben starken – europäischen Datenschutzregeln – endlich auch die Rechte von Geheimdiensten auf internationaler Ebene genauer definiert werden müssen: Was dürfen Staaten tun, um Bürgerinnen und Bürger zu schützen und wo ist die bürgerrechtliche Grenze, die ein Rechtsstaat nicht überschreiten darf? Fragen, auf die die Antworten unterschiedlich ausfallen werden, je nach dem ob man sie aus der Sicherheits- oder der Bürgerrechtsperspektive betrachtet. Im Spannungsfeld zwischen Sicherheit und Freiheit wird es am Ende eines immer neuen Abwägungsprozesses im Einzelfall bedürfen.

Für die SPD-Fraktion begrüße ich das Engagement des neuen Ausschusses Digitale Agenda, den interkulturellen Austausch und Dialog zu fördern. Gespräche wie das gestrige Treffen mit den Bloggern sind ein wichtiger Schritt auf dem Weg internationaler Vernetzung in einer digitalisierten Welt.

Zum Hintergrund:

Hintergrund des Treffens war eine Einladung des Auswärtigen Amtes an Herausgeber politischer Blogs aus verschiedenen Ländern im Rahmen eines Besucherprogramms der Bundesregierung. Die Teilnehmerinnen und Teilnehmer nehmen in der Woche vom 04.-08.08.2014 an einer vom Institut für Auslandsbeziehungen organisierten Themenreise teil. Sie kommen dabei insbesondere aus Ländern mit eingeschränkter Pressefreiheit, Transformationsländern und weiteren (Im Einzelnen: Ägypten, Angola, Aserbaidschan, Bangladesch, Belarus, China, Indien, Jordanien, Südkorea, Palästinensische Gebiete, Rumänien, Russland, Saudi Arabien, Sri Lanka, Tunesien, Ungarn). Die Teilnehmerinnen und Teilnehmer wurden von den deutschen Botschaften vor Ort für die Reise ausgewählt.

Starker Datenschutz und Datensicherheit als Wettbewerbsvorteil

Gerold Reichenbach
Foto: Corinne van den Broek

Starker Datenschutz und Datensicherheit werden sich auf Dauer als Wettbewerbsvorteil erweisen Die letzten beiden Urteile des Europäischen Gerichtshofs zur Vorratsdatenspeicherung und für ein „Recht auf Vergessen im Netz“ haben nicht nur die Rechte europäischer Verbraucherinnen und Verbraucher gestärkt. Die SPD-Bundestagsfraktion begrüßt sie als richtungsweisend für die derzeit laufenden Verhandlungen über eine europäische Datenschutz-Grundverordnung im JI-Rat.

Ziel der Verhandlungen im JI-Rat zur europäischen Datenschutz-Grundverordnung muss es sein, technologischen und digitalen Fortschritt durch Rahmenbedingungen so zu gestalten, das er ein Mehr an Entfaltungsmöglichkeiten, Selbstbestimmung und Freiheit für die große Mehrheit der Menschen bringt und nicht nur für einige Wirtschaftsakteure.

Der Europäische Gerichtshof hat vor wenigen Wochen entschieden, dass für Google in Europa auch europäisches Recht gilt. Wir wollen durch die umfassende Verankerung dieses Marktortprinzips in der Datenschutz-Grundverordnung einen Schritt weiter gehen. Wir wollen, dass die Datenschutz-Grundverordnung auf jedes Unternehmen Anwendung findet, das sich mit seinen Angeboten und Dienstleistungen auf dem europäischen Markt bewegt, unabhängig davon, ob es eine Niederlassung in Europa hat oder nicht.  Das bedeutet mehr Schutz europäischer Verbraucherinnen und Verbraucher sowie gleiche Bedingungen für alle Marktteilnehmer. Die bisherige Benachteiligung europäischer Unternehmen gegenüber ausländischen Unternehmen, die sich das für sie geltende Recht quasi durch die Standortwahl aussuchten, ist nicht akzeptabel.

Ausdrücklich unterstützen wir die Position von Bundesjustizminister Maas, der eine generelle Herausnahme des öffentlichen Sektors aus der Verordnung ablehnt. Europäische Bürgerinnen und Bürger müssen gleichermaßen vor der Datensammelwut von privaten als auch von staatlichen Stellen geschützt werden. Wir wollen jedoch eine Öffnung für höhere nationale Standards im öffentlichen Bereich und beim Arbeitnehmerdatenschutz.

Wir fordern die Bundesregierung auf, sich in den Verhandlungen für eine starke Verordnung einzusetzen, die Datenübermittlung an Drittstaaten nur unter Voraussetzungen zulässt, die kein Unterlaufen des europäischen Datenschutzes ermöglichen. Wir brauchen schnell eine einheitliche starke europäische Datenschutz-Grundverordnung. Andernfalls werden wir die Marktmacht außereuropäischer Anbieter weiter zementieren, die derzeit den Flickenteppich unterschiedlicher datenschutzrechtlicher Regelungen in den europäischen Mitgliedstaaten zu ihren Gunsten ausnutzen.

Erhalt und Rückgewinnung digitaler Souveränität haben oberste Priorität

(Quelle: dpa - Bildfunk)
(Quelle: dpa - Bildfunk)

Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch weitere namhafte Experten aus dem IT-Bereich stellten sich heute beim Ersten Öffentlichen Fachgespräch zu IT-Sicherheit den Fragen des Ausschusses Digitale Agenda. Einig waren sich die Sachverständigen darin, dass technologische Souveränität und die Förderung sicherer und vertrauenswürdiger IT und Infrastruktur nicht zuletzt aufgrund der Enthüllungen über die flächendeckende Ausspähung durch ausländische Nachrichtendienste zentrale Herausforderungen sind.

Die Digitalisierung betrifft alle Lebensbereiche. Nicht zuletzt wegen der damit verbundenen Abhängigkeiten von diesen Technologien und von funktionierenden und vertrauenswürdigen Kommunikationsinfrastrukturen sieht die SPD-Bundestagsfraktion den Erhalt und die Rückgewinnung digitaler Souveränität und technologischer Kompetenz sowie die Stärkung von IT-Sicherheit als eine prioritäre Aufgabe dieser Legislaturperiode an. Sie wird sich deshalb sowohl für die zeitnahe Verabschiedung eines IT-Sicherheitsgesetzes als auch für eine zeitnahe und deutliche Verstärkung der Ressourcen des BSI einsetzen.

Deutlich wurde bei dem heutigen Fachgespräch auch, dass es eine umfassende Bestandsaufnahme geben muss, wo und wie die Informations- und Kommunikationsinfrastrukturen sowie Endgeräte angegriffen werden können (Angriffspotentiale), welche Sicherheit Hard- und Software bieten können und welche Kompromittierungen es darüber hinaus gibt, etwa mit Blick auf die Netzarchitektur und –verwaltung oder auch Normierung und Standardisierung. Diskutiert wurden zudem Vorschläge über ein Deutschland- oder Schengennetz und die Frage, inwiefern diese Strategien ein Mehr an Sicherheit bieten können oder ob es sich letztlich um Scheinlösungen handelt. Auf Initiative der SPD-Fraktion hat der Ausschuss heute einstimmig beschlossen, eine Studie zur „Bestandsaufnahme der Angriffsmöglichkeiten und Kompromittierungen der Internetarchitektur und Netzinfrastruktur“ beim Büro für Technikfolgenabschätzung beim Deutschen Bundestag in Auftrag zu geben.

Die SPD-Bundestagsfraktion bewertet die enorme Resonanz, die das Fachgespräch gefunden hat, als positives Signal für die Arbeit des neuen Ausschusses Digitale Agenda. Zugleich verstehen wir es als Aufforderung, auch weiterhin eine möglichst breite Beteiligung der Öffentlichkeit bei der Ausschussarbeit sicherstellen.

Der Fragenkatalog und die Stellungnahmen der geladenen Sachverständigen sind hier abrufbar.

Keine weitere Verzögerung der EU-Datenschutzgrundverordnung

Gerold Reichenbach
Foto: Corinne van den Broek

Es ist ein positives Signal, dass der Entwurf der europäischen Datenschutz-Grundverordnung (DS-GVO) ganz oben auf der Verhandlungsagenda des informellen Ratstreffen steht, zumal sich die letzte Bundesregierung den Vorwürfen ausgesetzt sehen musste, die Verhandlungen zur DS-GVO im Rat und damit letztendlich den Trilog zu blockieren. Noch ist es nicht zu spät. Wenn sowohl das Europäische Parlament als auch die Kommission und der Rat gemeinsam für einen starken Datenschutz an einem Strang ziehen, könnte die DS-GVO noch vor den Wahlen zum Europäischen Parlament Ende Mai 2014 verabschiedet werden.

Das an sich hohe Datenschutzniveau in Deutschland verliert bei weltweit zunehmender Vernetzung und Digitalisierung an Bedeutung, wenn es keine Regelungen gibt, die diesem Niveau auch auf dem großen europäischen Markt zur Durchsetzung verhelfen. Die Enthüllungen der letzten Monate über die sogenannte NSA-Affäre über das Ausmaß staatlicher Kontrolle und Überwachung jeglicher Form von Kommunikation haben dafür gesorgt, dass wesentliche Punkte in dem Verordnungsentwurf bereits verschärft und verbessert wurden. Der federführende LIBE-Ausschuss im Europäischen Parlament hat sich nach zähen Verhandlungen auf einen tragfähigen Kompromiss einigen können, der sowohl Verbraucher- als auch Wirtschaftsinteressen berücksichtigt. An diesem Punkt sollten wir anknüpfen und uns nicht der Gefahr aussetzen, nach den Europawahlen den Kampf für einen starken Datenschutz noch einmal von vorne führen zu müssen.