Datenschutzkonferenz – DSK

In ihrer 100. Sitzung befasste sich die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ u. a. mit der Aufweichung der Ende-zu-Ende-Verschlüsselungen. Hier finden Sie eine Zusammenfassung zur 100. Sitzung.

Aufgabe der Datenschutzkonferenz

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat sich am 25./26.11.2020 per Video zu ihrer 100. Sitzung seit ihrem Bestehen getroffen und eine erfolgreiche Tagung durchgeführt. Die Jubiläumssitzung fand unter dem turnusgemäßen Vorsitz des Sächsischen Datenschutzbeauftragten Andreas Schurig statt. Die Konferenz befasste sich unter anderem mit

  • dem datenschutzkonformen Einsatz von Windows 10
  • der EU-Initiative zur Aufweichung von Ende-zu-Ende-Verschlüsselungen zugunsten von Sicherheitsbehörden und Nachrichtendiensten und
  • der gesetzlichen Ausgestaltung der Telekommunikations-Bestandsdatenauskunft.

Andreas Schurig beschrieb die Aufgabe der Datenschutzkonferenz: „Auch die 100. DSK hat sich mit den Grundrechten und -freiheiten der betroffenen Menschen befasst. Seit Anfang der 1970er-Jahre unterstützen die deutschen Aufsichtsbehörden die Bürgerinnen und Bürger gegenüber den öffentlichen und nicht-öffentlichen Stellen bei der Geltendmachung ihrer Rechte. Freiheit und Demokratie gedeihen nicht ohne gehörigen Freiraum des Einzelnen gegenüber dem Staat, den Sozialversicherungen, den Kommunen und allen anderen öffentlichen Stellen. Informationelle Selbstbestimmung ist aber auch gegenüber Unternehmen, insbesondere gegenüber den wirtschaftlich oft enorm überlegenen Unternehmen der Informationsindustrie, der oftmals kontroverse und entscheidende Punkt.“

DSK: Verschlüsselung als Schutz von Privatpersonen und Unternehmen unabdingbar

Die DSK lehnt Forderungen nach einem Zugriff der Sicherheitsbehörden und Geheimdienste auf die verschlüsselte Kommunikation in Messengerdiensten und der privaten Kommunikation deutlich ab. Sie weist in einer Entschließung vom 25.11.2020 darauf hin, dass die Aushöhlung von Verschlüsselungslösungen, wie sie im Rat der Europäischen Union im Resolutionsentwurf Nr. 12143/1/20 vom 6.11.2020 „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nahegelegt wird, kontraproduktiv wäre und durch Kriminelle und Terroristen leicht umgangen werden könnte. Verschlüsselung ist eine Methode der sicheren Datenübermittlung in Drittländer. Zu dieser sind die Unternehmer gemäß Art. 44 DSGVO sowie nach den „Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus“ sogar verpflichtet. Diese Empfehlungen wurden erstellt als Reaktion des Europäischen Datenschutzausschusses auf das "Schrems II"-Urteil des Europäischen Gerichtshofs.

Eine sichere und vertrauenswürdige Verschlüsselung ist essenzielle Voraussetzung für eine widerstandsfähige Digitalisierung in Wirtschaft und Verwaltung und Schutz vor Wirtschaftsspionage. Eine Schwächung der Verschlüsselungsverfahren würde europäische Unternehmen im globalen Markt benachteiligen. Auch Privatleute müssen sich auf eine sichere und integre Nutzung digitaler Verwaltungsleistungen verlassen können und benötigen hierbei Schutz vor umfassender Überwachung und Datenmissbrauch. Die Ziele des Onlinezugangsgesetzes, Verwaltungsleistungen elektronisch über Verwaltungsportale anzubieten, würden ad absurdum geführt.

DSK fordert zur Umsetzung von Richtlinien und Gerichtsurteilen

Der Gesetzgeber ist verpflichtet, die EU-Richtlinie über den europäischen Kodex für die elektronische Kommunikation vom 11.122018 (RL (EU) 2018/1972) bis zum 20.12.2020 umzusetzen. Die DSK fordert den Gesetzgeber auf, endlich Regelungen zu erlassen, um die ePrivacy-Richtlinie vollständig und im Einklang mit der Datenschutz-Grundverordnung (DSGVO) umzusetzen. „Webseitenbetreiber und andere Akteure, die ihre Dienste u. a. in Bezug auf ‚Cookies‘ rechtskonform gestalten müssen, brauchen Rechtsklarheit“, fordert die DSK. Der Gesetzgeber soll deshalb Rechtsunsicherheiten rasch durch eine klare und europarechtskonforme Gesetzgebung beseitigen.

Im Interesse der Rechtssicherheit appelliert die DSK an die Bundesgesetzgeber, auch endlich die Vorgaben des Bundesverfassungsgerichts vom Mai 2020 zur Ausgestaltung des manuellen Bestandsdatenauskunftsverfahrens umzusetzen. Das Gericht habe erkannt, dass sowohl die Übermittlung von Daten durch Telekommunikationsdiensteanbieter als auch der Abruf durch berechtigte Stellen (z. B. Staatsanwaltschaften) jeweils einer verhältnismäßigen und normenklaren Grundlage bedürfen, dem sogenannten „Doppeltürenmodell“. Die derzeitige Fassung des § 113 Telekommunikationsgesetz und die Abrufnormen auf Seiten der Empfängerkreise genüge diesen Anforderungen nicht. Die Konferenz fordere die Gesetzgeber in Bund und Ländern auf, das manuelle Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste möglichst rasch verfassungskonform auszugestalten.

Untersuchung zu Windows 10 durch eine DSK-Arbeitsgruppe

In der 98. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wurde ein Prüfschema zum datenschutzkonformen Einsatz von Windows 10 beschlossen und anschließend veröffentlicht. Damit soll den Verantwortlichen die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben beim Einsatz von Windows 10 erleichtert werden.

Unabhängig davon befasste sich eine DSK-Arbeitsgruppe im Rahmen der SiSyPHuS-Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit Fragen betreffend der Telemetriefunktionen von Microsoft Windows 10, Version „Enterprise“, als auch mit den durch Microsoft zu MS Office 365 angekündigten Verbesserungen des Datenschutzes. Zu den Telemetriefunktionen hatte eine DSK-Arbeitsgruppe in drei Testszenarien zuvor festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Version die Telemetriestufe „Security“ nutzen und vertraglich, technisch oder organisatorisch sicherstellen müssten, dass keine Übermittlung personenbezogener Telemetrie-Daten an Microsoft stattfinde. Die Untersuchungen ergaben, dass Microsoft das Verhalten des Telemetriedienstes anpassen, Art und Umfang der Datenerhebung konfigurieren oder Kommandos zur Anreicherung der Daten ausführen könnte, ohne dass der Nutzer dem zustimmen müsse oder das kontrollieren könne. Das wird als sehr problematisch betrachtet. Im Hinblick auf MS Office 365 wird die DSK weiter im Gespräch mit Microsoft bleiben. Bei beiden Gegenständen legt die DSK dabei Wert auf die Berücksichtigung des Urteils des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in unsichere Drittstaaten vom 16.7.2020 (C-311/18) („Schrems II“), siehe oben.

DSK lehnt Zentralisierung der Datenschutzaufsicht im nichtöffentlichen Bereich ab

Deutlich wendet sich die DSK auch gegen Forderungen nach einer Zentralisierung der Datenschutzaufsicht im nichtöffentlichen Bereich. Andreas Schurig meint dazu: „Die Aufsichtsbehörden in Bund und Ländern genießen fachlich hohes Ansehen. Ihre Zentralisierung wäre ausgesprochen kontraproduktiv, denn Zentralisierung heißt auch, immer weiter weg von den Anliegen und konkreten Umständen der betroffenen Menschen zu sein. Statt unnötiger Zentralisierungsdebatten sollte dafür gesorgt werden, dass alle Aufsichtsbehörden personell und organisatorisch ihre gesetzlichen Aufgaben vollauf erfüllen können.“

Weitere Themen der 100. DSK waren u. a. die Verbesserung der Zusammenarbeit im Europäischen Datenschutzausschuss (EDSA) und die künftige Arbeitsweise der DSK. Die 101. DSK, die für April 2021 angesetzt ist, wird unter dem Vorsitz des Saarlandes stehen.

Schlagworte zum Thema:  Cybersicherheit, Datensicherheit, Datenschutz