100. DSK-Sitzung: Entschließungen und Klarstellungen

Prof. Dieter Kugelmann berichtet von jüngster Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)

[datensicherheit.de, 30.11.2020] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bei ihrer 100. Sitzung durchweg einstimmig wichtige Beschlüsse gefasst habe. So spreche sich die DSK unter anderem klar gegen aktuelle EU-Pläne aus, wonach die Ende-zu-Ende-Verschlüsselungen bei Messenger-Diensten wie „WhatsApp“, „Threema“ oder „Signal“ aufgeweicht werden sollten.

DSK lehnt Überlegungen, die Ende-zu-Ende-Verschlüsselung zu untergraben, strikt ab

„Auf EU-Ebene wird in diesen Tagen beraten, Sicherheitsbehörden und Geheimdiensten Zugriff auf die private, verschlüsselte Kommunikation in Messenger-Diensten zu gewähren. Als DSK lehnen wir entsprechende Überlegungen strikt ab“, stellt der LfDI RLP, Prof. Dieter Kugelmann, klar. Würden diese Vorschläge des Rates der EU umgesetzt, würde eine sichere Ende-zu-Ende-Verschlüsselung untergraben und notwendiges Vertrauen zerstört werden, warnt Professor Kugelmann. „Dies würde geschehen, ohne dass das angestrebte Ziel, die Ermittlungsmöglichkeiten von Sicherheitsbehörden zu verbessern, nachhaltig und effektiv erreicht wird.“

Vielmehr sollten aus Datenschutz-Gründen Verschlüsselungstechniken gestärkt werden

Er betont: „Die Verschlüsselungstechniken müssen sicher und integer bleiben; statt das Vertrauen in die Verschlüsselung zu untergraben, sollten aus Datenschutz-Gründen diese Techniken gestärkt werden. Mehr Unternehmen, staatliche Stellen sowie Bürgerinnen und Bürgern sollten sie einsetzen.“ Eine sichere Ende-zu-Ende-Verschlüsselung müsse vielmehr die Regel werden, um „gerade im Zeitalter der Digitalisierung eine sichere, vertrauenswürdige und integre Kommunikation in Verwaltung, Wirtschaft, Zivilgesellschaft und Politik zu gewährleisten“.

Bericht von der am 25./26.11.2020 per Video durchgeführten DSK-Sitzung

Die DSK weist demnach in ihrer aktuellen Entschließung auch darauf hin, dass die Aushöhlung von Verschlüsselungslösungen, wie sie im Rat der EU im Resolutionsentwurf Nr. 12143/1/20 vom 6. November 2020 „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nahegelegt werde, kontraproduktiv wäre und durch Kriminelle und Terroristen leicht umgangen werden könnte. Bei der am 25. und 26. November 2020 per Video unter dem turnusgemäßen Vorsitz des sächsischen Datenschutzbeauftragten Andreas Schurig durchgeführten DSK-Sitzung wurde laut Professor Kugelmann über folgende Themen gesprochen:

• Die Konferenz befasste sich erneut sowohl mit den Telemetriefunktionen von „Microsoft Windows 10“, Version „Enterprise“, sowie mit den durch Microsoft zu „MS Office 365“ angekündigten Verbesserungen des Datenschutzes. Zu den Telemetriefunktionen hatte eine DSK-Arbeitsgruppe in drei Testszenarien zuvor festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Version die Telemetriestufe „Security“ nutzen und vertraglich, technisch oder organisatorisch sicherstellen müssen, dass keine Übermittlung personenbezogener Telemetrie-Daten an Microsoft stattfindet – dies hebt der neue DSK-Beschluss hervor. Im Hinblick auf „MS Office 365“ wird die DSK weiter im Gespräch mit Microsoft bleiben. Die DSK legt jeweils Wert auf die Berücksichtigung des Urteils des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in unsichere Drittstaaten vom 16. Juli 2020 (C-311/18) („Schrems II“).
• Im Interesse der Rechtssicherheit appelliert die DSK mit einer weiteren Entschließung an den Bundesgesetzgeber, endlich die Vorgaben des Bundesverfassungsgerichts vom Mai 2020 zur Ausgestaltung des manuellen Bestandsdatenauskunftsverfahrens umzusetzen. Das Gericht hatte erkannt, dass sowohl die Übermittlung von Daten durch Telekommunikationsdienste-Anbieter als auch der Abruf durch berechtigte Stellen (z.B. Staatsanwaltschaften) jeweils einer verhältnismäßigen und normenklaren Grundlage bedürfen („Doppeltürenmodell“). Die derzeitige Fassung des § 113 Telekommunikationsgesetz und die Abrufnormen auf Seiten der Empfängerkreise genügen diesen Anforderungen nicht. Die Konferenz fordert die Gesetzgeber in Bund und Ländern in einer Entschließung auf, das manuelle Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste möglichst rasch verfassungskonform auszugestalten.
• Die Konferenz fordert den Gesetzgeber in einer weiteren Entschließung auf, endlich die ePrivacy-Richtlinie der Europäischen Gemeinschaften aus dem Jahr 2002 (RL 2002/58/EG) vollständig und im Einklang mit der Datenschutz-Grundverordnung von 2018 in deutsches Recht umzusetzen. Nach Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf es einer aktiven informierten Einwilligung des Nutzers insbesondere dann, wenn der Verantwortliche „Cookies“ setzt. Website-Betreiber und andere Akteure, die ihre Dienste unter anderem in Bezug auf „Cookies“ rechtmäßig gestalten müssen, brauchen Rechtsklarheit und -sicherheit.

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt

DSK DATENSCHUTZKONFERENZ, 25.11.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste verfassungskonform ausgestalten

DSK DATENSCHUTZKONFERENZ, 25.11.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Betreiber von Webseiten benötigen Rechtssicherheit – Bundesgesetzgeber muss europarechtliche Verpflichtungen der „ePrivacy-Richtlinie“ endlich erfüllen

DSK DATENSCHUTZKONFERENZ, 25.11.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Für den Schutz vertraulicher Kommunikation durch eine sichere Ende-zu-Ende-Verschlüsselung – Vorschläge des Rates der Europäischen Union stoppen

DSK DATENSCHUTZKONFERENZ, 26.11.2020
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Telemetriefunktionen und Datenschutz beim Einsatz von Windows 10 Enterprise