Inhalt:

• Der Ärger mit den USA - Es geht um mehr, als Google-Analytics
• Video-Konferenzen - sind die auch sicher?

 

 

Der Ärger mit den USA - Es geht um mehr, als Google-Analytics

Es sind nur drei von vielen Fällen: Im Frühjahr 2021 war es das Bayerische Datenschutzamt, im Dezember dann das Amtsgericht Wiesbaden. Im Jänner 2022 wurde dann die Datenschutzbehörde in Wien aktiv: Ursache war jedes Mal der fehlende Rechtsschutz für Betroffene den USA - im Klartext: das Urteil des EuGH vom Juli 2020 ("Schrems II"), mit dem das "Privacy Shield"-Abkommen zwischen der EU und den USA für unzulässig erklärt und der Datentransfer in die USA illegal wurde. Alle Anwendungen, mit denen personenbezogene Daten regelmäßig in die USA übertragen werden, verletzten seit Juli 2020 europäisches Recht. Und das hat durchaus praktische Konsequenzen.

Seit der Veröffentlichung des EuGH-Urteils am 16. Juli 2020 beobachtet man in Europa eine Mischung aus mangelnder Information, Ignoranz und Naivität - bei Marketingfirmen sowieso, aber auch bei Behörden, Volksvertretungen, Universitäten, Forschungseinrichtungen, bei offiziellen Berufsvertretungen und vielen anderen. Nicht wenige tun so, als ob sie die Konsequenzen aus dem Urteil nichts angingen. "Es wird schon nichts passieren!" oder "Das tun doch alle" und "Wie komme ich dazu, dass ich mir darüber den Kopf zerbrechen muss" hört man oft. Gleichzeitig aber beginnen Gerichte und Datenschutzbehörden damit, geltendem Recht punktuell Geltung zu verschaffen (wo sie dazu genötigt oder gedrängt werden). So kommt es, dass der Europäische Datenschutzbeauftragte kürzlich sogar das Europäische Parlament wegen Verstößen gegen den von eben diesem Parlament beschlossenen (!) Datenschutz verurteilt hat. Konkret ging es um die verbotene Einbindung von US-Diensten, wie Google-Analytics und eines US-Bezahldienstes in die Buchungsseite für Covid-19-Tests. Ein Treppenwitz der Weltgeschichte.

Schon bei der Veröffentlichung des Urteils des EuGH vor zwei Jahren war aber klar, dass nahezu alle liebgewordenen Gewohnheiten in der Welt des Internets davon betroffen sind. Anbieter von Webseiten müssen auf die Einbindung von Google-Landkarten verzichten, Google-Analytics und Google-AdWords werden damit illegal. Das gleiche Schicksal trifft viele Smart-Homes, Zoom, Mailchimp, Alexa, Siri und so weiter. Die Reihe ließe sich fast endlos fortsetzen.

Die einleuchtende Begründung für den Bann des EuGH: Alle Unternehmen mit einer Repräsentanz in den USA unterliegen den US-Gesetzen. Diese verlangen, dass auf Wunsch der US-Geheimdienste alle Daten, die das Unternehmen irgendwo auf der Welt verarbeitet, herausgegeben werden müssen. Über solche Anforderungen ist nach amerikanischem Recht strengstes Stillschweigen zu wahren. Wer immer also ein System betreibt, das einer Firma mit einer Niederlassung in den USA zuzuordnen ist, nimmt zur Kenntnis, dass alle geschützen Daten heimlich von US-Geheimdiensten abgesaugt werden dürfen. Und was die mit diesen Daten tun, ist vollkommen unklar.

Speziell die Verpflichtung zur Verschwiegenheit ist ein unüberwindliches Hindernis. Damit wird es nämlich auch unmöglich, dass sich Betroffene bei Gericht gegen einen ungerechtfertigten behördlichen Datenzugriff wehren. Somit besteht aber - anders als in Europa - kein Rechtsschutz vor Behördenwillkür. Und wie streng sich grundsätzlich die Geheimdienste an Gesetze halten wissen wir spätestens seit Edward Snowden. Die jüngsten Enthüllungen über Palantir, die Spionagesoftware Pegasus und auch über das österreichische BVT tragen zusätzlich nicht gerade zur Beruhigung bei.

Einfach zu beseitigen ist das juristische Hindernis für das grundsätzliche Verbot des Datentransfers (1) nicht. Hier stehen einander nämlich zwei unvereinbare Prinzipien unterschiedlicher Rechtsordnungen gegenüber. Eine Lösung könnte es nur geben, wenn entweder die EU ihr hohes Rechtsschutzniveau aufgibt (was ausgeschlossen werden kann) oder die USA ihre aggressive Datensammelwut wenigstens gegenüber der EU von sich aus einschränken.

Die meisten Internetverantwortlichen in Europa praktizieren seit Sommer 2020 den "Totstellreflex", ignorieren den EuGH bis heute und warten zu, bis sie bestraft werden. Max Schrems, der die Entscheidung beim EuGH erstritten hatte, gibt sich aber damit nicht zufrieden. Seine Anzeigen bei verschiedenen nationalen Datenschutzbehörden in 101 Fällen sollten sicherstellen, dass das Urteil des EuGH nicht totes Recht wird. Und das führt zu Entscheidungen im Sinn des EuGH: Beispielsweise wurde die Verwendung des populären Newslettersystems Mailchimp genau so sanktioniert, wie das Einwilligungstool Cookiebots oder die Verwendung von Google-Analytics. Weitere, ähnliche Entscheidungen werden absehbar folgen.

Nachdem die europäischen Behörden und Gerichte immer öfter die Verwendung US-amerkanischer Plattformen bestrafen, könnte jetzt endlich der Ruf nach europäischen Lösungen laut werden, die rechtskonform sind und den Wünschen der Anwender besser entsprechen. Leider aber ist bereits wertvolle Zeit für die Entwicklung ungenutzt verstrichen und eine große Chance für gute Geschäfte verpasst.

Was aber sagt uns das für die Praxis?

Wirtschaft lebt vom Wettbewerb unter fairen Bedingungen. Wenn sich ein Unternehmen, ein Verantwortlicher für eine Datenverarbeitung an die geltenden Regeln hält, sieht er im Mitbewerber, der es damit nicht so streng nimmt, einen unfairen Konkurrenten. Deshalb wird er ihn höchtswahrscheinlich zur Anzeige bringen. Dazu kommt noch die wachsende Zahl der Leute, die sich durch ein Unternehmen, ein Anliegen oder eine Person einfach gestört fühlen. Auch in solchen Fällen werden immer häufiger Anzeigen bei den Behörden deponiert. Kurz: Wer die bekannten Regeln des Rechts missachtet, setzt sich dem unkalkulierbaren Risiko einer Geldstrafe und allenfalls sogar einer Schadenersatzforderung in enormer Höhe aus. Niemand kann nämlich in der Zwischenzeit mehr behaupten, dass er die Entscheidung des EuGH nicht kennen würde. Die Risikovermeidung ist aber einfach und dringend geboten.

(1) Die bestehenden Ausnahmeregeln des Kapitels V der DSGVO können nach Ansicht zahlreicher Sachverständigen nur nach ausführlichen Informationen der Betroffenen in Ausnahmsfällen (!) in Anspruch genommen werden und sind keinesfalls pauschal zulässige Lösungen. Jedenfalls muss dabei sichergestellt werden, dass die Betroffenen tatsächlich verstehen, dass sie mit ihrer Zustimmung zum Datentransfer in die USA auf ihre Schutzrechte weitestgehend verzichten. Das einfache Setzen eines Häkchens auf einer Website als Zustimmungserklärung ist aus diesem Grund mit Sicherheit nicht ausreichend.
(zurück zum Text)

Quellen:

https://www.heise.de/news/US-Aufsicht-CIA-betreibt-eigenes-Programm-zur-Massenueberwachung-6453778.html?utm_source=pocket-newtab-global-de-DE
(17.2.2022)

https://www.t-online.de/nachrichten/deutschland/id_91541448/-bundesservice-telekommunikation-sicherheitsexpertin-entlarvt-tarnbehoerde.html
(25.1.2022)

https://fm4.orf.at/stories/3022116/
(20.2.2022)

 

 

Video-Konferenzen - sind die auch sicher?

Im Dezember 2020 nahm kurzzeitig ein "ungebetener Gast" am virtuellen EU-Verteidigungsministertreffen teil. Im Dezember 2021 wurde ein virtueller Sprachunterricht durch eine Schülergruppe gestört, die in gutem Glauben in einen schon aktiven, das heißt von einem anderen Lehrer benützten virtuellen "Klassenraum" eintreten wollte. Im Jänner 2022 wurde die Zoom-Konferenz einer italienischen Senatorin durch eingespielte Pornos gestört. Das sind nur drei von zahlreichen Beispielen, bei denen die mangelnde Sicherheit von Video-Konferenzen offensichtlich wurde.

Manche Seminar-Anbieter, Universitäten oder Behörden haben für ihre Veranstaltungen oder Dienstleistungen zu Open-Source-Systemen gegriffen, die in juristische Hinsicht problemlos und in der Regel sogar kostenlos sind. Mit "BigBlueButton", "Jitsi-Meet" und den verschiedenen Apps von Owncloud und Nextcloud werden sichere, rechtskonforme Systeme eingesetzt. BigBlueButton etwa hat sich im Unterricht einen hervorragenden Ruf geschaffen. Daneben kommen auch immer wieder (insbesondere für Konferenzen mit sehr großer Teilnehmerzahl) proprietäre Systeme europäischer Dienstleister zum Einsatz. Dieser Service ist aber zu bezahlen.

Es geht also um Sicherheit in zweierlei Hinsicht: Die Verwendung von US-gestützten Systemen ist generell unzulässig, z.B. weil damit biometrische Daten ohne ausreichenden Rechtsschutz in den Zugriffsbereich von US-Gemheimdiensten gelangen. Andere Video-Konferenzsysteme können empfohlen werden, wenn der Betrieb technisch und inhaltlich ausreichend gegen Unbefugte geschützt ist. Zur Beurteilung können ein paar Fragen oder Tips helfen:

• Point to Point oder Broadcast? Sind nur zwei oder drei Leute interaktiv an dem Meeting beteiligt oder erfolgt die "Ausstrahlung" wie bei Rundfunkprogrammen an ein "disperses Publikum"?
• Verwendet der Dienstleister, den ich mit der technischen Realisierung einer Video-Konferenz beauftrage, ein rechtskonformes System, das keine geschützten Daten in Drittstaaten überträgt? (Vertrag über Einhaltung des Datenschutzes abschließen!)
• Sind "ungebetene Gäste" im virtuellen Raum anwesend? In der Regel erkennt man das am Bildschirm.
• Wurde der Zugang zur Video-Konferenz durch Vergabe von geeigneten Konferenznamen und/oder Passworten vor Unbefugten geschützt?
• Wann immer Gesichter zu sehen oder Stimmen zu hören sind, handelt es sich um personenbezogene Daten. Die Übertragung oder sogar Speicherung einer Video-Konferenz auf Rechnern, die sich im Zugriffsbereich von Drittstaaten befinden, ist problematisch und bedarf der vorausschauenden Klärung.
• Gesprächsinhalte sind sorfältig zu filtern, wenn die technische Sicherheit und der Geheimschutz nicht geklärt sind. Betriebsgeheimnisse, die unbefugten Dritten bekannt werden, sind ein Super-GAU und führen zu Schadenersatzansprüchen.
• Sind auf dem Kamerabild Dinge erkennbar, die besser geheim gehalten werden? Am besten ist es, eine neutrale Umgebung ohne spezifische Details oder allzu persönliche Merkmale zu wählen.
• Berufsgruppenvertretungen in Deutschland verfügen oft über gute Hinweise auf technisch und juristisch geprüfte Anbieter von Konferenzsystemen.
• Kostenlose Lösungen: "Open Source-Systeme" auf selbstverwalteten Servern, wenn sie gut abgesichert sind, sind der "Goldstandard" (z.B. nextcloud, bigbluebutton oder jitsi u.a.). Für kleinere Gesprächsrunden kann auch "jitsi-meet" über den Server des Anbieters sofort verwendet werden. US-gestützte Systeme, wie Google, MS-Teams, Zoom, Slack, WhatsApp etc. sind nicht zulässig.
• Der Betrieb über den gewöhnlichen Browser ist vorzuziehen, für gute Video-Konferenzen sind keine lokalen Installationen auf den Rechnern der Teilnehmer erforderlich.
• Das Teilen des Bildschirms kann Malware einschleusen.

Diese Fragen und Tips sollten die Abwicklung von Video-Konferenzen jedenfalls deutlich sicherer machen. Wie bei allen Werkzeugen ist eine sorgfältige Auswahl und ein verantwortungsvoller Umgang damit notwendig. Die unreflektierte und unüberlegte Verwendung angebotener oder populärer Lösungen ist jedenfalls die schlechteste aller denkbaren Maßnahmen.

Vorschläge für Anbieter:

• https://meet.jit.si/
• nextcloud talk
• RED Connect Videosprechstunde (Deutscher Anbieter - kostenpflichtig - auch von der Kassenärztlichen Bundesvereinigung empfohlen)
• https://sichere-videokonferenz.de/
• https://docs.bigbluebutton.org/
• u.v.m.

 

Quellen:

https://www.security-insider.de/security-betrachtungen-bei-videokonferenz-tools-a-975435/
(30.10.2020)

https://netzpolitik.org/2021/sicherheitsstufe-secret-eu-rat-schafft-system-fuer-geheime-videokonferenzen/
(27.1.2021)

https://www.heise.de/tipps-tricks/Zoom-Sicherheitstipps-fuer-Videokonferenzen-4699394.html
(30.11.2021)

https://www.activemind.de/magazin/vergleich-videokonferenz/
(26.3.2021)

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Remote/Videokonferenzsysteme/videokonferenzsysteme_node.html
(14.4.2020)

https://orf.at/stories/3244102/
(18.1.2022)

https://www.derstandard.de/story/2000132662857/zoom-bombing-porno-unterbricht-online-uebertragung-im-italienischen-senat
(19.1.2022)

https://www.cbc.ca/news/canada/kitchener-waterloo/wrps-zoom-court-hearing-1.5924875
(24.2.2021)