Privacy Checkup: Finden Sie heraus, wie es um Ihre Privatsphäre im Internet steht

BlogIn Threema abonnieren

Datenschutz gewinnt noch mehr an Bedeutung

· English version
Datenschutz gewinnt noch mehr an Bedeutung

Am 28. Januar findet alljährlich der Data Privacy Day statt. Wir nehmen diesen Aktionstag (bzw. die Woche, in die er fällt) jeweils zum Anlass, um einmal mehr auf die Wichtigkeit von Datenschutz hinzuweisen, und jedes Jahr ist zu betonen, dass Datenschutz so grosse Bedeutung hat wie noch nie zuvor.

Zeitalter der Künstlichen Intelligenz

2018 waren anlässlich des Data Privacy Day folgende mahnenden Worte auf diesem Blog zu lesen:

Sind Daten einmal gesammelt, können sie für alle Zeit gespeichert und beliebig oft vervielfältigt werden. Wozu sie genutzt werden, ist unklar. Auch welche Rückschlüsse in Zukunft auf die Nutzer möglich sein werden, ist nicht absehbar.

Damals gab es jedoch noch keine Künstliche Intelligenz wie wir sie mittlerweile von ChatGPT und verwandten Modellen kennen. Zudem verbringen wir heute noch mehr Zeit im Internet, und somit fallen potenziell noch mehr personenbezogene Daten an.

Vor diesem Hintergrund und in Anbetracht der rasanten Fortschritte im Feld der Künstlichen Intelligenz muss heute noch weitaus mehr beunruhigen, welche Rückschlüsse über Internet-Nutzer auf Basis der massenhaft erhobenen Daten in naher Zukunft möglich sein werden.

Anlasslose Massenüberwachung durch «Chatkontrolle»

Doch das ist nur einer von vielen Aspekten, aufgrund derer Datenschutz ein wichtigeres Thema denn je ist. Ein weiterer sind die verschiedenen Gesetzesvorlagen, welche einen massiven und v.a. anlasslosen Eingriff in die Privatsphäre unbescholtener Internet-Nutzer vorsehen.

In Europa gibt insbesondere die sog. «Chatkontrolle» zu reden: Für Schlagzeilen sorgte z.B. das millionenschwere Lobby-Netzwerk, bestehend aus Tech-Firmen, Sicherheitsbehörden und PR-Agenturen, welches im Hintergrund der Befürworter steht, oder eine umstrittene Werbekampagne, welche die EU-Kommission mittels politischem und religiösem Mikrotargeting auf Sozialen Medien ausspielen liess.

Weshalb wir die Chatkontrolle nicht nur für nicht wirksam, sondern in ihrer ursprünglichen Form für brandgefährlich halten und mit aller Vehemenz ablehnen, ist in folgendem offenen Brief dargelegt, welchen wir gemeinsam mit gleichgesinnten Unternehmen an die EU-Mitgliedstaaten richten:

Sehr geehrte Innen-, Justiz- und Wirtschaftsminister der EU-Mitgliedstaaten

Wir schreiben Ihnen als kleine und mittlere Unternehmen und Organisationen aus Europa, die über den Vorschlag für eine Verordnung über sexuellen Kindesmissbrauch (CSA) besorgt sind. Gemeinsam fordern wir Sie auf, dafür zu sorgen, dass die Position Ihres Landes in dieser Angelegenheit so nah wie möglich an die des Europäischen Parlaments (EP) herangeführt wird.

Wir sind uns alle einig, dass die Gewährleistung der Sicherheit von Kindern im Internet eine der wichtigsten Pflichten von Technologieunternehmen ist, und aus diesem Grund finden wir die von der Europäischen Kommission vorgeschlagene Verordnung äusserst beunruhigend. Wenn sie in der vorgeschlagenen Form umgesetzt wird, würde sie sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben, ganz abgesehen davon, dass sie einen ineffektiven Verwaltungsaufwand verursachen würde1.

Das Europäische Parlament hat vor kurzem seinen Standpunkt zu dem Gesetzentwurf angenommen und eingeräumt, dass Scantechnologien nicht mit dem Ziel einer vertraulichen und sicheren Kommunikation vereinbar sind. Die entscheidenden Änderungen, die es daher vorschlägt, spiegeln die Meinung des Europäischen Datenschutzbeauftragten (EDSB), der juristischen Dienste des Rates sowie zahlreicher Experten für Kryptographie und Cybersicherheit wider2. Sie spiegelt auch die Meinung von 63% bis 69% der Unternehmen, Behörden, Nichtregierungsorganisationen und Bürger wider, die von der Europäischen Kommission in ihrer Folgenabschätzung3 befragt wurden.

Als kleine und mittlere Technologieunternehmen und -organisationen teilen wir ihre Bedenken, da wir wissen, dass die Suche nach bestimmten Inhalten – wie Text, Fotos und Videos – in einer Ende-zu-Ende-verschlüsselten Kommunikation die Implementierung einer Hintertür oder einer ähnlichen Technologie namens «clientseitiges Scannen» erfordern würde. Selbst wenn dieser Mechanismus zur Bekämpfung der Online-Kriminalität geschaffen wird, würde er auch schnell von Kriminellen selbst genutzt werden und Bürger und Unternehmen online einem grösseren Risiko aussetzen, da er für alle Nutzer gleichermassen Schwachstellen schafft.

Datenschutz ist ein starker Wettbewerbsvorteil

Als Technologieunternehmen, die in der Europäischen Union tätig sind, haben wir Produkte und Dienstleistungen im Einklang mit dem strengen Datenschutzrahmen der EU entwickelt, der nach wie vor als Beispiel und Inspiration für die ganze Welt dient.

Die Datenschutz-Grundverordnung ermöglichte die Gründung ethischer, datenschutzfreundlicher Technologieunternehmen in Europa, die andernfalls nie in der Lage gewesen wären, mit Big Tech zu konkurrieren. Sie verschaffte europäischen Unternehmen einen starken internationalen Wettbewerbsvorteil in diesem Bereich und ermöglichte es den Verbrauchern, endlich Alternativen zu amerikanischen und chinesischen Diensten zu finden. Unsere Nutzer innerhalb und ausserhalb der EU haben Vertrauen in unser Engagement für den Schutz ihrer Daten gewonnen, und dieses Vertrauen ist ein wichtiger Faktor für unsere Wettbewerbsfähigkeit. Die Lernkurve für die Anpassung an den notwendigen Verwaltungsaufwand, den die DSGVO mit sich bringt, war hoch, aber sie war es wert.

Die CSA-Verordnung könnte jedoch dieses Alleinstellungsmerkmal europäischer IT-Unternehmen bedrohen und würde zudem einen neuen Verwaltungsaufwand mit sich bringen, von dem wir befürchten, dass er sowohl unsere Unternehmen als auch die Strafverfolgungsbehörden überfordern könnte. In Anbetracht des Volumens der Kommunikation und der Inhalte, die durch unsere Dienste fliessen, würde selbst eine unbedeutende Fehlerquote der Technologien, die für die Suche nach missbräuchlichem Material eingesetzt werden, zu Millionen von Falschmeldungen führen, die jeden Tag manuell überprüft werden müssten.

Die CSA-Verordnung könnte das Vertrauen und die Sicherheit im Internet untergraben

In einer Welt, in der Datenschutzverletzungen und -skandale immer häufiger vorkommen, ist der Ruf der EU für strengen Datenschutz ein Alleinstellungsmerkmal für Unternehmen, die innerhalb ihrer Grenzen tätig sind. Er verschafft uns einen Wettbewerbsvorteil, denn er gibt unseren Kunden die Gewissheit, dass ihre Daten mit äusserster Sorgfalt und Integrität behandelt werden. Wenn dieses Vertrauen einmal untergraben ist, lässt es sich nur schwer wiederherstellen, und jede Massnahme, die es gefährdet, wie z.B. das obligatorische Scannen oder die obligatorische Altersüberprüfung, kann grossen und kleinen Unternehmen schaden.

Darüber hinaus hat die EU vor kurzem die Verordnung 2023/2841 erlassen, die den EU-Organen und -Einrichtungen vorschreibt, bei ihren Massnahmen zum Risikomanagement im Bereich der Cybersicherheit die Verwendung von Ende-zu-Ende-Verschlüsselung zu berücksichtigen. Ausserdem liegen derzeit mehrere «Cyber»-Vorschläge der EU auf dem Tisch, wie der Cyber Resilience Act und der Cybersecurity Act. Die Unterstützung eines gegenteiligen Ansatzes für die CSA-Verordnung würde den EU-Rahmen für Cybersicherheit nur untergraben und ein widersprüchliches, inkohärentes und ineffizientes neues Massnahmenbündel schaffen, das Unternehmen nicht durchsetzen könnten, ohne Bürger und Unternehmen zu gefährden.

Der Vorschlag des EU-Parlaments geht in die richtige Richtung

Wir begrüssen daher die entschlossene Haltung des Europäischen Parlaments bei der Verteidigung des Rechts der europäischen Bürger auf Privatsphäre und sichere Kommunikation. Das Bekenntnis des Europäischen Parlaments zu diesen Grundsätzen ist nicht nur ein Beweis für sein Engagement für die Menschenrechte, sondern auch ein Hoffnungsschimmer für Unternehmen wie das unsere, denen Datenschutz und Sicherheit am Herzen liegen. Die Position des Parlaments beinhaltet Alternativen zum Scannen, die minimale Auswirkungen auf die Cybersicherheit und den Datenschutz haben und die nach Ansicht von Experten sowohl effektiver als auch effizienter wären als das obligatorische Scannen. Ein solcher Paradigmenwechsel würde bedeuten, die falsche Dichotomie zwischen Privatsphäre und Sicherheit zu überwinden und gleichzeitig dafür zu sorgen, dass der Vorschlag den Grundsatz der Verhältnismässigkeit beachtet, wie vom Ausschuss für Regulierungskontrolle gefordert.

Auch wenn die Änderungen, die das Europäische Parlament in seinem Standpunkt vorgenommen hat, in unseren Augen nicht perfekt sind, stellen sie doch einen guten Kompromiss dar, um die digitale Sicherheit und Vertraulichkeit zu wahren und Kinder im Internet besser zu schützen. Wir glauben, dass diese Änderungen das richtige Gleichgewicht zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre und der Cybersicherheit herstellen.

Als Vertreter der dynamischen europäischen Kleinunternehmen fordern wir die EU-Mitgliedstaaten auf, sich weiterhin für die Werte des Schutzes der Privatsphäre, der Cybersicherheit und des Datenschutzes einzusetzen. Diese Grundsätze stehen nicht nur im Einklang mit dem Engagement der EU für die Menschenrechte, sondern dienen auch als Grundlage für ein florierendes und wettbewerbsfähiges Geschäftsumfeld. Lassen Sie uns diese Grundsätze verteidigen und stärken und dafür sorgen, dass die EU auf dem globalen Markt ein Verfechter des Datenschutzes bleibt.

Aus diesen Gründen appellieren wir an Sie:

  • Sorgen Sie dafür, dass der Standpunkt des Rates so weit wie möglich an den des Europäischen Parlaments angeglichen wird. Dies wird eine schnellere Verabschiedung der Verordnung ermöglichen und gleichzeitig auf der wichtigen Arbeit des Europäischen Parlaments aufbauen.
  • Beibehaltung des hohen Niveaus der Grundrechte – und insbesondere des Datenschutzes, die die Bürger in der Europäischen Union geniessen.
  • Unternehmen wie uns nicht zu zwingen, im Auftrag von Strafverfolgungsbehörden eine Massenüberwachung privater Korrespondenz durchzuführen.
  • Gewährleistung eines hohen Niveaus an Cybersicherheit in der EU durch den Schutz der Ende-zu-Ende-Verschlüsselung und die Aufnahme der notwendigen Schutzmassnahmen in den Text. Insbesondere clientseitiges Scannen und Hintertüren sollten nicht vorgeschrieben werden.
  • Wahrung des Briefgeheimnisses.
  • Minimierung des Verwaltungsaufwands des Vorschlags durch effektivere und effizientere Alternativen zum massenhaften Scanning.

Unterzeichnet:

Blacknight Solutions (Ireland)
E Foundation (France)
Element (United Kingdom)
Logilab (France)
Mail.de GmbH (Germany)
Mailfence (Belgium)
Matrix Foundation (United Kingdom)
Murena (France)
Nextcloud (Germany)
Olvid (France)
One Privacy (Luxembourg)
Open-Xchange (Germany)
Parsec (France)
Proton (Switzerland)
Renvis (Greece)
Seezam (Luxembourg)
Surfshark (Lithuania)
TelemetryDeck (Germany)
The Tor Project (USA)
Threema (Switzerland)
Tresorit (Switzerland)
Tuta (Germany)

Wirtschaftsverbände und Unterstützer:

ACT | The App Association
Cyberstorm
Defend Democracy
Encryption Europe
Gate 15
ISOC-CAT
Myntex
Privacy & Access Council of Canada
Quilibrium
SecureCrypt
Studio Legale Fabiano

1 Eine ausführliche Zusammenfassung des Vorschlags, der von der NRO EDRi ausgearbeitet wurde, finden Sie hier.
2 Weitere Informationen finden Sie in ihrer Erklärung vom Juli 2023.
3 Siehe insbesondere Seite 134 der Folgenabschätzung.