DSK kritisiert Überwachungsbefugnisse – DS News KW 15-2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
Heute ist Freitag, der 10. April. Redaktionsschluss war heute schon um 9.30
Uhr und wir schauen heute gemeinsam mit euch auf die wichtigsten Datenschutz-Themen
dieser Woche. Wer sind wir?
Mein Name ist Gregor Wortberg und bei mir ist...
Laura Druschinski, hallo.
So, Laura, ich glaube diese Woche, es ist die Osterwoche, die Woche nach Ostern.
Es mutet nach Osterloch an, wenn man es sagen darf.
Ja, wir wollten es ja schon fast als Hittelthema nehmen.
Ja, genau. Scheinbar sind alle im Urlaub. Aber was hast du denn mitgebracht?
Ja, ich habe zuallererst mitgebracht unser Top-Thema heute, nämlich die DSK-Presse-Mitteilung
zum Thema Überwachungsbefugnisse.
Dann geht es weiter mit einer Sicherheitslücke bei Windows.
Da sollten doch die Unternehmen und Verantwortlichen ein besonderes Ohr drauf
haben, ob sie davon betroffen sind.
Und dann habe ich noch mitgebracht zu guter Letzt eine Leseempfehlung fürs Wochenende.
Und zwar ist das eine Studie zum Thema Datenschutz und Wettbewerbsvorteil. Wie ist es bei dir?
Ich habe gar nicht so viel auf dem Zettel, sehe ich gerade. Ich habe eine,
wenn man so möchte, kurzfristige Serviceinformationen für Nutzer oder Kunden
der D-Trust GmbH. und Hinweise auf Veröffentlichung des BSI und des ETSA.
Dann,
Mach ich mal direkt weiter.
Oder? Ja, starte einfach rein.
Die DSK übt Kritik an digitaler Überwachung und biometrischen Ermittlungen.
Die Datenschutzkonferenz hat in einer neuen Pressemitteilung deutliche Kritik
an drei geplanten Gesetzesinitiativen der Bundesregierung geäußert.
Diese sehen unter anderem den Einsatz von biometrischen Online-Abgleich,
beispielsweise Gesichtserkennung im Internet, sowie automatisierter Datenanalyseplattformen
für Strafverfolgung und Gefahrenabwehr vor.
Nach Ansicht der DSK gehen die Pläne in ihrer aktuellen Form zu weit und gefährden
die Grundrechte auch unbeteiligter Personen erheblich.
Die Kritik der DSK zielt insbesondere auf die Breite und Tiefe der geplanten Eingriffe ab.
Denn, ja, nehmen wir jetzt den biometrischen Abgleich im Internet.
Hier ist die Sorge eben, dass Behörden künftig Daten mit allen öffentlich zugänglichen
Inhalten im Netz abgleichen könnten.
Und das bedeutet halt inklusive Bilder, Videos und Tonaufnahmen.
Das Problem dabei, potenziell jede Person kann erfasst werden, auch ohne jeden Anlass.
Und das Risiko hierbei können natürlich auch Falscherkennungen sein,
Profilbildung und eben das generelle Gefühl der Überwachung.
Dann ein weiteres Problem ist die automatisierte Datenanalyse.
Denn geplant ist die Zusammenführung unterschiedlichster Datenquellen,
beispielsweise Polizeidaten, Funkzellenabfragen oder auch Internetdaten innerhalb
einer Analyseplattform.
Auch Unbeteiligte hier, wie Zeugen oder Kontaktpersonen, können mit einbezogen werden.
Und durch Verknüpfung und Analyse entstehen dadurch, klar, natürlich auf der
einen Seite neue Erkenntnisse, aber natürlich auch verbunden mit einem Risiko,
zu Unrecht ins Visier von Ermittlungen zu geraten.
Kritik gibt es dann natürlich auch bei den Risiken beim Einsatz von künstlicher Intelligenz.
Also hier das Thema Intransparent, mangelnde Nachvollziehbarkeit und Kontrollprobleme
sieht da die DSK sehr federführend.
Die Diska betont, dass eben solche Maßnahmen nur unter strikter Beachtung der
verfassungsrechtlichen Vorgaben, insbesondere der Rechtsprechung des Bundesverfassungsgerichts,
zulässig sind und in der jetzigen Form droht eben in ihren Augen eine flächendeckende Überwachung.
Also was können wir jetzt daraus mitnehmen? Das ist natürlich jetzt für die
Beraterpraxis eher zweitrangig.
Nichtsdestotrotz sollten aber natürlich Unternehmen und Organisationen hier
die Entwicklung aufmerksam verfolgen.
Also Diskussion zeigt ja eben, wohin sich durchaus staatliche Datenverarbeitung
und Überwachung entwickeln könnte.
Insbesondere Anbieter von Technologien im Bereich KI, Datenanalyse oder auch
biometrische Verfahren sollten sich auf strengere regulatorische Anforderungen einstellen.
Und ja, schauen wir mal, was der Gesetzgeber macht. Also diese Herausforderung
aus Sicherheitsinteressen und Grundrechtsschutz in ein ausgewogenes Verhältnis
zu bringen, sollte die Marschroute sein.
Aber wir beobachten es für euch, natürlich auch hier.
In einer Pressemitteilung weist das BSI auf kurzfristig erforderliche Maßnahmen
im Kontext von D-Trust sind.
Die D-Trust GmbH bietet Dienstleistungen für qualifizierte Signaturen,
elektronische Siegel und weitere digitale Prozesse für Behörden und Unternehmen an.
Das nur so als kurze Querinformation.
Das kurzfristige Austauschen von TS-Website-Zertifikaten, welche zwischen dem
15.03.2025 und dem 2.04.2026 ausgestellt wurden, sei erforderlich.
Und diese Zertifikate, vielleicht haben sie es auch schon gemerkt,
haben ihre Gewöhnlichkeit bereits am 6.4., also am letzten Montag verloren und
sind nicht mehr einsetzbar.
Das BSI ruft daher alle Kunden der DHS GmbH auf, schnellstmöglich neue Zertifikate
für alle Dienste zu beantragen, die mit den betroffenen Zertifikaten abgesichert wurden.
Das kann neben Webseiten wohl auch dann MDM, also Mobile Device Managements,
betreffen und einen Austausch eben erforderlich machen.
Zudem kann es aufgrund des Austausches kurzfristig auch zu temporären Ausfällen
von Websites kommen, die zum Beispiel auch der Bundesverwaltung oder weiteren
Institutionen zugehörig sind.
Wichtig wohl, dass BSI meist auch nochmal ausdrücklich darauf hin,
dass die Maßnahme und eben temporär auftretende Ausfälle nicht im Zusammenhang
mit einem Cyberangriff stehen. Guter Hinweis, wichtige Info zum Schluss wohl noch.
Ja, wichtige Info ist ja sicherlich die nächste, nämlich dann,
wenn man Windows Defender im Einsatz hat.
Denn hier ist eine neue Zero-Day-Schwachstelle veröffentlicht worden,
die Windows-Systeme weltweit betrifft.
In Windows ist, wie gesagt, eine neue Sicherheitslücke entdeckt worden,
die es Angreifern ermöglicht, ihre Rechte im System massiv auszuweiten, bis hin zu System- bzw.
Administrator-Rechten. Ein Proof-of-Concept-Exploit wurde bereits auf GitHub
veröffentlicht und seine Funktionsfähigkeit von einem renommierten Sicherheitsforscher bestätigt.
Besonders kritisch dabei ist, dass ein Patch von Microsoft aktuell noch aussteht,
ebenso wohl auch eine offizielle CVE-Registrierung.
Auch wenn es sich primär um ein IT-Sicherheitsproblem handelt,
könnten natürlich, wenn wir jetzt von Administratorenrechten sprechen,
die datenschutzrechtlichen Implikationen erheblich sein.
Deshalb da auf jeden Fall die Empfehlung von uns, besonders zu schauen,
ob man hier in ein Risiko läuft.
Also technisch scheint die Schwachstelle wohl im Zusammenhang mit dem Update-Prozess
des Windows Defender zu stehen und nutzt eine sogenannte Talk-To-Schwachstelle,
also Time of Check, Time of Use aus.
Und Handlungsempfehlung für euch, beziehungsweise die IT, man sollte natürlich
prüfen, ob man von dieser Sicherheitslücke betroffen sein kann,
also welche Windows-Systeme man nutzt und dann halt auch diese kritischen Systeme
besonders priorisieren.
Temporäre Schutzbehandlungen können natürlich helfen, also Zugriffsrechte restriktiv
handhaben, aber auch Monitoring und Logging vielleicht zu überlegen,
zu intensivieren, aber auch Endpoint-Security-Lösungen, dass diese aktuell sind.
Und darauf sollte natürlich auch ein Augenmerk geworfen werden.
Und sonst auf jeden Fall Updates bei Microsoft eng verfolgen.
Bis gerade war noch nichts online, aber vielleicht ändert sich das ja noch vor dem Wochenende.
Wunderbar. Dann bin ich mit meinen Nachrichten schon durch. Ich habe aber noch
Veröffentlichungshinweise mitgebracht, hatte ich schon angekündigt.
Ich fange mal mit dem EZA an.
Der Europäische Datenschutz-Ausschuss hat seinen Jahresbericht seit 2025 veröffentlicht.
Wesentlich beschreibt dieser die strategischen Maßnahmen, die der Ausschuss
zur Bewältigung einer immer komplexeren digitalen Rechtslandschaft in der EU beschreibt.
Ja eingebracht hat im letzten Jahr. Ein zentrales Element ist die Helsinki-Erklärung,
die ja darauf abzieht, die Rechtssicherheit für Organisationen durch möglichst
praxisnahe Hilfsmittel wie Vorlagen und Leitfaden zu erhöhen.
Und zudem behandelt der Bericht auch nochmal die verstärkte Zusammenarbeit zwischen
verschiedenen Regulierungsbehörden und insbesondere an den Schnittstellen zwischen
der DSGVO, dem KI-Gesetz und dem Gesetz über die digitalen Märkte.
Und hier sollen dann auch nochmal, das wurde dann in dem Zug auch angekündigt,
in 2026 verschiedene Leitlinien angenommen werden.
Weitere Themen sind die Förderung weltweiter Datenschutzstandards,
der Dialog mit Interessenträgern, um neben der Innovationsförderung die Grundrechte
auf Privatsphäre sicherzustellen.
Sehr schön. Wer am Wochenende noch was lesen möchte, dem können wir hier ans
Herz legen, eine neue Studie oder Studienergebnisse von der Stiftung Datenschutz
mit dem Thema Unternehmen und Datenschutz, das Stimmungsbild 2026.
Also hier wurden insbesondere Führungskräfte in Unternehmen befragt,
seit Ende Januar bis Mitte Februar, wie sie es denn halten mit dem Thema Datenschutz
und festgestellt wurde, dass halt Datenschutz längst mehr ist als reine Compliance, insbesondere,
dass auch Unternehmen mit hohem Datenschutzniveau einen echten Wettbewerbsvorteil
für sich erkennen und auch das Vertrauen in den Marktpositionen stärkt.
Für uns natürlich auch ein sehr positives Ergebnis einer solchen Studie.
Also wer hier reinschauen möchte, findet ihr in den Shownotes.
Und vielleicht Datenschutz und Wettbewerbsvorteil, da klingelt es vielleicht
bei dem einen oder anderen in den Ohren.
Möchten wir auch an der Stelle nochmal auf unsere schönen Themenfolgen hinweisen.
Und die sind vielleicht auch manchmal wie guter Wein. Auch wenn sie schon älter
sind, kann man sie sich trotzdem noch ganz gut anhören.
Und ja, 2022 hatten wir nämlich genau zu diesem Thema Dr. Falk Böhm bei uns
zu Gast, der über das Thema Datenschutz und Wettbewerbsvorteil spricht.
Auch da, das packen wir mal rein. Vielleicht mögt ihr euch dann nochmal die
Themenfolgen auch zu Gemüte führen.
Ja, mein abschließender Veröffentlichungshinweis kommt von BSI,
den habe ich nämlich gerade übersehen, habe ich festgestellt.
Das BSI hat die neue Fassung des Cloud Computing Compliance Criteria Catalogs veröffentlicht.
Also, der Name sagt schon, es ist jetzt nicht auch so ganz original Datenschutz,
aber vielleicht nicht weniger wichtig, weil so ein paar Schnittmengen haben wir am Ende dann schon.
Der Katalog baut auf den Anforderungskatalog C5 2020 auf und erweitert den Kriterienrahmen
deutlich und soll Cloud-Anbietern, Prüfern und Kunden eine eben aktualisierte
Sicherheits- und Prüfungsgrundlage geben,
um eben die Vielzahl an Entwicklungen der letzten sechs Jahre dann auch irgendwo gerecht zu werden.
Für die Datenschutzpraxis relevant ist vor allem die Ausführungen zur Cloud-Auswahl,
Tom-Prüfung, Auftragsverarbeitung und dem Vendor-Management,
also dem Lieferantenmanagement.
Ja, das war dann ein guter Abschluss.
Ja, genau. Wunderbar. Also wir haben das Osterloch, das angesprochen,
da ist es so ein bisschen gewesen, aber die Folge hat mir umso mehr Spaß gemacht. Ich danke dir, Laura.
Danke auch.
Und euch, unseren lieben Zuhörern, wünschen wir an dieser Stelle ein schönes
Wochenende, wenn ihr uns am Freitag hört.
Ansonsten natürlich wie immer einen guten Wochenstart, falls heute Montag sein sollte.
Wir freuen uns auf die Folge der nächsten Woche und wünschen euch in diesem
Sinne ein schönes Wochenende und bis bald.
Bis bald.