Heute, am 28.1.2021 begehen wir den 15. Europäischen Datenschutztag. Das Datum geht zurück auf den 28.1.1981, an dem der Europarat das Übereinkommen Nr. 108 „zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ als erstes verbindliches zwischenstaatliches Datenschutzabkommen und Instrument zum Schutz personenbezogener Daten angenommen hat. Ziel war und ist, sicherzustellen, dass die Rechte der Menschen insbesondere bezüglich der Verarbeitung ihrer personenbezogenen Daten geschützt werden.
#CryptoWars erreichen Europa
Heute, fast drei Jahre nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) stehen wir immer stärker werdenden Bestrebungen zur Schwächung des Datenschutzes und damit der Privatsphäre aller Menschen gegenüber. Eines der prominentesten Beispiele hierfür ist mittlerweile auch in Europa unter „Crypto Wars“ bekannt: Der Europäische Rat unternimmt massive Anstrengungen, die Verschlüsselung sicherer Internet-Dienste aufzuweichen.
In einer Entschließung des Europäischen Rats vom 24. November 2020 wird unter anderem unter Nutzung der üblichen Bedrohungsszenarien Terrorismus, organisierte Kriminalität und Kindesmissbrauch gefordert, Lösungen zu schaffen, die das Brechen der Verschlüsselung durch staatliche Stellen ermöglichen. Davon abgesehen, dass dies sowohl technisch dem Sinn einer Ende-zu-Ende Verschlüsselung diametral entgegensteht würde es auch im Wortsinn das Ende der sicheren Kommunikation für alle Bürger bedeuten. Jeder Mensch würde als potenzieller Gewaltverbrecher, Kinderschänder oder Terrorist unter Generalverdacht gestellt und seiner Privatsphäre beraubt. Und wo es einmal eine technische Hintertür gibt, wird diese früher oder später nicht nur von „den Guten“ genutzt werden, sondern eben auch von Kriminellen oder allgemein potenziell eher undemokratischen Kräften.
Unterstützung für die Bestrebungen kommt erwartungsgemäß von den „Five Eyes“, den Geheimdiensten der USA, Großbritanniens, Australiens, Neuseelands und Kanadas.
Interessanter Weise fällt dieser Entwurf in die Zeit der deutschen Ratspräsidentschaft. Erstaunlich hierbei ist, dass gerade Deutschland sich beispielsweise bei der Einführung der DSGVO zunächst prominent für den Datenschutz stark gemacht hat und nun immer wieder dadurch auffällt, gerade den Schutz der Privatsphäre der Bürger zu torpedieren. (Warum will Horst Seehofer das Ende der Ende-zu-Ende-Verschlüsselung?)
Heftige Kritik aus Datenschutzkreisen
Erwartungsgemäß wurden die Bestrebungen zur Schwächung der Sicherheit aller Bürger vor allem in Datenschutzkreisen und durch die IT Branche massivst kritisiert. Trotz darauf folgender gegenteiliger Behauptungen hat der Rat die Entschließung am 14.12.2020 angenommen (Verschlüsselung: Rat nimmt Entschließung zur Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung an). Mittlerweile rudern einzelne Stellen zurück (Crypto Wars: EU-Kommission will verschlüsselte Kommunikation nicht schwächen). Wie glaubwürdig das ist, muss jeder selbst beurteilen.
Auffällig in den Reihen der Kritiker ist auch, welche Unternehmen dabei kaum in Erscheinung treten. Dazu gehören unter anderem Facebook (Facebook, WhatsApp, Instagram, etc.), aber auch Apple, die bspw. iCloud Backups trotz der technischen Möglichkeit hierzu nicht (mehr) verschlüsseln (iCloud-Backups: Apple soll Verschlüsselung wegen FBI aufgegeben haben).
Verschiedene europäische Dienste positionieren sich hingegen sehr eindeutig. Hier zu nennen sind unter anderem Threema, Protonmail, Tresorit und Tutanota. Dauerhaft sind in diesem Kontext auch die deutschen Mail-Dienste Mailbox.org oder posteo.de aktiv.
Wie wir damit umgehen
Wie unsere Kunden und Partner wissen, positionieren wir uns bezüglich des Schutzes der Privatsphäre und der Informationssicherheit sehr eindeutig. Wir selbst nutzen in unserer Arbeit selbstverständlich auch entsprechend des Grundsatzes der Angemessenheit die jeweils optimalen Werkzeuge. Unsere E-Mails werden über Mailbox.org versandt, unser bevorzugter Messaging-Dienst ist Threema Work (ergänzt durch Signal), als Cloudspeicher und zur Bereitstellung von Dokumenten an unsere Kunden benutzen wir Tresorit und unsere Datenbanken befinden sich in unserer eigenen Ninox Enterprise (private) Cloud.
Grundsätzlich empfehlen wir, bei der Auswahl von Diensten und Anbietern sehr genau darauf zu achten, welche Anstrengungen diese unternehmen, um die Daten ihrer Kunden bestmöglich zu schützen. Entscheidungen über den Einsatz der einen oder anderen Lösung müssen natürlich in jedem Einzelfall auf Basis der individuellen Rahmenbedingungen getroffen werden.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung oder Datenschutz für Ihr Unternehmen? Sind Sie Projektverantwortlicher oder betrieblicher Datenschutzbeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studenten.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.