Kugelmann: Ende-zu-Ende-Verschlüsselung muss sicher bleiben – Beschlüsse der 100. Datenschutzkonferenz liegen vor

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat bei ihrer 100. Sitzung durchweg einstimmig wichtige Beschlüsse gefasst. Die Datenschutzkonferenz (DSK) spricht sich unter anderem klar gegen aktuelle EU-Pläne aus, wonach die Ende-zu-Ende-Verschlüsselungen bei Messenger-Diensten wie WhatsApp, Threema oder Signal aufgeweicht werden sollen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, sagt: „Auf EU-Ebene wird in diesen Tagen beraten, Sicherheitsbehörden und Geheimdiensten Zugriff auf die private, verschlüsselte Kommunikation in Messengerdiensten zu gewähren. Als DSK lehnen wir entsprechende Überlegungen strikt ab. Würden die Vorschläge des Rates der Europäischen Union umgesetzt, würde eine sichere Ende-zu-Ende-Verschlüsselung untergraben und notwendiges Vertrauen zerstört. Dies würde geschehen, ohne dass das angestrebte Ziel, die Ermittlungsmöglichkeiten von Sicherheitsbehörden zu verbessern, nachhaltig und effektiv erreicht wird.“

Kugelmann betont: „Die Verschlüsselungstechniken müssen sicher und integer bleiben; statt das Vertrauen in die Verschlüsselung zu untergraben, sollten aus Datenschutz-Gründen diese Techniken gestärkt werden. Mehr Unternehmen, staatliche Stellen sowie Bürgerinnen und Bürgern sollten sie einsetzen. Eine sichere Ende-zu-Ende-Verschlüsselung muss die Regel werden, um gerade im Zeitalter der Digitalisierung eine sichere, vertrauenswürdige und integre Kommunikation in Verwaltung, Wirtschaft, Zivilgesellschaft und Politik zu gewährleisten.“

Die DSK weist in ihrer aktuellen Entschließung auch darauf hin, dass die Aushöhlung von Verschlüsselungslösungen, wie sie im Rat der Europäischen Union im Resolutionsentwurf Nr. 12143/1/20 vom 6. November 2020 „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ nahegelegt wird, kontraproduktiv wäre und durch Kriminelle und Terroristen leicht umgangen werden könnte.

Bei der DSK-Sitzung, die am 25. und 26. November 2020 per Video unter dem turnusgemäßen Vorsitz des sächsischen Datenschutzbeauftragten Andreas Schurig stattfand, wurde über folgende Themen gesprochen:

- Die Konferenz befasste sich erneut sowohl mit den Telemetriefunktionen von Microsoft Windows 10, Version „Enterprise“, sowie mit den durch Microsoft zu MS Office 365 angekündigten Verbesserungen des Datenschutzes. Zu den Telemetriefunktionen hatte eine DSK-Arbeitsgruppe in drei Testszenarien zuvor festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Version die Telemetriestufe „Security“ nutzen und vertraglich, technisch oder organisatorisch sicherstellen müssen, dass keine Übermittlung personenbezogener Telemetrie-Daten an Microsoft stattfindet – dies hebt der neue DSK-Beschluss hervor. Im Hinblick auf MS Office 365 wird die DSK weiter im Gespräch mit Microsoft bleiben. Die DSK legt jeweils Wert auf die Berücksichtigung des Urteils des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in unsichere Drittstaaten vom 16. Juli 2020 (C-311/18) („Schrems II“).

- Im Interesse der Rechtssicherheit appelliert die DSK mit einer weiteren Entschließung an den Bundesgesetzgeber, endlich die Vorgaben des Bundesverfassungsgerichts vom Mai 2020 zur Ausgestaltung des manuellen Bestandsdatenauskunftsverfahrens umzusetzen. Das Gericht hatte erkannt, dass sowohl die Übermittlung von Daten durch Telekommunikationsdiensteanbieter als auch der Abruf durch berechtigte Stellen (z. B. Staatsanwaltschaften) jeweils einer verhältnismäßigen und normenklaren Grundlage bedürfen („Doppeltürenmodell“). Die derzeitige Fassung des § 113 Telekommunikationsgesetz und die Abrufnormen auf Seiten der Empfängerkreise genügen diesen Anforderungen nicht. Die Konferenz fordert die Gesetzgeber in Bund und Ländern in einer Entschließung auf, das manuelle Auskunftsverfahren für Sicherheitsbehörden und Nachrichtendienste möglichst rasch verfassungskonform auszugestalten.

- Die Konferenz fordert den Gesetzgeber in einer weiteren Entschließung auf, endlich die ePrivacy-Richtlinie der Europäischen Gemeinschaften aus dem Jahr 2002 (RL 2002/58/EG) vollständig und im Einklang mit der Datenschutz-Grundverordnung von 2018 in deutsches Recht umzusetzen. Nach Art. 5 Abs. 3 ePrivacy-Richtlinie bedarf es einer aktiven informierten Einwilligung des Nutzers insbesondere dann, wenn der Verantwortliche „Cookies“ setzt. Webseitenbetreiber und andere Akteure, die ihre Dienste unter anderem in Bezug auf „Cookies“ rechtmäßig gestalten müssen, brauchen Rechtsklarheit und -sicherheit.

Die 101. DSK, die für April 2021 angesetzt ist, wird unter dem Vorsitz des Saarlandes stehen.

Weitere Informationen:
PM der DSK zu Ergebnissen der 100. Sitzung
PM des LfDI RLP im Vorfeld der 100. Sitzung