ePrivacy-Verordnung - Fragen & Antworten

Datenschutz, Digitalisierung & Netzpolitik

letzter Stand zu den Verhandlungen

Der Vorschlag der Europäischen Kommission vom 10. Januar 2017 für eine „ePrivacy“-Verordnung  soll die Richtlinie aus dem Jahr 2002 reformieren und die Vertraulichkeit der elektronischen Kommunikation nicht nur beim Telefon, sondern auch bei WhatsApp und ähnlichen Internet-Diensten garantieren. Außerdem soll die ausufernde Überwachung der Internet-Nutzung durch Dienste wie Google Analytics eingedämmt werden.

 

Ausschüsse:

Federführend: Innen- und Justizausschuss (Committee on Civil Liberties, Justice and Home Affairs, LIBE)

Berichterstatterin: Marju Lauristin (S+D, Estland)

Schattenberichterstatter/Schattenberichterstatterinnen:  Jan Philipp Albrecht (Grüne/EFA, Deutschland), Michal Boni (EPP, Polen), Sophie In’t Veld (ALDE, Niederlande), Daniel Dalton (ECR, UK), Cornelia Ernst (GUE/NGL, Deutschland)

Mitberatend: Rechtsausschuss (JURI), Ausschuss für Industrie, Forschung und Energie (Committee on Industry, Research and Energy, ITRE), Ausschuss für Binnenmarkt und Verbraucherschutz (Committee on Internal Market and Consumer Protection, IMCO)

Berichterstatter/Berichterstatterinnen:

JURI: Axel Voss (EPP, Deutschland), ITRE: Kaja Kallas (ALDE, Estland), IMCO: Eva Maydell (EPP, Bulgarien)

 

Warum brauchen wir die ePrivacy-Verordnung?

Die Datenschutzgrundverordnung, die ab 25. Mai 2018 in allen EU-Mitgliedstaaten gilt, regelt den Schutz personenbezogener Daten. Zusätzlich gibt es seit dem Jahr 2002 die ePrivacy-Richtlinie, die die Vertraulichkeit der elektronischen Kommunikation sichert und klarstellt, dass die Netzanbieter die Inhalte und Verkehrsdaten (Metadaten, siehe unten) von Telefonaten, E-Mails und anderen Nachrichten nur mit unserer Einwilligung weiterverwenden dürfen. Mit der ePrivacy-Verordnung wird für alle Kommunikationsdienste dersel-be Standard an Vertraulichkeit gelten, sei es SMS oder Internet-Dienste wie WhatsApp.

Seit der Novelle aus dem Jahr 2009 legt die Richtlinie auch fest, dass Webseiten-Anbieter ihre Nutzerinnen und Nutzer nur mit deren Einwilligung verfolgen dürfen, per Klick auf den Button „Cookies akzeptieren“. Die Umsetzung in den Mitgliedstaaten ist allerdings sehr unterschiedlich, daher hat die Europäische Kommission im Januar 2017 eine einheitliche Verordnung vorgeschlagen. Diese soll einen direkt anwendbaren einheitlichen Rechtsrahmen setzen, der auch für neue Internet-basierte Kommunikationsdienste wie WhatsApp gilt. Die Durchsetzung inklusive Sanktionen wird an die Datenschutzgrundverordnung angeglichen, bei Verstößen drohen auch hier bis zu vier Prozent des Jahresweltumsatzes. Erstmals sollen auch Software-Hersteller verpflichtet werden, datenschutzfreundliche Grundeinstellungen etwa bei Web-Browsern vorzunehmen.

 

Reicht nicht die Datenschutz-Grundverordnung?

Einige Interessenverbände, vor allem aus der Internet-Werbewirtschaft, fordern, dass die Datenschutzgrundverordnung auch für Kommunikationsdaten gelten und die ePrivacy-Richtlinie einfach aufgehoben werden soll. Diese Forderung unterschlägt, dass es bei Kommunikationsdaten um besonders vertrauliche Daten geht, die ein eigenes Grundrecht schützt (Artikel 7 der EU-Grundrechte-Charta). Während unsere Anschrift oder auch Steuernummer noch halbwegs harmlos sind, sind Informationen über unsere Kommunikationspartner und -partnerinnen, wann und wo wir mit ihnen kommunizieren, und erst recht, was wir besprechen, sehr privat und gehen niemanden etwas an. Diese privaten Daten dürfen ohne Einwilligung nicht weiterverarbeitet werden.

 

Was ist der Stand der Verhandlungen?

Aktuell laufen die Verhandlungen über die Position des federführenden Innen- und Justizausschusses (LIBE), Berichterstatterin ist die estnische Abgeordnete Marju Lauristin (S&D). Die mitberatenden Ausschüsse haben sich bereits positioniert. Während der JURI-Ausschuss sich klar für starken Datenschutz ausgesprochen hat, ist der ITRE-Ausschuss traditionell mehr industriefreundlich. Der IMCO-Ausschuss steht dazwischen und hat einige datenschutzfreundliche Elemente aufgegriffen, will aber auf der anderen Seite die Weiterverarbeitung der Kommunikationsdaten ohne Einwilligung der Betroffenen erlauben.

 

Wie sieht der Zeitplan aus?

Die Abstimmung über die Position des LIBE war ursprünglich für Donnerstag, 12. Oktober 2017 geplant. Da es noch keine Einigung gibt, ist der für die Abstimmung avisierte Termin aktuell auf Donnerstag, 19. Oktober 2017, verschoben. Der EP-Präsident wird die Position des LIBE frühestens in der Plenarsitzung vom 23. bis 26. Oktober 2017 verkünden und damit das Mandat für Verhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission („Trilog“) erteilen. Der Rat hat noch keine Position („allgemeine Ausrichtung“) vorgelegt. Dies wird absehbar noch einige Monate dauern, erst dann kann der Trilog - also die Verhandlungen über den finalen Gesetzestext - beginnen. Ob die Europäische Kommission ihr Ziel erreichen kann, die ePrivacy-Verordnung zeitgleich mit der Datenschutz-Grundverordnung ab 25. Mai 2018 anzuwenden, ist fraglich.

 

Inwiefern schafft die ePrivacy-Verordnung Wettbewerbsgleichheit?

Die ePrivacy-Verordnung soll die Wettbewerbsbedingungen für alle Telekommunikationsanbieter einheitlich regeln und führt, wie die Datenschutz-Grundverordnung, das Marktortprinzip ein. Alle Anbieter auf dem EU-Markt müssen sich unabhängig von ihrem Unternehmenssitz an die neuen Regeln halten.

Darüber hinaus setzt die ePrivacy-Verordnung einheitliche Standards für Vertraulichkeit der Kommunikation. Für die Nutzer und Nutzerinnen macht es keinen Unterschied, ob sie für Mitteilungen eine SMS verschicken oder Internet-Dienste wie WhatsApp oder Wire benutzen. Dasselbe gilt für Internet-Telefonie wie Skype.

 

Was sind die zentralen Fragen im LIBE?

1. Einwilligung

Knackpunkt ist die Frage, ob und inwieweit Internet-Dienste die Daten der Nutzerinnen und Nutzer ohne deren ausdrückliche Zustimmung weiterverarbeiten dürfen. Dabei geht es um das ausufernde Verfolgen auch über viele Webseiten hinweg durch Anbieter wie Google Analytics oder Facebook mit Like-Buttons oder unsichtbaren „Trackern“. Die erstellten Profile von Nutzerin-nen und Nutzern bilden das gesamte Online-Verhalten einzelner Menschen ab und werden kommerziell genutzt, vor allem bei der individualisierten Werbung. Internetunternehmen vermarkten diese sehr persönlichen Daten zum Beispiel an Versicherungen weiter, die sie zur Einstufung ihrer Kunden und Kundinnen nutzen. Die Grünen/EFA-Fraktion ist dagegen, ebenso S+D, GUE und ALDE. Die konservativen Fraktionen EPP und ECR wollen die Überwachung der Nutzerinnen und Nutzer sehr weitreichend erlauben, also das legalisieren, was heute weitgehend ohne Rechtsgrundlage geschieht.

Als möglicher Kompromiss deutet sich an, dass eine rein statistische Auswertung zur Reichweitenmessung erlaubt wird, solange dies nicht zu individuellen Profilen führt und die Daten nach sehr kurzer Zeit gelöscht werden. Um Missbrauch zu verhindern, soll nach Ansicht der Grünen/EFA und Sozialdemokraten eine vorherige Genehmigung durch die Datenschutzbehörden verpflichtend sein.

 

2. Koppelungsverbot („Cookie-Walls“)

Grüne/EFA und Sozialdemokraten wollen festschreiben, dass Online-Dienste unabhängig davon genutzt werden dürfen, ob die Nutzerinnen und Nutzer Datensammlungen durch Cookies zustimmen oder nicht („Cookie-Walls“). Die Konservativen blockieren einen starken Datenschutz, indem sie Nutzerinnen und Nutzer von Diensten ausschließen wollen, wenn diese der Datensammlung nicht zustimmen.

 

3. Privacy by Default

Noch ist die Frage der Voreinstellungen in der Software strittig. Die Grünen/EFA fordern, dass Web-Browser und andere Programme zur Internet-Nutzung die datenschutzfreundlichsten Voreinstellungen haben müssen. Dies folgt der „Privacy by Default“-Logik der Datenschutzgrundverordnung. Viele Konservative und Interessenverbände lehnen dies als „Bevormundung“ ab.

Eine Einigung gibt es bereits bei der damit verbundenen Frage, ob unsere Browser automatisch ein Signal an Online-Dienste senden können, das als rechtswirksamer Widerspruch gilt. Der „Do Not Track“-Standard, der im World Wide Web Consortium (W3) entwickelt wurde, würde damit als ausdrückliche Willenserklärung der Nutzerinnen und Nutzer verbindlich werden - ein großer Schritt nach vorne.

 

4. Verschlüsselung

Darüber hinaus geht es um Ende-zu-Ende-Verschlüsselung zum Schutz vor Zugriff durch Geheimdienste auf personenbezogene Daten. Die Grünen/EFA-Fraktion will verpflichtende Ende-zu-Ende-Verschlüsselung einführen, die Konservativen sind auch hier dagegen. Die Einigung besteht darin, diese Verschlüsselung „wo nötig“ verpflichtend zu machen. Die Grünen/EFA konnten durchsetzen, dass die Mitgliedstaaten keine Hintertüren bei der Verschlüsselung einführen dürfen.

 

5. Bereits übermittelte Kommunikation

Lange umstritten war auch, ob die Kommunikationsdaten - einschließlich der Inhalte der Gespräche oder Mitteilungen - auch nach der Übermittlung geschützt werden müssen, wenn sie z.B. auf einem Mail-Server gespeichert werden. Diese eigentlich selbstverständliche Vertraulichkeit von Kommunikation auch in Zeiten von Cloud-Computing konnten die Grünen/EFA nur mühsam gegen Bedenken der Konservativen durchsetzen.

 

Warum ist ausdrückliche Zustimmung wichtig?

Kommunikationsdaten sind besonders sensibel. Zu ihnen gehören Zeitpunkt, Dauer und Teilnehmerin oder Teilnehmer eines Telefonats oder einer elektronischen Nachricht, aber auch Kontakte im Adressbuch des Smart Phones, Standortdaten und Bewegungsabläufe. Die Verknüpfung dieser personenbe-zogenen Daten aus der elektronischen Kommunikation zu Profilen lässt Rückschlüsse auf individuelles Verhalten und Präferenzen zu und erlaubt sogar Vorhersagen darüber, wo jemand sich wann aufhalten wird oder mit wem er oder sie reden wird. Daher wollen wir, dass die Daten auch weiterhin grundsätzlich nur mit der Einwilligung der Betroffenen verarbeitet werden dürfen.

„Tracking“, also das Verfolgen individueller Nutzerinnen und Nutzer über viele Online-Angebote hinweg, ist eine Überwachung, die wir offline, also wenn wir in der Stadt, auf dem Land oder auf der Arbeit unterwegs sind, niemals akzeptieren würden. Wir wollen sicherstellen, dass dies auch im Internet weiterhin verboten ist und der illegale Wildwuchs effektiver bekämpft werden kann.

 

Was passiert, wenn ich nicht ausdrücklich zustimme? Kann ich dann die Dienste noch weiter nutzen?

Die Konservativen und Teile der Interessenverbände wollen, dass die Nutze-rinnen und Nutzer nur ein beschränktes Angebot erhalten, wenn sie ihrer Online-Überwachung nicht zustimmen, oder dass sie alternativ bezahlen müssen. Dies steht im Widerspruch mit dem Koppelungsverbot in der Datenschutz-grundverordnung. Die Grünen/EFA und Sozialdemokraten lehnen es daher strikt ab.

 

Wer will die ausdrückliche Zustimmung aus dem Text raushalten?

Verschiedene Interessengruppen wollen die ausdrückliche Zustimmung aus dem Text heraushalten und weniger Schutz der vertraulichen Kommunikationsdaten, als ihn die bisherige Rechtslage unter der bestehenden ePrivacy-Richtlinie aus dem Jahr 2002 garantiert. Dazu gehört vor allem die Online-Werbeindustrie, deren Geschäftsmodell seit einigen Jahren auf der Online-Überwachung durch Tracking basiert. Der inzwischen sehr undurchsichtige Markt der Online-Werbung, auf dem Anzeigenplätze in Echtzeit aufgrund der Profile der Nutzer und Nutzerinnen versteigert werden und es illegale Praktiken wie automatisierten Klickbetrug gibt, stößt aber mittlerweile auch bei großen Anzeigenkunden wie Procter & Gamble auf Ablehnung. Leider argumentieren einige Verlage, die ihre Online-Angebote mit individualisierter Werbung auf der Grundlage von Online-Überwachung finanzieren, dass eine Einschränkung ihres Geschäftsmodells dem Journalismus die finanzielle Grundlage entziehe und die freie Presse gefährde. Verlage sollten die Interessen der Verbraucherinnen und Verbraucher nicht gegen den freien Journalismus ausspielen, sondern auf andere Geschäftsmodelle wie kontextbasierte Werbung setzen.

Die Telefongesellschaften wollen Geld mit den Daten vor allem ihrer Mobilfunk-Kundinnen und -Kunden verdienen, indem sie die Bewegungsprofile für Verkehrsanalysen und Ähnliches nutzen.

Softwarefirmen wie Microsoft wollen die Inhalte von Telefonaten oder Skype-Gesprächen auswerten können, um z.B. Spracherkennungs-Algorithmen zu trainieren. Auch dies sollte unserer Meinung nach nur mit der ausdrücklichen Einwilligung der Nutzer und Nutzerinnen erlaubt sein.

 

Was sind “Metadaten“?

So genannte Metadaten (auch „Verkehrsdaten“) sind die Daten, die bei der Übermittlung einer Kommunikation anfallen. Dazu gehört z.B. die Telefonnummer, die Absender und Empfänger von Textnachrichten oder E-Mails, Datum und Uhrzeit, bei der mobilen Kommunikation auch der Standort der Funkzelle oder des Wifi-Hotspots, und generell bei der Internet-Kommunikation die IP-Adressen  von Sender und Empfänger. Standortdaten von mobilen Endgeräten erlauben eine Verfolgung der Nutzerinnen und Nutzern und sind daher besonders sensibel. Wenn unsere Krankenversicherung z.B. erfahren würde, dass wir oft auf einem Fallschirmspringer-Platz sind, würde unter Umständen unser Tarif teurer.

 

Was sind „Inhaltsdaten“?

Inhaltsdaten sind die Inhalte unserer Kommunikation, also das eigentliche Gespräch oder der Inhalt einer E-Mail oder WhatsApp-Nachricht.

 

“Metadaten“ plus „Inhaltsdaten“ = „Kommunikationsdaten“

Jan Philipp Albrecht auf Facebook

Profile
JanAlbrecht Jan Philipp Albrecht

RT @PrivacyMatters: The industry lobby battle against #ePrivacy <a must read for insight into corporate lobbying. Wow. @JanAlbrecht https:…

17. Oct 2017 Antwort Retweeten Favorit
Pressemitteilungen

Gemeinsam gegen Betrug mit EU-Geldern

Europäische Staatsanwaltschaft

Pressemitteilungen

Mit großer Mehrheit haben die Abgeordneten des Europäischen Parlaments an diesem Donnerstag zugestimmt, eine Europäische Staatsanwaltschaft („European Public Prosecutor“, EPPO) aufzubauen. Die Europäische Staatsanwaltschaft soll bei Betrug mit EU-Geldern und grenzüberschreitendem Mehrwertsteuerbetrug zu Lasten des EU-Haushalts gemeinsam mit Staatsanwaltschaften der Mitgliedstaaten ermitteln. Bereits 20 Mitgliedstaaten unterstützen den Aufbau der Europäischen Staatsanwaltschaft. Bisher nicht dabei sind die Niederlande, Polen, Ungarn, Malta, Schweden, Dänemark, Irland und Großbritannien. Nach Schätzungen der Europäischen Kommission verlieren die Steuerzahler jährlich rund 50 Milliarden Euro allein durch Mehrwertsteuerbetrug. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses begrüßt die Europäische Staatsanwaltschaft und fordert die Mitgliedstaaten auf, die Befugnisse auf Ermittlungen gegen Terror und organisierte Kriminalität zu erweitern:

„Die Europäische Staatsanwaltschaft bringt Bewegung in den Kampf gegen Betrug mit EU-Fördergeldern und grenzüberschreitenden Mehrwertsteuerbetrug. Mit einem schlagkräftigen Werkzeug der Europäischen Sicherheitsunion können EU-Gelder da landen, wo sie hingehören: in Projekten der Energiewende und im Ausbau der digitalen Infrastruktur. So stärken wir das Vertrauen der Bürger in die Europäische Union.

Jean-Claude Juncker und Emmanuel Macron blicken schon weiter, die Regierungen der EU-Mitgliedstaaten sollten sich ihren Forderungen anschließen und den Weg dafür freimachen, dass die Europäische Staatsanwaltschaft auch gegen Terror und organisierte Kriminalität ermitteln kann.

Die Europäische Staatsanwaltschaft kann ein großes gemeinschaftliches Projekt werden und die Türen stehen allen Mitgliedstaaten offen, mitzumachen. Die EU-Kommission sollte an EU-weite Ermittlungen mit starken Rechten für Angeklagte und Beschuldigte anzuknüpfen und einen Vorschlag für EU-weit hohe Standards für die Untersuchungshaft vorlegen. Der Bericht des Europäischen Parlaments zu Lebensbedingungen und Radikalisierung in Gefängnissen liefert einen guten Ansatz.“

Plenarrede von Jan Philipp Albrecht

Bericht des Europäischen Parlaments zu Lebensbedingungen und Radikalisierung in Gefängnissen

Pressemitteilungen

Fluggastdaten-Abkommen und EU-Systeme müssen überarbeitet werden

Gutachten des EuGH

Pressemitteilungen

PRESSEMITTEILUNG – Brüssel, 26. Juli 2017

Der Europäische Gerichtshof hat heute sein vom Europäischen Parlament erfragtes Gutachten zur Vereinbarkeit des Fluggastdaten-Abkommens zwischen der EU und Kanada mit dem EU-Recht vorgelegt. Die Richter kommen zu dem Ergebnis, dass das Abkommen in seiner jetzigen Form nicht verabschiedet werden darf und führen dafür vor allem die deutlich zu lange Speicherung von Fluggastdaten über den Reisezeitraum hinweg an. Auch müsse der Umfang der Daten sowie der Zweck der Analyse deutlicher eingeschränkt werden. Dazu sagt Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses sowie innen- und justizpolitischer Sprecher der Grünen/EFA-Fraktion:

„Mit dem Gutachten stellt der Gerichtshof klar, dass das Abkommen zur Fluggastdatenweitergabe mit Kanada in dieser Form nicht verabschiedet werden darf. Doch die eigentliche Botschaft ist: Alle bisher abgeschlossenen Abkommen dieser Art, also auch mit den USA und Australien, sowie die zuletzt verabschiedete EU-Richtlinie zur Schaffung solcher Sammlungen und Analysen in der EU müssen jetzt überarbeitet werden. Ihre weitere Anwendung in dieser Form wäre eine Verletzung der EU-Grundrechte auf Datenschutz und Privatleben. Insbesondere ist klar, dass der Gerichtshof eine unterschiedslose fünfjährige Speicherung nicht akzeptiert, sondern die Daten nach der Reise gelöscht werden müssen, wenn es keine Risiko- und Verdachtsanzeichen gegeben hat.

Das Gutachten des EuGH belegt dem Europäischen Gesetzgeber zum erneuten Male, dass dieser bei Sicherheits- und Überwachungsmaßnahmen über die Grenzen des Zulässigen hinausgeht. EU-Kommission, Europäisches Parlament und Mitgliedstaaten täten nun gut daran, die Grenzen von Rechtsstaat und Grundrechten ernst zu nehmen und klare Konsequenzen zu ziehen. Ansonsten werden andere Länder und auch einzelne Regierungen innerhalb der EU das Engagement ihnen gegenüber für diese Werte als unaufrichtig entlarven. Ein Weiter-so bei den bisherigen Regeln zur Fluggastdatenanalyse kann es nach diesem Gutachten nicht geben. Zudem muss auch das Urteil des Europäischen Gerichtshofs zur Rechtswidrigkeit anlassloser Vorratsdatenspeicherungen endlich in den Mitgliedstaaten umgesetzt werden.“

Hintergrund: Informationen zum Gutachten, das das Europäische Parlament auf Grundlage von Artikel 218 des EU-Vertrags auf Antrag der Grünen/EFA-Fraktion erfragt hatte.

Security in the Internet of Things?

Report about the Greens/EFA hearing on 7th June

English, Datenschutz, Digitalisierung & Netzpolitik

How to improve security for the internet of things (IoT)? When we are moving into an age where our light-bulbs, our cars, our factories, and our heating controls are connected to the internet, a lot of things can go wrong. The recent “wannacry” ransomware attack showed this when prime-time TV news reported the functional shut-down of hospitals in the UK or the closing of car factories in France. But ransomware is still only about encrypting and holding to ransom the data that is needed to work. The IoT also is about physical actuators that can potentially harm us directly.

The European Commission is preparing a new cybersecurity strategy for this autumn. Right after the wannacry attack and shortly before the summer break, it was therefore perfect timing that the Greens/EFA group in the European Parliament held a hearing on how to improve IoT security on 7th June. And we learned a lot. The programme, including the presentations, and the video recording are available at our group’s website. The event was co-organised by MEPs Jan Philipp Albrecht, Julia Reda, and Reinhard Bütikofer.

 

The scale of the problem

Prof. Dr. Udo Helmbrecht, director of the EU Network and Information Security Agency (ENISA), in his keynote gave an overview of what ENISA and other EU bodies are already doing in this field. The focus so far is on preparation for reactions to attacks, e.g. through managing the EU Computer Emergency Response Teams (CERTs). But Helmbrecht was also very clear that we need a more comprehensive approach, including stricter incentives for manufacturers and service providers, such as product liability for IoT devices and also finally for software.

Despina Spanou, Director for Digital Society, Trust and Cybersecurity in the European Commission (DG CNECT) informed about the state of discussions in the Commission. So far, they are thinking about two avenues: 1) a new (and finally permanent) mandate for ENISA, and 2) product certification. The question if such certification should be mandatory, and if there should also be liability for the manufacturers, is still open for discussion.

Lucie Krahulcova from digital rights NGO Access Now made clear that governmental hoarding of IT vulnerabilities is bad for all our security. Any approach to IT security needs to take human rights as a base-line.

Ninja Marnau from the University of Saarbrücken showed impressive recent data on botnets such as Miraj that are using physical devices. She also pointed out that many IoT devices are not replaced every two or three years like computers of smart-phones, but could be operating up to 15 or 20 years in the case of smart fridges. Also, the most wide-spead botnets have clients in Vietnam, Iran, Brazil and India and other countries, with control computers in the U.S. and other Western countries, therefore we need a global approach.

Frederike Kaltheuner from Privacy International pointed out that IoT devices can also be used to snitch on their users. Connected toilets and pace-makers can now be used against a person in legal proceedings, therefore we need to think about extending the right to remain silent to these. Kaltheuner also pointed out the information asymmetry between manufacturers, attackers, and end-users. She argued that the EU product liability directive should be updated to take IoT security into account.

Tim Philipp Schäfers and Sebastian Neef from Internetwache.org showed live on stage how you can find the control panels for wind energy installations by a simple internet search. Loads of these and other infrastructure control devices are online, but the security is often very weak, and their experience shows that often, neither the operators nor the manufacturers respond to messages that their infrastructure is vulnerable. Going through government-operated CERTS seems to help, but not in all cases, and more needs to be done.

 

Regulatory options: Liability - and what else?

At the second panel, Jan Neutze, cybersecurity policy director for Microsoft EMEA, gave some insights into the wannacry attack. The vulnerabilities were based on the NSA-owned exploits that had been leaked by the still unknown hacker group called “Shadow Brokers”. Microsoft decided in this case to even make available software updates for versions that are no longer supported, such as Windows XP. As a policy approach, he suggested a new international “Digital Geneva Convention” to ban malicious cyberattacks by governments.

Dr. Andreas Schmidt, IT consultant and author of “Secrecy vs. Openness. Internet Security and the Limits of Open Source and Peer Production”, reminded us of the history of product safety regulations. He presented three basic approaches: 1) Tackling the information deficit of regulators, manufacturers and other agents, 2) product certification as a means to establish trust on the market, 3) type approval certification that takes place before the product hits the market. He also emphasised the need to bring different communities together, such as the product safety engineers and the IT security engineers.

Dr. Leonie Tanczer from the PETRAS IoT Hub research consortium in London pointed out that the IoT is a very heterogeneous network that ranges from small sensors to factory and supply-chain devices. Currently, there are not enough security specifications and not enough incentives for the manufacturers. When regulating, one should reflect the different levels of criticality. Safety engineers also need to learn IT security. Software updates are sometimes complicated, if the patch might crash your physical set-up. Tanczer also said that rules for public procurement like in the UK could be a first step. Also, the insurance sector could be a useful risk-management facility.

Walter Van Holst, an IT lawyer from Dutch consulting firm mitopics, also supported the idea of product and software liability. He however warned to not over-do it, because software will always have errors and therefore be insecure to a certain extent. For sure, however, liability should kick in if the vulnerability is known to the manufacturer, and is not fixed for products that are sold afterwards. If a company used free and open source software in commercial products, it should also be held responsible for ensuring that bugs in that software are fixed.

Linus Neumann, spokesperson of the German Chaos Computer Club, the largest hacker organisation in Europe, suggested that any IoT device that is internet-enabled should carry a warning label saying “contains internet” or even “may contain traces of malware”. He also argued for an expiry date for such devices. The manufacturers should clearly indicate until when they will provide security updates, and after that date, the software should fall into the public domain.

 

Designated new "Digital" EU Commissioner in favour of liability rules

Two weeks after this hearing, another hearing took place in the European Parliament: The designated new EU Commissioner for the Digital Society, Mariya Gabriel from Bulgaria, was heard in a joint committee meeting (video) on 20 June about her qualifications and plans. She underlined that in order to improve IT security, she will support the introduction of product liability for IT products. As she will be ruling over the Directorate-General CNECT, the upcoming cybersecurity strategy of the Commission just became much more interesting! It might well be that our hearing helped a bit.

Richtlinie über Betrug zu Lasten der EU

Europäisches Parlament sagt Mehrwertsteuerbetrug den Kampf an

Pressemitteilungen

PRESSEMITTEILUNG – Straßburg, 15. Juni 2017

 

Der Innen- und Justizausschuss und der Haushaltskontrollausschuss des Europäischen Parlaments haben heute die Einigung mit dem Rat über die strafrechtliche Bekämpfung von Betrug zu Lasten der finanziellen Interessen der Europäischen Union („Protection of the Union's financial interests“, Pif-Richtlinie) angenommen. Die Richtlinie regelt die Strafbarkeit des Betrugs in der Europäischen Union neu und ist mit der Schaffung einer Europäischen Staatsanwaltschaft verknüpft. Neu ist, dass nun auch EU-weit einheitliche Bestimmungen zur Bekämpfung des Mehrwertsteuerbetrugs gelten. Nach Schätzungen der Europäischen Kommission verursacht Betrug bei EU-Geldern einen jährlichen Schaden von 500 Millionen Euro. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses und Schattenberichterstatter für die Europäische Staatsanwaltschaft, begrüßt die Einigung:

 

„Das Europäische Parlament sagt dem Mehrwertsteuerbetrug den Kampf an. Das Ja zum Verhandlungsergebnis stärkt den Auftrag an die Strafverfolgungsbehörden der Mitgliedstaaten und an die Europäische Staatsanwaltschaft, gegen millionenschweren grenzüberschreitenden Mehrwertsteuerbetrug vorzugehen. Betrug mit EU-Geldern ist kein Bagatelldelikt und schadet der Glaubwürdigkeit der Europäischen Union. Die Kampfansage ist auch die Botschaft an die Bürgerinnen und Bürger, dass die Europäische Union grenzübergreifender Wirtschaftskriminalität zu Lasten des EU-Haushalts nicht länger tatenlos zusehen wird.“

Potenziale und Herausforderungen in einer neuen Ära der Kommunikation

Demokratischer Diskurs 2.0

Datenschutz, Digitalisierung & Netzpolitik

Wie erreichen Medien heute und in Zukunft ihr Publikum? Wie und warum hat sich der Medienkonsum verändert, wie sieht Qualitätsjournalismus der Zukunft aus - und wer finanziert ihn? Welche Rolle spielt das Verhältnis traditioneller zu den so genannten „alternativen“ Medien? Wie beeinflussen neue Medien und technologische Trends Kampagnen und Wahlkämpfe?

Hauptredner Rasmus Kleis Nielsen vom University of Oxford Reuters Institute for the Study of Journalism gab den Input for die Debatte, zu der Jan Philipp Abrecht, MdEP, und Helga Trüpel, MdEP, am 7. Juni in das Europäische Parlament in Brüssel einluden. Der Experte für digitale Herausforderungen des Journalismus zog die Linie von EU-weit geändertem Medienkonsum, eingebrochenen Werbegewinnen der Verlage bis zur Entwicklung neuer journalistischer Projekte und Plattformen. Damit gab er den Anstoß zu Debatten über digitale Trends und die Krise des traditionellen Journalismus mit Joris van Hoboken von der Universität Amsterdam und Marta Peirano, Redakteurin der spanischen Online-Zeitung eldiario.es sowie über Wahlkampagnen mit Prof. Dr. Katharina Kleinen-von Königslöw von der Universität Hamburg, Linus Neumann vom Chaos Computer Club und Aline Robert vom Fakten-check-Projekt CrossCheck.

Die Podiumsteilnehmenden diskutierten unter anderem die Frage nach Monopolstellungen einiger weniger großer Medienhäuser kritisch. Die Konzentration mache die Arbeit unabhängiger Journalistinnen und Journalisten immer schwieriger. Gleichzeitig konkurrieren die traditionellen Medien mit immer neuen Nachrichtenportalen wie Internetplattformen wie Facebook und sehen sich Vorwürfen und gezielten Desinformationskampagnen ausgesetzt. Rasmus Kleis Nielsen wies darauf hin, dass er sich die Zeit der fünf Fernsehprogramme in seiner Kindheit nicht zurückwünsche und die Diversität der Medienlandschaft durchaus ein Fortschritt sei. Was ihm Sorgen mache, sei weniger, dass der Qualitätsjournalismus verschwinde, als dass er das Publikum der allgemein an Nachrichten Interessierten nicht mehr erreiche, das häufig nicht unterscheide, ob es sich um gut recherchierte Nachrichten oder um Fake news handele. Statt zu versuchen, die guten alten Zeiten heraufzubeschwören, müssten Journalistinnen und Journalisten mit guter Arbeit überzeugen und neue Finanzierungsmodelle entwickeln, die Rolle der Politik sei es, den Rahmen für guten und finanzierten Journalismus zu setzen.

Debatte nachhören

Rasmus Kleis Nielsen, Annika Sehl, Alessio Cornia: Public Service News and Digital Media

#DemDis