Plattformregulierung - was passiert in der EU?

Erstellt am 13.07.2017

Online-Plattformen sind in aller Munde, ob im Datenschutz, der Telekomregulierung, im Wettbewerbsrecht oder im Urheberrecht. Der Missmut über die Macht und die marktbeherrschende Stellung großer Internetunternehmen wie Facebook, Apple, Amazon oder Google wächst zunehmend. Die Frage wird immer lauter, ob neue digitale Plattformen auch neue regulatorische Instrumente verlangen. In Deutschland gibt es mit dem frisch beschlossenen Netzwerkdurchsetzungsgesetz, das gegen Hate Speech und Fake News auf sozialen Plattformen vorgehen will, ein neues Instrument. Allerdings wird diese neu beschlossene Regelung von vielen scharf als gefährlich für die Meinungsfreiheit kritisiert.

 

Ein klassisches Mittel, Internetplattformen stärker in die Verantwortung nehmen, sind z.B. kartellrechtliche Maßnahmen. Diese sind zwar langwierig, jedoch konnte erst kürzlich ein Erfolg verzeichnet werden, als die EU-Wettbewerbskommissarin Margrethe Vestager eine Rekordstrafe von 2,42 Milliarden Euro gegen Google verhängte. Als europäische Wettbewerbsbehörde wirft die Europäische Kommission Google unter anderem vor, in der Shopping-Suche eigene Dienste zu bevorzugen und damit andere zu benachteiligen.

 

Regulieren oder nicht regulieren - und wenn ja, wie?

In Brüssel ist die Debatte stark vom Wettbewerb zwischen europäischer und amerikanischer Internetwirtschaft geprägt. Hier spielt die Sorge eine Rolle, dass die EU in diesem Wettbewerb abgehängt wird. In einer öffentlichen Konsultation im Herbst 2015, versuchte die Europäische Kommission für das Phänomen „Plattform“ eine Definition zu finden. Die Konsultation ergab, dass viele Betroffene die vorgeschlagene Definition als zu weit gefasst empfanden, um als Grundlage von Regulierung zu dienen. Eine allumfassende Plattformenverordnung wird es von der EU vorerst nicht geben. Stattdessen wird das Thema Plattformen in seinen ganz unterschiedlichen Kontexten beleuchtet.

 

Im Mai 2016 veröffentlichte die Europäische Kommission eine Mitteilung mit dem Titel „Online-Plattformen im digitalen Binnenmarkt Chancen und Herausforderungen für Europa“. Darin werden die wichtigsten Fragen, die bei der Bewertung von Online-Plattformen identifiziert wurden, skizziert. Anstatt einer allumfassenden Verordnung soll branchenspezifisch vorgegangen werden. Die Kommunikation konzentriert sich auf vier Themen:

 

1. Over-the-Top-Player (OTTs), also Dienste, die Inhalte über nicht-traditionelle Übertragungskanäle, sondern über das Internet bereitstellen. Diese neuen Dienste und ihr Verhältnis zur klassischen Telekommunikationsbranche. Hier soll im Rahmen der Telekomregulierung ein „Level Playing Field”, eine Wettbewerbsgleichheit, geschaffen werden.

2. Verantwortung von Plattformen: Dieses Kapitel beschäftigt sich mit der Haftung im Rahmen der E-Commerce-Richtlinie.

3. Vertrauen: Dieses Thema beinhaltet Fragen rund um Datenschutz, Verbraucherschutz und Interoperabilität.

4. Business-to-Business-Transaktionen zwischen Plattformen, Kartellrecht und Streitschlichtung (keine konkreten Schritte geplant).

 

Das Europäische Parlament reagierte auf die Mitteilung der Europäischen Kommission mit einem Initiativbericht der Ausschüsse ITRE und IMCO, der im Mai 2017 im Plenum des Europäischen Parlaments abgestimmt wurde. Die Grünen/EFA-Fraktion konnte dem Bericht letztendlich nicht zustimmen, weil darin auch zahlreiche Aussagen zu repressiven Rechtsdurchsetzungsmaßnahmen gegenüber InternetnutzerInnenn enthalten sind, die von uns abgelehnt werden. Anknüpfungspunkt für eine gute Plattformregulierung sollten vor allem die bessere Anwendung bisheriger Pflichten sowie die Gewährleistung von Transparenz und fairem Wettbewerb durch die Plattformbetreiber sein.

Bis Ende 2017 will die Europäische Kommission eine Initiative gegen missbräuchliche Vertragsklauseln und unlautere Handelspraktiken vorbereiten, die in den Beziehungen zwischen Plattformen und Unternehmen festgestellt wurden.

 

 

Auch lesenswert:

„Internet-Plattformen: Verbieten! Öffnen! Zerschlagen!“, Leonhard Dobusch

 

 

IT-Sicherheit gewinnt an Relevanz

Erstellt am 12.07.2017

Schadprogramme wie WannaCry oder Petya, die dieses Jahr für schwerwiegende Cyberangriffe genutzt wurden, führen vor Augen, wie verwundbar wir sind, wenn Kriminelle derartige Kryptotrojaner nutzen. Kritische Infrastrukturen, wie z.B. die Computer des nationalen Gesundheitssystems (NHS) in Großbritannien und große Transportunternehmen wie die Deutsche Bahn, aber auch viele BürgerInnen sind von den Angriffen betroffen. Auch in den europäischen Institutionen gewinnt das Thema zunehmend an Relevanz.

 

Im LIBE-Ausschuss des Parlaments wird derzeit z.B. an einem vielversprechend bürgerrechtsorientierten Initiativbericht gearbeitet, der sich auf die ernsthaften Bedrohungen von IT-Sicherheitsrisiken sowie Internetkriminalität auf die Grundrechte Einzelner, die Rechtsstaatlichkeit und die Auswirkungen auf die innere Sicherheit der EU konzentriert. Im September wird der Initiativbericht im Plenum des Europäischen Parlaments abgestimmt.

 

Bis September 2017 will auch die Europäische Kommission die Cybersicherheitsstrategie von 2013 und das Mandat von ENISA, der Agentur der Europäischen Union für Netz- und Informationssicherheit, überprüfen. Ein Schwerpunkt der erwarteten Cybersicherheitsstrategie soll dabei auf Regeln für das Internet der Dinge liegen. Die neue EU-Digitalkommissarin Mariya Gabriel, die am 4. Juli 2017 vom Europäischen Parlament bestätigt wurde, sprach sich bereits mehrfach für die Einführung einer IT-Produkthaftung aus, unter anderem bei einer Frühstücksdiskussion, die wir zusammen mit ENISA in der vergangenen Plenarwoche in Straßburg organisiert haben. Wir freuen uns auf eine stärkere Zusammenarbeit zu Themen der IT-Sicherheit, Standards und Haftungsfragen.

Security in the Internet of Things?

Report about the Greens/EFA hearing on 7th June

Erstellt am 21.06.2017

How to improve security for the internet of things (IoT)? When we are moving into an age where our light-bulbs, our cars, our factories, and our heating controls are connected to the internet, a lot of things can go wrong. The recent “wannacry” ransomware attack showed this when prime-time TV news reported the functional shut-down of hospitals in the UK or the closing of car factories in France. But ransomware is still only about encrypting and holding to ransom the data that is needed to work. The IoT also is about physical actuators that can potentially harm us directly.

The European Commission is preparing a new cybersecurity strategy for this autumn. Right after the wannacry attack and shortly before the summer break, it was therefore perfect timing that the Greens/EFA group in the European Parliament held a hearing on how to improve IoT security on 7th June. And we learned a lot. The programme, including the presentations, and the video recording are available at our group’s website. The event was co-organised by MEPs Jan Philipp Albrecht, Julia Reda, and Reinhard Bütikofer.

 

The scale of the problem

Prof. Dr. Udo Helmbrecht, director of the EU Network and Information Security Agency (ENISA), in his keynote gave an overview of what ENISA and other EU bodies are already doing in this field. The focus so far is on preparation for reactions to attacks, e.g. through managing the EU Computer Emergency Response Teams (CERTs). But Helmbrecht was also very clear that we need a more comprehensive approach, including stricter incentives for manufacturers and service providers, such as product liability for IoT devices and also finally for software.

Despina Spanou, Director for Digital Society, Trust and Cybersecurity in the European Commission (DG CNECT) informed about the state of discussions in the Commission. So far, they are thinking about two avenues: 1) a new (and finally permanent) mandate for ENISA, and 2) product certification. The question if such certification should be mandatory, and if there should also be liability for the manufacturers, is still open for discussion.

Lucie Krahulcova from digital rights NGO Access Now made clear that governmental hoarding of IT vulnerabilities is bad for all our security. Any approach to IT security needs to take human rights as a base-line.

Ninja Marnau from the University of Saarbrücken showed impressive recent data on botnets such as Miraj that are using physical devices. She also pointed out that many IoT devices are not replaced every two or three years like computers of smart-phones, but could be operating up to 15 or 20 years in the case of smart fridges. Also, the most wide-spead botnets have clients in Vietnam, Iran, Brazil and India and other countries, with control computers in the U.S. and other Western countries, therefore we need a global approach.

Frederike Kaltheuner from Privacy International pointed out that IoT devices can also be used to snitch on their users. Connected toilets and pace-makers can now be used against a person in legal proceedings, therefore we need to think about extending the right to remain silent to these. Kaltheuner also pointed out the information asymmetry between manufacturers, attackers, and end-users. She argued that the EU product liability directive should be updated to take IoT security into account.

Tim Philipp Schäfers and Sebastian Neef from Internetwache.org showed live on stage how you can find the control panels for wind energy installations by a simple internet search. Loads of these and other infrastructure control devices are online, but the security is often very weak, and their experience shows that often, neither the operators nor the manufacturers respond to messages that their infrastructure is vulnerable. Going through government-operated CERTS seems to help, but not in all cases, and more needs to be done.

 

Regulatory options: Liability - and what else?

At the second panel, Jan Neutze, cybersecurity policy director for Microsoft EMEA, gave some insights into the wannacry attack. The vulnerabilities were based on the NSA-owned exploits that had been leaked by the still unknown hacker group called “Shadow Brokers”. Microsoft decided in this case to even make available software updates for versions that are no longer supported, such as Windows XP. As a policy approach, he suggested a new international “Digital Geneva Convention” to ban malicious cyberattacks by governments.

Dr. Andreas Schmidt, IT consultant and author of “Secrecy vs. Openness. Internet Security and the Limits of Open Source and Peer Production”, reminded us of the history of product safety regulations. He presented three basic approaches: 1) Tackling the information deficit of regulators, manufacturers and other agents, 2) product certification as a means to establish trust on the market, 3) type approval certification that takes place before the product hits the market. He also emphasised the need to bring different communities together, such as the product safety engineers and the IT security engineers.

Dr. Leonie Tanczer from the PETRAS IoT Hub research consortium in London pointed out that the IoT is a very heterogeneous network that ranges from small sensors to factory and supply-chain devices. Currently, there are not enough security specifications and not enough incentives for the manufacturers. When regulating, one should reflect the different levels of criticality. Safety engineers also need to learn IT security. Software updates are sometimes complicated, if the patch might crash your physical set-up. Tanczer also said that rules for public procurement like in the UK could be a first step. Also, the insurance sector could be a useful risk-management facility.

Walter Van Holst, an IT lawyer from Dutch consulting firm mitopics, also supported the idea of product and software liability. He however warned to not over-do it, because software will always have errors and therefore be insecure to a certain extent. For sure, however, liability should kick in if the vulnerability is known to the manufacturer, and is not fixed for products that are sold afterwards. If a company used free and open source software in commercial products, it should also be held responsible for ensuring that bugs in that software are fixed.

Linus Neumann, spokesperson of the German Chaos Computer Club, the largest hacker organisation in Europe, suggested that any IoT device that is internet-enabled should carry a warning label saying “contains internet” or even “may contain traces of malware”. He also argued for an expiry date for such devices. The manufacturers should clearly indicate until when they will provide security updates, and after that date, the software should fall into the public domain.

 

Designated new "Digital" EU Commissioner in favour of liability rules

Two weeks after this hearing, another hearing took place in the European Parliament: The designated new EU Commissioner for the Digital Society, Mariya Gabriel from Bulgaria, was heard in a joint committee meeting (video) on 20 June about her qualifications and plans. She underlined that in order to improve IT security, she will support the introduction of product liability for IT products. As she will be ruling over the Directorate-General CNECT, the upcoming cybersecurity strategy of the Commission just became much more interesting! It might well be that our hearing helped a bit.

Treffer 1 bis 4 von 371
<< Erste < Vorherige 1-4 5-8 9-12 13-16 17-20 21-24 25-28 Nächste > Letzte >>