11.5.2021 |
DE |
Amtsblatt der Europäischen Union |
C 183/3 |
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zur Cybersicherheitsstrategie und zur NIS-2-Richtlinie
(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.eu erhältlich)
(2021/C 183/03)
Am 16. Dezember 2020 nahm die Europäische Kommission einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 (im Folgenden „Vorschlag“) an. Parallel dazu veröffentlichten die Europäische Kommission und der Hohe Vertreter der Union für Außen- und Sicherheitspolitik eine Gemeinsame Mitteilung an das Europäische Parlament und den Rat mit dem Titel „Die Cybersicherheitsstrategie der EU für die digitale Dekade“ (im Folgenden „Strategie“).
Der EDSB unterstützt uneingeschränkt das übergeordnete Ziel der Strategie, mit der ein globales und offenes Internet mit starken Schutzvorkehrungen für die Risiken für die Sicherheit und die Grundrechte gewährleistet werden soll, wobei gleichzeitig der strategische Wert des Internets und seiner Verwaltung anerkannt und das Handeln der Union darin in einem Multi-Stakeholder-Modell ausgebaut wird.
Der EDSB begrüßt daher gleichermaßen das Ziel des Vorschlags, systemische und strukturelle Änderungen an der derzeitigen NIS-Richtlinie vorzunehmen, um ein breiteres Spektrum von Einrichtungen in der gesamten Union mit strengeren Sicherheitsmaßnahmen, einschließlich obligatorischen Risikomanagements Mindeststandards und einschlägigen Aufsichts- und Durchsetzungsbestimmungen, abzudecken. In diesem Zusammenhang hält es der EDSB für erforderlich, die Organe, Einrichtungen und sonstigen Stellen der Union vollständig in den EU-weiten Gesamtrahmen für Cybersicherheit einzubeziehen, um ein einheitliches Schutzniveau zu erreichen, indem die Organe, Einrichtungen und sonstigen Stellen der Union ausdrücklich in den Anwendungsbereich des Vorschlags einbezogen werden.
Der EDSB betont ferner, wie wichtig es ist, die Perspektive des Schutzes der Privatsphäre und des Datenschutzes in die Cybersicherheitsmaßnahmen zu integrieren, die sich aus dem Vorschlag oder aus anderen Cybersicherheitsinitiativen der Strategie ergeben, um einen ganzheitlichen Ansatz zu gewährleisten und Synergien beim Management der Cybersicherheit und beim Schutz der von ihnen verarbeiteten personenbezogenen Informationen zu ermöglichen. Ebenso wichtig ist, dass jede etwaige Einschränkung des Rechts auf Schutz personenbezogener Daten und der Privatsphäre, die sich aus solchen Maßnahmen ergibt, die in Artikel 52 der Charta der Grundrechte der Europäischen Union festgelegten Kriterien erfüllt und insbesondere durch legislative Maßnahmen erreicht wird und sowohl notwendig als auch verhältnismäßig ist.
Der EDSB begrüßt die Tatsache, dass der Vorschlag nicht versucht, die Anwendung der bestehenden EU-Rechtsvorschriften über die Verarbeitung personenbezogener Daten zu beeinträchtigen, einschließlich der Aufgaben und Befugnisse der unabhängigen Aufsichtsbehörden, denen die Überwachung der Einhaltung dieser Vorschriften obliegt. Das bedeutet, dass alle Cybersicherheitssysteme und -dienste, die an der Prävention und Erkennung von Cyberbedrohungen und der Reaktion darauf beteiligt sind, mit dem geltenden Rahmen für den Schutz der Privatsphäre und den Datenschutz im Einklang stehen sollten. In diesem Zusammenhang hält es der EDSB für wichtig und notwendig, für die Zwecke des Vorschlags eine klare und eindeutige Definition des Begriffs „Cybersicherheit“ festzulegen.
Der EDSB formuliert spezifische Empfehlungen, um sicherzustellen, dass der Vorschlag die bestehenden Rechtsvorschriften der Union zum Schutz personenbezogener Daten, insbesondere die DSGVO und die Datenschutzrichtlinie für elektronische Kommunikation, korrekt und wirksam ergänzt, indem er erforderlichenfalls auch den EDSB und den Europäischen Datenschutzausschuss einbezieht und klare Mechanismen für die Zusammenarbeit zwischen den zuständigen Behörden aus den verschiedenen Regelungsbereichen schafft.
Darüber hinaus sollten in den Bestimmungen über die Verwaltung von Registern von Internet-Domänennamen der obersten Stufe der Anwendungsbereich und die rechtlichen Bedingungen im Gesetz eindeutig festgelegt werden. Das Konzept der proaktiven Überprüfungen auf Schwachstellen von Netz- und Informationssystemen durch die CSIRT erfordert ebenfalls weitere Klarstellungen bezüglich des Umfangs und der Arten der verarbeiteten personenbezogenen Daten. Hingewiesen wird auf die Risiken für mögliche nicht konforme Datenübermittlungen im Zusammenhang mit der Auslagerung von Cybersicherheitsdiensten oder der Beschaffung von Cybersicherheitsprodukten und ihrer Lieferkette.
Der EDSB begrüßt die Forderung nach der Förderung der Verwendung von Verschlüsselung, insbesondere der End-zu-End-Verschlüsselung, und bekräftigt seinen Standpunkt zur Verschlüsselung als kritische und unersetzliche Technologie für einen wirksamen Datenschutz und Schutz der Privatsphäre, deren Umgehung den Mechanismus aufgrund seiner möglichen unrechtmäßigen Nutzung und des Verlusts des Vertrauens in Sicherheitskontrollen jeglicher Schutzfähigkeit beraubt. Zu diesem Zweck sollte klargestellt werden, dass keine Bestimmung des Vorschlags als Befürwortung einer Schwächung der End-zu-End-Verschlüsselung durch „Hintertürchen“ oder ähnliche Lösungen ausgelegt werden sollte.
1. EINLEITUNG
1. |
Am 16. Dezember 2020 nahm die Europäische Kommission einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 (1) (im Folgenden „Vorschlag“) an. |
2. |
Parallel dazu veröffentlichten die Europäische Kommission und der Hohe Vertreter der Union für Außen- und Sicherheitspolitik eine Gemeinsame Mitteilung an das Europäische Parlament und den Rat mit dem Titel „Die Cybersicherheitsstrategie der EU für die digitale Dekade“ (im Folgenden „Strategie“). (2) |
3. |
Die Strategie zielt darauf ab, die strategische Autonomie der Union im Bereich der Cybersicherheit zu stärken, ihre Resilienz und ihre kollektive Reaktion zu verbessern und ein globales und offenes Internet mit starken Schutzvorkehrungen aufzubauen, um den Risiken für die Sicherheit und die Grundrechte und Grundfreiheiten der Menschen in Europa zu begegnen. (3) |
4. |
Die Strategie enthält Vorschläge für Regulierung, Investitionen und Politikvorgaben in drei Handlungsbereichen der EU: 1) Resilienz, technologische Souveränität und Führungsrolle, 2) Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion und 3) Förderung eines globalen und offenen Cyberraums. |
5. |
Der Vorschlag ist eine der Regulierungsinitiativen der Strategie, und zwar insbesondere im Bereich Resilienz, technologische Souveränität und Führungsrolle. |
6. |
Der Begründung zufolge zielt der Vorschlag darauf ab, den bestehenden Rechtsrahmen, d. h. die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates („NIS-Richtlinie“), zu modernisieren. (4) Der Vorschlag soll auf der geltenden NIS-Richtlinie aufbauen und diese aufheben, die die erste EU-weite Rechtsvorschrift zur Cybersicherheit war und rechtliche Maßnahmen vorsieht, um das allgemeine Cybersicherheitsniveau in der Union anzuheben. Der Vorschlag trägt der zunehmenden Digitalisierung des Binnenmarkts in den letzten Jahren und einer sich verändernden Bedrohungslage im Bereich der Cybersicherheit Rechnung, die sich seit Beginn der COVID-19-Krise verschärft hat. Der Vorschlag zielt darauf ab, mehrere festgestellte Mängel der NIS-Richtlinie zu beheben, und soll die Resilienz all jener öffentlichen und privaten Sektoren, die eine wichtige Funktion für Wirtschaft und Gesellschaft erfüllen, erhöhen. |
7. |
Zu den wichtigsten Elementen des Vorschlags gehören:
|
8. |
Am 14. Januar 2021 ging beim EDSB ein Ersuchen der Europäischen Kommission um formelle Konsultation zu dem „Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148“ ein. |
3. SCHLUSSFOLGERUNGEN
77. |
Vor diesem Hintergrund spricht der EDSB folgende Empfehlungen aus: |
Zur Cybersicherheitsstrategie
— |
Es sollte berücksichtigt werden, dass der erste Schritt zur Minderung von Risiken für den Datenschutz und den Schutz der Privatsphäre in der Anwendung der Anforderungen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO besteht, was dazu beitragen wird, geeignete Garantien wie Pseudonymisierung, Verschlüsselung, Richtigkeit der Daten, Datenminimierung bei der Gestaltung und Nutzung dieser Technologien und Systeme zu integrieren; |
— |
es sollte berücksichtigt werden, dass der Einbeziehung der Perspektive des Schutzes der Privatsphäre und des Datenschutzes in Maßnahmen und Standards im Bereich der Cybersicherheit sowie in das traditionelle Cybersicherheitsmanagement große Bedeutung zukommt, um einen ganzheitlichen Ansatz zu gewährleisten und Synergien zwischen öffentlichen und privaten Organisationen zu ermöglichen, wenn es darum geht, die Cybersicherheit zu verwalten und die von ihnen verarbeiteten Informationen ohne sinnlose Mehrarbeit zu schützen; |
— |
es sollte erwogen und geplant werden, die Cybersicherheitskapazität von durch EU-Institutionen genutzten Ressourcen zu stärken, und zwar auch in einer Weise, die den Werten der EU uneingeschränkt Rechnung trägt; |
— |
es sollte der Dimension des Schutzes der Privatsphäre und des Datenschutzes der Cybersicherheit Rechnung getragen werden, indem auf Strategien, Verfahren und Instrumente gesetzt wird, bei denen die Perspektive des Schutzes der Privatsphäre und des Datenschutzes in das herkömmliche Cybersicherheitsmanagement integriert ist und bei der Verarbeitung personenbezogener Daten bei Tätigkeiten im Bereich der Cybersicherheit wirksame Datenschutzgarantien integriert sind; |
Zum Anwendungsbereich der Strategie und des Vorschlags auf die Organe, Einrichtungen und sonstigen Stellen der Union
— |
Es sollte den Bedürfnissen und der Rolle der EU-Institutionen Rechnung getragen werden, damit die EU-Institutionen in diesen EU-weiten Gesamtrahmen für Cybersicherheit als Einrichtungen integriert werden, die das gleiche hohe Schutzniveau genießen wie Einrichtungen in den Mitgliedstaaten; |
— |
es sollten die Organe, Einrichtungen und sonstigen Stellen der Union ausdrücklich in den Anwendungsbereich des Vorschlags aufgenommen werden. |
Zum Verhältnis zu den bestehenden Rechtsvorschriften der Union über den Schutz personenbezogener Daten
— |
In Artikel 2 des Vorschlags sollte klargestellt werden, dass die Rechtsvorschriften der Union über den Schutz personenbezogener Daten, insbesondere die DSGVO und die Datenschutzrichtlinie für elektronische Kommunikation, für jede Verarbeitung personenbezogener Daten gelten, die in den Anwendungsbereich des Vorschlags fällt (und nicht nur in bestimmten Kontexten); |
— |
ferner sollte in einem entsprechenden Erwägungsgrund klargestellt werden, dass der Vorschlag nicht versucht, die Anwendung der bestehenden EU-Rechtsvorschriften für die Verarbeitung personenbezogener Daten einschließlich der Aufgaben und Befugnisse der für die Überwachung der Einhaltung dieser Instrumente zuständigen Aufsichtsbehörden zu beeinträchtigen. |
Zur Definition des Begriffs „Cybersicherheit“
— |
Es sollte auf die unterschiedliche Verwendung der Begriffe „Cybersicherheit“ und „Sicherheit von Netz- und Informationssystemen“ eingegangen und klar gemacht werden, dass der Begriff „Cybersicherheit“ generell und der Begriff „Sicherheit von Netz- und Informationssystemen“ nur dann zu verwenden ist, wenn der Kontext (z. B. ein rein technischer Kontext, ohne die Auswirkungen auf die Nutzer von Systemen und andere Personen zu berücksichtigen) dies zulässt. |
Zu Domänennamen und Registrierungsdaten („WHOIS-Daten“)
— |
Es sollte klar zum Ausdruck gebracht werden, was unter „einschlägigen Angaben“ für Zwecke der Identifizierung und Kontaktierung der Inhaber von Domänennamen und der Kontaktstellen, die die Domänennamen im Rahmen der TLD verwalten, zu verstehen ist; |
— |
es sollte genauer geklärt werden, welche Kategorien von Domänenregistrierungsdaten (die keine personenbezogenen Daten darstellen) veröffentlicht werden sollten; |
— |
es sollte weiter geklärt werden, welche (öffentlichen oder privaten) Einrichtungen „berechtigte Zugangsnachfrager“ sein können; |
— |
es sollte klargestellt werden, ob die personenbezogenen Daten im Besitz der TLD-Register und der Einrichtungen, die Domänennamen-Registrierungsdienste für die TLD erbringen, auch für Einrichtungen außerhalb des EWR zugänglich sein sollten, und falls dies der Fall wäre, sollten die Bedingungen, Beschränkungen und Verfahren für diesen Zugang eindeutig festgelegt werden, wobei gegebenenfalls auch die Anforderungen von Artikel 49 Absatz 2 DSGVO zu berücksichtigen sind; |
— |
es sollte näher präzisiert werden, was ein „rechtmäßiger und hinreichend begründeter“ Antrag ist, auf dessen Grundlage und zu welchen Bedingungen der Zugang gewährt wird. |
Zur „proaktiven Überprüfung von Netz- und Informationssystemen auf Schwachstellen“ durch CSIRTs
— |
Es sollten die Arten der Schwachstellenscans, zu deren Durchführung die CSIRTs aufgefordert werden können, genauer definiert und die wichtigsten Kategorien betroffener personenbezogener Daten im Wortlaut des Vorschlags benannt werden. |
Zur Auslagerung und zu Lieferketten
— |
Bei der Bewertung der Lieferketten für Technologien und Systeme, die personenbezogene Daten verarbeiten, sollten die Merkmale berücksichtigt werden, die die wirksame Umsetzung des Grundsatzes des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ermöglichen; |
— |
bei der Bewertung der Lieferkettenrisiken von IKT-Diensten, -Systemen oder -Produkten sollten besondere Anforderungen im Herkunftsland berücksichtigt werden, die ein Hindernis für die Einhaltung der EU-Rechtsvorschriften zum Schutz der Privatsphäre und zum Datenschutz darstellen könnten; |
— |
es sollte in den verfügenden Teil und erforderlichenfalls in die koordinierte sektorale Risikobewertung gemäß Erwägungsgrund 46 die obligatorische Konsultation des EDSA bei der Festlegung der oben genannten Merkmale aufgenommen werden; |
— |
es sollte in einem Erwägungsgrund darauf hingewiesen werden, dass quelloffene Cybersicherheitsprodukte (Software und Hardware), einschließlich der Verschlüsselung offener Quellen, die nötige Transparenz bieten könnten, um spezifische Risiken in der Lieferkette zu mindern. |
Zur Verschlüsselung
— |
Es sollte in Erwägungsgrund 54 klargestellt werden, dass keine Bestimmung des Vorschlags als Befürwortung einer Schwächung der End-zu-End-Verschlüsselung durch „Hintertürchen“ oder ähnliche Lösungen ausgelegt werden sollte. |
Zu Risikomanagementmaßnahmen im Bereich der Cybersicherheit
— |
Es sollte sowohl in die Erwägungsgründe als auch in den verfügenden Teil des Vorschlags der Gedanke aufgenommen werden, dass die Einbeziehung der Perspektive Schutz der Privatsphäre und Datenschutz in das traditionelle Risikomanagement im Bereich der Cybersicherheit einen ganzheitlichen Ansatz gewährleistet und öffentlichen und privaten Organisationen bei der Verwaltung der Cybersicherheit und beim Schutz der von ihnen verarbeiteten Informationen ohne unnötige Mehrarbeit Synergien ermöglicht; |
— |
es sollte in den verfügenden Teil eine Verpflichtung für die ENISA aufgenommen werden, den EDSA bei der Ausarbeitung einschlägiger Leitlinien zu konsultieren. |
Zu Verletzungen des Schutzes personenbezogener Daten
— |
Es sollte die Formulierung „innerhalb einer angemessenen Frist“ in Artikel 32 Absatz 1 in „unverzüglich“ geändert werden; |
Zur Kooperationsgruppe
— |
Es sollte in den verfügenden Teil die Mitgliedschaft des EDSA in der Kooperationsgruppe unter Berücksichtigung des Zusammenhangs zwischen der Aufgabe dieser Gruppe und dem Datenschutzrahmen aufgenommen werden. |
Zu Zuständigkeit und Territorialität
— |
Es sollte im verfügenden Teil klargestellt werden, dass der Vorschlag die Zuständigkeiten der Datenschutzaufsichtsbehörden gemäß der DSGVO unberührt lässt; |
— |
es sollte eine umfassenden Rechtsgrundlage für die Zusammenarbeit und den Informationsaustausch zwischen zuständigen Behörden und Aufsichtsbehörden geschaffen werden, die im Rahmen ihrer jeweiligen Zuständigkeiten tätig werden; |
— |
es sollte klargestellt werden, dass nach dem Vorschlag zuständige Behörden auch in der Lage sein sollten, den zuständigen Aufsichtsbehörden nach der Verordnung (EU) 2016/679 auf Anfrage oder auf eigene Initiative alle im Zusammenhang von Prüfungen und Untersuchungen erhaltenen Informationen bereitzustellen, die sich auf die Verarbeitung personenbezogener Daten beziehen und zu diesem Zweck eine eindeutige Rechtsgrundlage vorzugeben. |
Brüssel, 11. März 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148, COM(2020) 823 final.
(2) Die Cybersicherheitsstrategie der EU für die digitale Dekade, JOIN(2020) 18 final.
(3) Siehe Kapitel I. EINLEITUNG, S. 5 der Strategie.
(4) Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).