Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.
EU Cyber Resilience Act - For safer and more secure digital products
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.
Such products suffer from two major problems adding costs for users and the society:
a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.
Two main objectives were identified aiming to ensure the proper functioning of the internal market:
1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and
2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.
Four specific objectives were set out:
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;
3. enhance the transparency of security properties of products with digital elements, and
4. enable businesses and consumers to use products with digital elements securely.
Bundeskartellamt fordert im Rahmen seiner Verbraucherschutzbefugnisse bessere Verbraucher-Informationen über die Datenverarbeitung von Smart-TVs
Das Bundeskartellamt hat heute den Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs vorgelegt. Smart-TVs sind internetfähige Fernsehgeräte, mit denen die Verbraucher über das klassische Fernsehprogramm hinaus Internetangebote wie Video-Streaming und viele weitere Informationen und Funktionen nutzen können. Sie stehen stellvertretend für viele Geräte des sog. Internet der Dinge (Internet of Things, kurz IoT).
Andreas Mundt, Präsident des Bundeskartellamtes: „Ziel muss es sein, den Nutzern von Smart-TVs – und von IoT-Geräten generell – zu deutlich mehr Souveränität über ihre eigenen Daten zu verhelfen. Fast jedes neu verkaufte Fernsehgerät ist heute ein Smart-TV. Anders als herkömmliche Fernseher bieten Smart-TVs unterschiedlichste Nutzungsmöglichkeiten im digitalen Verbraucheralltag. Bei vielen Smartfunktionen hinterlassen Verbraucher jedoch digitale Spuren. Die Empfänger der Daten nutzen diese geschäftlich und zwar meistens, ohne die Verbraucher vorab ordnungsgemäß über die Datenverarbeitung zu informieren. Das sollte sich ändern.“
Die Sektoruntersuchung hat offen gelegt, dass Smart-TVs über vielfältige Möglichkeiten verfügen, personenbezogene Daten zu erheben. Hiervon machen Unternehmen bislang in unterschiedlichem Ausmaß Gebrauch. So können etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden. Die Erhebung solch intimer Nutzungsdaten und ggf. deren Verwendung für personalisierte Werbung kann der Verbraucher zumeist durch Vornahme entsprechender Einstellungen an seinem Fernsehgerät verhindern.
Sich über die einschlägigen Datenschutzbestimmungen bereits vor dem Kauf zu informieren, ist für den Verbraucher nicht oder nur mit großem Aufwand möglich. Ist der Kauf aber erfolgt, fügen sich die Verbraucher regelmäßig in die ihnen bei der Ersteinrichtung des Geräts angezeigten Datenschutzbestimmungen und Nutzungsbedingungen, da sie hierzu keine Alternative sehen.
Das Bundeskartellamt hat festgestellt, dass die Datenschutzbestimmungen der in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel aufweisen und damit gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen. Sie sind vor allem deshalb für die Verbraucher nicht nachvollziehbar, weil sie für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen. Diese „one fits all“-Architektur führt dazu, dass die Verbraucher nicht zuverlässig erfahren, welche personenbezogenen Daten verarbeitet werden, welche Datenverarbeitungen durch welchen Nutzungsprozess ausgelöst werden, welche Daten an Dritte übermittelt werden und wie lange einzelne Daten gespeichert werden. Die Verbraucher können daher ihr Anwendungsverhalten nicht so steuern, dass sie möglichst wenige private personenbezogene Daten preisgeben.
Daneben hat das Bundeskartellamt auch Datensicherheitsrisiken der Software von Smart-TVs untersucht. Nachdem in der Vergangenheit immer wieder über Mängel berichtet wurde, hat die Sektoruntersuchung deutlich gemacht, dass sich Hersteller mit unterschiedlichem Aufwand um ein hohes Datensicherheitsniveau bemühen. Bei etlichen Herstellern ist nicht gesichert, dass der Sicherheitsstandard der Geräte auch in den Jahren nach dem Kauf durch Software-Aktualisierungen (Updates) aufrechterhalten wird. Kein Unternehmen macht verbindliche Angaben dazu, wie lange seine Produkte mit Sicherheits-Updates versehen werden. Für die Verbraucher ist diese Information jedoch unerlässlich, um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können. Der Gesetzgeber sollte in Bezug auf die Versorgung mit Software-Updates die Rechtsstellung des Verbrauchers insbesondere gegenüber Herstellern verbessern.
Das Bundeskartellamt hat zudem eine Reihe weiterer Problemfelder rechtlich analysiert, die die Verbraucher bei der Verwendung von IoT-Produkten betreffen, z. B. die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal.
Andreas Mundt weiter: „Datenschutz muss bei Smart-TVs – und auch generell bei kommunikationsfähigen Geräten des Internet of things – zu einem echten Wettbewerbsparameter werden. Wenn Verbraucher effektiv in die Lage versetzt werden, die Datenschutz- und Datensicherheitsqualität eines Produkts zu beurteilen, kann eine bewusste Nachfrage nach datenschutzfreundlichen Geräten entstehen. Das Bundeskartellamt empfiehlt Entscheidern, Unternehmen und Wissenschaft daher, auf Datenschutzinformationen hinzuwirken, die aussagekräftig sind, einfach aufgefasst werden können und bereits vor dem Kauf der Geräte verfügbar sind.“
In Anknüpfung an den Bericht empfiehlt das Bundeskartellamt:
Verbraucher sollten noch besser und zielgerichteter über die Möglichkeit zur extensiven Datensammlung und -verarbeitung von Smart-TVs und Internet of Things-Geräten insgesamt informiert und aufgeklärt werden.
Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im IoT-Bereich sollten durch entsprechende gesetzliche Regelungen geklärt werden.
Es bedarf eines klaren gesetzlich geregelten Anspruchs des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates.
Die verantwortlichen Unternehmen sollten verpflichtet werden, notwendige Informationen (Produktinformationen, Datenschutz, Voreinstellungsmöglichkeiten, etc.) klarer und einfacher zu vermitteln.
Verbrauchern sollte es leichter gemacht werden, Datenschutzstandards bei einer Kaufentscheidung zu berücksichtigen, insbesondere durch eingängige Bildsymbole.
Das Bundeskartellamt kann im Bereich des Verbraucherschutzes Untersuchungen durchführen und so Defizite identifizieren. Über die Befugnis, etwaige Rechtsverstöße per behördlicher Verfügung abzustellen, verfügt das Amt hingegen nicht (vgl. PM vom 12. Juni 2017).
Das Bundeskartellamt hatte die Sektoruntersuchung Smart-TVs im Dezember 2017 auf Basis seiner seit Mitte 2017 bestehenden verbraucherrechtlichen Kompetenzen eingeleitet (vgl. PM vom 13. Dezember 2017). Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland Smart-TVs unter eigenen Marken absetzen. Außerdem wurden Fachleute aus Praxis und Wissenschaft konsultiert.
Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.
Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger.
Die Cyber-Angriffe mit Erpressungs-Software (Ransomware) oder gezielte Angriffe auf den "Faktor Mensch" (CEO-Fraud) haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.
Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Das BSI arbeitet mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen und die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen .
Das VG Köln hat einen Eilantrag des Hersteller gegen die Untersagungsverfügung der Bundesnetzagentur hinsichtlich der Kinderpuppe Cayla mangels Eilbedürfnis abgelehnt. Da die Puppe ohnehin nicht mehr vertrieben wird, droht dem Hersteller keine Existenzgefährdung. Die rechtlichen Fragen sind in einem Hauptsacheverfahren zu klären.
Erfolgloser Eilantrag gegen Pressemitteilung der Bundesnetzagentur zur Kinderpuppe „Cayla“
Das Verwaltungsgericht Köln hat mit Beschluss vom 8. Mai 2017 einen Eilantrag gegen die Pressemitteilung der Bundesnetzagentur zur Kinderpuppe „Cayla“ abgelehnt.
Hintergrund des Verfahrens ist eine Pressemitteilung der Bundesnetzagentur vom 17. Februar 2017, wonach die Kinderpuppe „Cayla“ in Deutschland verboten sei und deshalb aus dem Verkehr gezogen werde. Gegen die weitere Verbreitung dieser Mitteilung wendete sich die ehemalige Alleinvertreiberin der Puppe.
Dieser Antrag hatte keinen Erfolg. Zur Begründung hat die Kammer ausgeführt, dass die Voraussetzungen für eine Entscheidung im Sinne der Antragstellerin nicht vorlägen. Die Antragstellerin habe kein spezifisches Eilinteresse begründen können. Sie sei durch die Pressemitteilung nicht in ihrer Existenz gefährdet, da sie nach eigenen Angaben die Puppe bereits seit einem Jahr nicht mehr vertreibe. Auch ansonsten sei keine Existenzgefährdung ersichtlich, da sie eine Vielzahl weiterer Produkte vertreibe, die von der Pressemitteilung nicht betroffen seien.
Ob die Kinderpuppe „Cayla“ tatsächlich – wie von der Antragsgegnerin in ihrer Pressemitteilung angegeben – gegen telekommunikationsrechtliche Vorschriften verstößt, bleibt einer Entscheidung im Klageverfahren vorbehalten. Diese Frage musste im vorliegenden Eilverfahren nicht entschieden werden.
Gegen den Beschluss steht den Beteiligten das Rechtsmittel der Beschwerde zu, über die das Oberverwaltungsgericht in Münster entscheidet.
In Ausgabe 5/17, S. 17 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Cayla weiß zu viel - Vernetzte Puppe als unerlaubtes Spionagewerkzeug".
Die Bundesneatzagentur ist der Ansicht, dass die sendefähige Kinderpuppe Cayla mit Mikrofon und Bluetooth eine nach § 90 TKG verbotene Spionageanlage. Die Rechtslage ist aber keineswegs so eindeutig, wie es die Bundesnetzagentur darstellt. Richtiger Ansatzpunkt ist weniger § 90 TKG, sondern das Datenschutzrecht.
Die Pressemitteilung der Bundesnetzagentur
Bundesnetzagentur zieht Kinderpuppe „Cayla“ aus dem Verkehr
Homann: "Privatsphäre ist gerade bei Kindern zu schützen"
Die Bundesnetzagentur geht gegen unerlaubte funkfähige Sendeanlagen in Kinderspielzeug vor und hat bereits erste Exemplare vom Markt genommen.
"Gegenstände, die sendefähige Kameras oder Mikrophone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen. Das gilt auch und gerade für Kinderspielzeug. Die Puppe Cayla ist verboten in Deutschland", so Jochen Homann, Präsident der Bundessnetzagentur. "Es geht hier zugleich um den Schutz der Schwächsten in der Gesellschaft".
Versteckte Spionagegeräte
Spielzeug, das funkfähig und zur heimlichen Bild- oder Tonaufnahme geeignet ist in Deutschland verboten. Erste Spielzeuge dieser Art sind auf Betreiben der Bundesnetzagentur bereits im Zusammenwirken mit Händlern vom deutschen Markt genommen.
Gerade von Spielzeug als Spionagegerät gehen Gefahren aus: Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. Über das Spielzeug könnte auch ein Unternehmen das Kind oder die Eltern individuell mit Werbung ansprechen. Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.
Weitere Produkte werden überprüft
Die Bundesnetzagentur wird noch mehr interaktives Spielzeug auf den Prüfstand stellen und wenn nötig dagegen vorgehen. Hierbei müssen immer die Voraussetzungen des § 90 TKG gegeben sein. Gegenstände müssen ihrer Form nach einen anderen Gegenstand vortäuschen oder als Gegenstände des täglichen Gebrauchs verkleidet sein und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise geeignet sein, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen. Dies gilt auch für individuell hergestellte Geräte.
Vorgehen gegen Eltern nicht geplant
Die Bundesnetzagentur informiert über die Gefahren, die von der Puppe „Cayla“ ausgehen. Sie hat bei den Händlern keine Daten der Käufer abgefragt. Eine Abfrage in Zukunft ist auch nicht beabsichtigt. Die Bundesnetzagentur geht davon aus, dass Eltern eigenverantwortlich die Puppe unschädlich machen. Die Einleitung von Verwaltungsverfahren gegen die Eltern ist derzeit nicht geplant.
Die Bundesnetzagentur handelt rein als Verwaltungsbehörde. Ob sich jemand im Zusammenhang mit den nach § 90 TKG verbotenen Spionagegeräten strafbar gemacht hat, entscheiden allein die Strafverfolgungsbehörden in jedem Einzelfall.
Die Bundesnetzagentur ist die zuständige Behörde zur Durchsetzung des Verbotes von Spionagegeräten. Weitergehende Informationen zum Thema finden Sie unter: www.bundesnetzagentur.de/spionagekameras.
Die technischen Entwicklungen im Automobilbau werden zukünftig zu Szenarien führen, in denen es technisch möglich ist, dass das technische System in bestimmten Situationen die Fahrzeugsteuerung übernehmen kann. Diese automatisierten Systeme erkennen aber ihre Grenzen und fordern den Fahrzeugführer bei Bedarf zur (Wieder)Übernahme der Fahrsteuerung auf.
Bei derart weitreichenden technischen Entwicklungen bedarf es Regelungen des Gesetzgebers zum Zusammenwirken zwischen Fahrzeugführer und dem Kraftfahrzeug mit automatisierten Fahrfunktionen.
B. Lösung
Das Straßenverkehrsgesetz (StVG) wird dahingehend ergänzt, dass Kraftfahrzeuge mit weiterentwickelten automatisierten Systemen (hoch- oder vollautomatisiert) im Verkehr auf öffentlichen Straßen in der Form eingesetzt und genutzt werden können, dass der Fahrzeugführer dem technischen System in bestimmten Situationen die Fahrzeugsteuerung übergeben kann.