EU Datenschutz

EDRi-gram 17.3, 13. Februar 2019

  1. Eine Studie bewertet die Netzneutralitätssituation in der EU
  2. Zeit für bessere Netzneutralitätsregeln
  3. Analyse des LIBE-Ausschusses: Herausforderungen des grenzüberschreitenden Zugangs zu Daten
  4. EDPB bestätigt: Privacy Shield ist immer noch eine Schande
  5. Alle Polizisten sind blind? Kontext in terroristischen Inhalten im Internet
  6. BBA Bulgarien: Das Parlament gewinnt den Titel des ‚besten‘ Datenschutzverletzers
  7. Die tschechische BBA nominiert zum 14. Mal die schlimmsten Privatsphäreneindringlinge
  8. EDRi hat einen neuen Senior Policy Advisor

Eine Studie bewertet die Netzneutralitätssituation in der EU

von Epicenter.works

Zweieinhalb Jahre nach der Verabschiedung der Leitlinien zum starken Schutz der Netzneutralität in Europa veröffentlichte das österreichische EDRi-Mitglied epicenter.works eine Studie über die Durchsetzung und den Status quo der Netzneutralität. Die Studie mit dem Titel „The Net Neutrality Situation in the EU: Evaluation of the First Two Years of Enforcement“ untersucht, ob Telekommunikationsunternehmen gegen die Netzneutralität verstoßen, wie die Regulierungsbehörden ihre Durchsetzungs- und Aufsichtspflichten erfüllen und wie sich dies auf die Internetnutzer auf dem gesamten Kontinent auswirkt.

Die Studie konzentriert sich auf die häufigste Netzneutralität in Europa, die Praxis des „Zero-Rating“. Zu diesem Zweck hat epicenter.works eine vollständige Erhebung aller Null-Rating-Angebote in Europa durchgeführt, einschließlich der Anwendungen, die von der besonderen Behandlung profitieren, dass ihre Daten von der monatlichen Datenobergrenze ausgeschlossen werden.

Die Studie hebt zwei wichtige Ergebnisse hervor:

  • dass die Nullbewertung den Verbrauchern mehr Kosten verursacht und nicht zu einem Preisverfall führt, wie ursprünglich erwartet;
  • dass es vor allem amerikanische Online-Unternehmen sind, die von Angeboten ohne Rating profitieren (mit nur drei europäischen Ausnahmen).

Für die Verbraucher war die überzeugendste Erkenntnis, dass Null-Rating-Angebote attraktiv erscheinen, weil sie „kostenlose“ Dienstleistungen versprechen, aber letztlich zu einer Erhöhung des allgemeinen Preisniveaus führen. In Märkten mit Null-Rating-Praktiken stieg der Preis für Daten im Vergleich zum Vorjahr um 2%. In Märkten ohne Null-Rating-Verfahren sank der Preis für Daten im Vergleich zum Vorjahr um 8%.

Die Studie stellt fest, dass sich seit Inkrafttreten der europäischen Netz-Neutralitätsregeln das Null-Rating bis auf zwei EU-Länder mit insgesamt 186 Null-Rating-Angeboten in Europa verbreitet hat. In einigen Ländern war der Preisunterschied zwischen den Anwendungen mit Sonderpreisen und dem Rest des Internets bis zu 70fach. Unter den 20 wichtigsten Anwendungen, die von der Nullbewertung profitieren, kommen nur drei aus Europa. Anwendungen und Dienste aus EU-Ländern werden selten mit Null bewertet, was zu dem Schluss führt, dass der europäische digitale Binnenmarkt wahrscheinlich unter diesen Netzneutralitätsverletzungen leidet. Die Daten zeigen, dass die meisten Anwendungsanbieter nur an ein bis drei Null-Rating-Angeboten teilnehmen, was deutlich zeigt, dass dieses System nicht auf einen Binnenmarkt mit über 200 Mobilfunkbetreibern skalierbar ist. Die Studie zeigt, wie die Wahlmöglichkeiten der Endnutzer eingeschränkt sind und der digitale Binnenmarkt Europas durch die neuen Markteintrittsbarrieren, die Telekommunikationsunternehmen geschaffen haben, fragmentiert wurde.

Obwohl die Regulierungsbehörden einen kohärenten Ansatz für die Durchsetzung der Netzneutralität haben sollten, wurden völlig unterschiedliche Ansätze gefunden. Einige der Urteile in Europa stehen sogar im Widerspruch zueinander, zum Beispiel im Bereich der Hafenblockade oder des Engpassmanagements. In einigen Ländern steigen die Bußgelder für Telekommunikationsunternehmen wegen Netzneutralität auf neunstellige Summen, in anderen nur auf vierstellige Summen. In Portugal und Irland gab es überhaupt keine Strafbestimmungen, während Irland derzeit den Vorsitz im Gremium der Europäischen Regulierungsbehörden für elektronische Kommunikation (GEREK) führt, das für die Reform der Netzneutralität zuständig ist.

Ein weiteres wichtiges Ergebnis der Studie ist, dass trotz der GEREK-Richtlinien, nach denen Telekommunikationsunternehmen ein Mindestmaß an Transparenz bei den Internetgeschwindigkeiten gewährleisten müssen, die Unternehmen diese Informationen nicht veröffentlichen, und die Regulierungsbehörden die Augen zudrücken.

Die Studie gibt auch Aufschluss über die anstehende Diskussion über 5G im Rahmen der Netzneutralität, da dieses Argument den Internet Service Providern (ISPs) bereits bei der anstehenden Netzneutralität auf den Tisch gelegt wird.

Der Bericht kann auf der Website von epicenter.works heruntergeladen werden, und alle Datensätze wurden als offene Daten freigegeben. Die Studie wurde von Mozilla und der Arbeiterkammer Österreich unterstützt.

(Beitrag von Iwona Laub, EDRi-Mitglied Epicenter.works, Österreich)

Zeit für bessere Netzneutralitätsregeln

von Bits of freedom

Ein niederländisches Gericht hat einen Schlag gegen starke Netzneutralitätsschutzmaßnahmen versetzt. Nach Ansicht des Gerichts kann der Mobilfunkbetreiber T-Mobile bestimmte Musikdienste weiterhin für seine Kunden in den Niederlanden bevorzugen – ein enttäuschendes Urteil, das die Notwendigkeit besserer Regeln belegt.

Mit dem Service „Data-Free Music“ hat T-Mobile das Prinzip der Netzneutralität über Bord geworfen. Dieser Dienst bietet bestimmten Musik-Streaming-Diensten eine Vorzugsbehandlung gegenüber anderen Diensten, sofern sie die von T-Mobile festgelegten Bedingungen erfüllen. Diese Praxis wird als „Null-Rating“ bezeichnet. Um eine Vorzugsbehandlung zu erhalten, muss der Anbieter des Dienstes nicht nur in die Form eines „Music Streaming Service“ im Sinne von T-Mobile passen, sondern auch die rechtlichen und technischen Anforderungen erfüllen, die wiederum von T-Mobile gestellt werden. Das bedeutet, dass Musik-Streaming-Dienste, die es nicht auf diese Liste schaffen, im Vergleich zu ihren börsennotierten Wettbewerbern in einer ungünstigeren Position sind.

Im Jahr 2018 legte das niederländische EDRi-Mitglied Bits of Freedom Berufung gegen die Entscheidung der nationalen Regulierungsbehörde (ACM) ein, nicht gegen den Dienst „Data-free Music“ von T-Mobile vorzugehen. Das Verwaltungsgericht erster Instanz hat zugunsten von T-Mobile entschieden: Der Dienst verstößt nicht gegen die Netzneutralität und das ACM muss nicht handeln.

Leider kommt das Gericht aus verfahrenstechnischen Gründen nicht zu einem materiellen Urteil über den ersten Teil der Berufung. Bits of Freedom argumentierte, dass die europäischen Netzneutralitätsregeln die Präferenzbehandlung von Traffic aus bestimmten Diensten verbieten, indem sie diesen Traffic nicht an die Nutzer weitergeben. Das Gericht verweist auf sein früheres Urteil über diesen Dienst in einem Fall zwischen T-Mobile und dem ACM. In diesem Urteil entschied es, dass sich das Verbot der Ungleichbehandlung des Verkehrs auf die technische Behandlung des Verkehrs beschränkt. Die wirtschaftliche Behandlung des Verkehrs sei nicht abgedeckt, so das Gericht. Das Gericht ist der Ansicht, dass dieses Urteil das Gericht auch in der angefochtenen Rechtssache Bits of Freedom binden wird.

Der in den europäischen Leitlinien für die Netzneutralität enthaltene Grundsatz der Nichtdiskriminierung sollte für die Behandlung des Verkehrs gelten, unabhängig davon, ob diese Behandlung eine Verzögerung oder Blockade des Verkehrs oder die Anwendung eines anderen Verkehrspreises beinhaltet. Es stimmt, dass bestimmte Formen der differenzierten technischen Behandlung des Verkehrs (sog. „Verkehrsmanagement“) nach den Netzneutralitätsregeln zulässig sind, aber das bedeutet nicht automatisch, dass sich der allgemeine Standard zur Gleichbehandlung des Verkehrs nur auf die technische Behandlung des Verkehrs beschränkt.

Im zweiten Teil der Beschwerde erläutert Bits of Freedom, warum der Null-Bewertungsdienst „Data-Free Music“ die Rechte der Endnutzer einschränkt und damit gegen die Netzneutralität verstößt. Ein wesentlicher Bestandteil der Netzneutralität ist, dass ein Internetnutzer frei bestimmen kann, welche Informationen, Dienste oder Anwendungen er nutzt, ohne dass ein Internetzugangsanbieter eingreift. T-Mobile tut genau das: Sie beeinflusst, wie bestimmte Dienste aus wirtschaftlichen Gründen behandelt werden. Das ACM stimmte diesem Argument nicht zu, und das Gericht erster Instanz bestätigte die Entscheidung von ACM leider.

Dieses Urteil macht deutlich, dass die derzeitige Auslegung der europäischen Netzneutralität durch ACM und das niederländische Gericht eine Verschlechterung gegenüber den früheren Netzneutralitätsregeln in den Niederlanden seit 2012 und vor Inkrafttreten des europäischen Gesetzes darstellt. Nach diesen Regeln dürfen die Internetzugangsanbieter die Dienste nicht ungleich behandeln, indem sie unterschiedliche Preise für den Datenverkehr verlangen. Niederländische Internetnutzer sind daher derzeit weniger vor Praktiken geschützt, die den offenen und innovativen Charakter des Internets untergraben.

Im Jahr 2019 wird das Gremium der Europäischen Regulierungsbehörden (GEREK) die Leitlinien zum Schutz der Netzneutralität überprüfen. Das aktuelle Urteil zeigt, dass es unerlässlich ist, die Anwendung der Vorschriften über die Nullbewertung und letztlich der Vorschriften selbst zu verbessern. Nur so wird eine starke Netzneutralität in Europa gewährleistet.

(Beitrag von David Korteweg, EDRi-Mitglied Bits of Freedom, Niederlande)

 

Analyse des LIBE-Ausschusses: Herausforderungen des grenzüberschreitenden Zugangs zu Daten

von Chloé Berthélémy

Am 7. Februar hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) zwei neue Arbeitsdokumente vorgelegt, in denen die Frage des grenzüberschreitenden Zugangs zu Daten in Strafsachen, auch bekannt als „E-evidence“, weiter analysiert wird.

Auf die Forderung der Berichterstatterin Birgit Sippel, mehrere problematische Aspekte des vorgeschlagenen Legislativdossiers zu prüfen und Beiträge für die weiteren Phasen im Europäischen Parlament zu leisten, hin stellten die Mitglieder des Europäischen Parlaments (MdEPs) Nuno Melo (EVP) und Daniel Dalton (ECR) ihre Forschungsarbeiten

  1. die gewählte Rechtsgrundlage im Vorschlag der Europäischen Kommission
  2. die Beziehungen zu anderen bestehenden Instrumenten im Bereich der Zusammenarbeit in Strafsachen und
  3. die Rolle der Dienstleister in diesem neuen Mechanismus.

vor.

Zweifel an der Auslegung der Rechtsgrundlage

Die Europäische Kommission stützte sich bei der Verordnung über Europäische Produktions- und Erhaltungsaufträge auf Artikel 82 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) als Rechtsgrundlage. Das Arbeitsdokument beginnt damit, dass die Möglichkeit, die neuen Rechtsakte auf Buchstabe d zu stützen, verworfen wird, wonach die gegenseitige Anerkennung von Gerichtsentscheidungen durch Erleichterung der Zusammenarbeit zwischen Justizbehörden oder gleichwertigen Behörden der Mitgliedstaaten unterstützt werden kann. Ein System, bei dem eine private Einrichtung – ein Dienstleister – Daten an eine Strafverfolgungsbehörde eines anderen Mitgliedstaats weitergeben muss, fällt nicht in den Anwendungsbereich der Zusammenarbeit zwischen den Justizbehörden. Die Argumentation bezieht sich insbesondere auf die Auslegung des Begriffs „Justizbehörde“ durch den Gerichtshof der Europäischen Union (EuGH) (Stellungnahme 1/15 zum Abkommen mit Kanada über Fluggastdatensätze) und auf frühere Instrumente, an denen Justizbehörden in zwei Mitgliedstaaten systematisch beteiligt sind.

In Anbetracht der Tatsache, dass sich der Legislativvorschlag auf Artikel 82 Absatz 1 Buchstabe a stützt, der besagt, dass Vorschriften erlassen werden können, die die unionsweite Anerkennung aller Arten von Urteilen gewährleisten, kommt die Analyse zu dem Schluss, dass die Kommission das Konzept der gegenseitigen Anerkennung weit über ihre derzeitige Anwendung hinaus vorantreibt. Der Europaabgeordnete Nuno Melo stellt daher die Angemessenheit von Artikel 82 Absatz 1 Buchstabe a) für einen Mechanismus der gegenseitigen Anerkennung in Frage, ohne systematische Beteiligung des Mitgliedstaats, in dem die Anordnung ausgeführt wird. Der geänderte Vorschlag des Rates (allgemeine Ausrichtung) sah nur eine begrenzte Notifizierung an den Vollstreckungsmitgliedstaat vor, da diese Anforderung nur für die Suche nach Inhaltsdaten und mit sehr wenigen Möglichkeiten, sich der Auftragsausführung zu widersetzen, gelten würde.

Ist eine Verordnung zu ehrgeizig?

In dem Arbeitsdokument wird darauf hingewiesen, dass europäische Rechtsinstrumente im Bereich der gegenseitigen Anerkennung im Strafrecht aufgrund der noch bestehenden nationalen kulturellen und verfassungsmäßigen Unterschiede Elemente einer Richtlinie begünstigen – Verordnungen treten in den Mitgliedstaaten unmittelbar in Kraft, während Richtlinien in nationales Recht umgesetzt werden. Zwischen den Mitgliedstaaten bestehen erhebliche Unterschiede in Bezug auf die Straftatbestände und die Höchststrafen für vergleichbare Straftaten. Nach der Rechtsprechung des EuGH muss ein Rechtsakt in der Regel eine einzige Rechtsgrundlage haben, die den Haupt- oder Hauptzweck der Maßnahme widerspiegelt. In Ausnahmefällen, wenn es zwei Zwecke gibt, ohne dass ein Zweck mit dem anderen zusammenhängt, kann ein Rechtsakt auf mehreren Rechtsgrundlagen beruhen, jedoch nur, wenn sie nicht unvereinbar sind. Da mit der vorgeschlagenen Verordnung auch eine Harmonisierung der zuständigen Anordnungsbehörden für Produktions- und Aufbewahrungsaufträge und die Erleichterung des grenzüberschreitenden Zugangs zu Daten angestrebt wird, wird in dem Arbeitspapier vorgeschlagen, dass eine andere Rechtsgrundlage für die Gültigkeit des Instruments erforderlich wäre: Artikel 82 Absatz 2. Dieser Artikel erlaubt es jedoch nur, Richtlinien zu erlassen. Infolgedessen müsste der Vorschlag für „E-Evidence“ in Form einer Richtlinie vorgelegt werden, um die beiden Ziele zu erhalten.

Die problematische Definition von „Bestandsdaten“

Der zweite Teil des Arbeitsdokuments befasst sich mit der Europäischen Ermittlungsanordnung (EIO) und dem Budapester Übereinkommen über Cyberkriminalität, um mögliche Zusammenhänge mit dem Vorschlag der Kommission zu ermitteln. „Bestandsdaten“ sind im Allgemeinen die erste Art von Daten, die bei Untersuchungen gesucht werden, da sie die Identifizierung des Verdächtigen ermöglichen und das erste Glied in der Beweiskette darstellen. Die EIO und das Cybercrime Convention gelten als eine Datenkategorie mit dem geringsten Eingriff in die Grundrechte und beseitigen rechtliche und administrative Hindernisse, um den Zugang zu erleichtern. Das Problem liegt in der Verwendung von IP-Adressen und anderen Arten von Verkehrsdaten zur Erfassung von Teilnehmerinformationen. Eine beträchtliche Menge an Verkehrsdaten einschließlich IP-Adressen, insbesondere bei dynamischer Zuweisung, muss möglicherweise verarbeitet werden, um die angeforderten Bestandsdaten zu übermitteln, und diese Verarbeitung kann zur Erstellung von Profilen von Personen führen. Während die EIO den Mitgliedstaaten die Möglichkeit gibt, zu entscheiden, ob Verkehrsdaten die gleichen Sicherheitsvorkehrungen wie für Inhaltsdaten genießen sollten oder ob sie einen „leichteren“ Ansatz wie für Bestandsdaten anwenden sollten, hat der Europäische Gerichtshof für Menschenrechte entschieden, dass zusätzliche Sicherheitsvorkehrungen erforderlich sind, wenn Verkehrsdaten massenhaft analysiert werden.

In Anbetracht dessen wird in dem Arbeitspapier die Stellungnahme des Ausschusses für das Übereinkommen über die Internetkriminalität zu der von der Kommission vorgeschlagenen neuen Datenkategorisierung erwähnt, die das Konzept der „Zugangsdaten“ einführt, die ähnlich wie die Bestandsdaten behandelt werden, aber potenziell wichtige Elemente von Verkehrsdaten enthalten. Der Ausschuss warnt vor dem weiteren Missverständnis, das die Einführung neuer Datenkategorien über die Anwendung von Regeln und Garantien durch Praktiker hervorrufen könnte.

Mehr Rechtsunsicherheit für Dienstleister

Das Arbeitsdokument des Europaabgeordneten Daniel Dalton konzentriert sich auf die Auswirkungen der neuen Instrumente auf die Dienstleister. Das derzeitige Modell der Zusammenarbeit ist freiwillig. Dienstleister überprüfen die erhaltenen Aufträge und entscheiden sich für deren Ausführung oder nicht, mit der Möglichkeit, in diesem Prozess zu beurteilen, ob die Aufträge offensichtlich fehlerhaft, willkürlich oder nicht spezifiziert sind. Mit dem Verordnungsentwurf wird das Bestellformat harmonisiert, indem eine Zertifikatsvorlage angeboten wird. Das Arbeitspapier stellt jedoch fest, dass dieses Zertifikat keine ausreichenden Informationen über den konkreten Fall liefert, damit Dienstleister ihre Bewertung weiter durchführen können.

Darüber hinaus hält der Europaabgeordnete Dalton die Auslagerung der Grundrechtsbewertung an private Unternehmen für äußerst problematisch. „Dadurch würden die Behörden des Vollstreckungsstaates grundsätzlich alle souveränen Vorrechte auf Daten oder auf die Gewährleistung der Grundrechte in ihrem Hoheitsgebiet verlieren“. Er warnt ferner davor, dass die Mitgliedstaaten angesichts der Vielfalt der Vorratsdatenspeicherungsgesetze in der EU und der unterschiedlichen Ansätze für dynamische IP-Adressen ihre souveränen Vorrechte in Bezug auf die Datenschutzrechte vor „ungerechtfertigten Eingriffen ausländischer Behörden“ schützen sollten.

Schließlich macht die Aufhebung des Erfordernisses der beiderseitigen Strafbarkeit es auch für Dienstleister kaum möglich, alle vom Vollstreckungsstaat erwarteten Verpflichtungen „zu erfüllen“, da sie möglicherweise verpflichtet sein könnten, Daten für eine Handlung zu übergeben, die in ihrem Heimatstaat keine Straftat ist. Auch die Haftung für Datenschutzverletzungen bleibt nach Ansicht von Daniel Dalton unklar, da er Zweifel daran hat, ob Erwägungsgrund 46 des Vorschlags ausreicht, um Dienstleister vor der Haftung zu schützen. Darüber hinaus wird in dem Arbeitspapier darauf hingewiesen, dass es den Mitgliedstaaten trotz des Instruments, das eine Verordnung ist, die Wahl der Modalitäten für die sichere Datenübertragung und die Authentifizierung von Bestellungen, Sanktionen und Kostenerstattungen offen lässt – was nach Ansicht von Dalton von Dienstleistern auf der Rechtsgrundlage von Artikel 82 AEUV nicht getragen werden kann. Die Verordnung verschärft die Rechtsunsicherheit für Dienstleister. Daher befürwortet das Arbeitspapier die Prüfung eines Notifizierungsmechanismus an den Vollstreckungsstaat.

(Beitrag von Chloé Berthélémy, EDRi intern)

 

EDPB bestätigt: Privacy Shield ist immer noch eine Schande

von Yannic Blaschke

Am 22. Januar 2019 verabschiedete der Europäische Datenschutzrat (EDPB) einen Bericht über die zweite jährliche Überprüfung des EU-US-Datenschutzschildes. Der Datenschutz ist eine Rahmenvereinbarung zwischen den Vereinigten Staaten und der Europäischen Union, die die Übermittlung personenbezogener Daten aus dem Gebiet der EU in die USA ermöglicht. Sie wurde ausgehandelt und angenommen, nachdem der Gerichtshof der Europäischen Union (EuGH) die „Safe Harbor“-Vereinbarung wegen mehrerer Verletzungen der Grundrechte auf Privatsphäre, Datenschutz und Zugang zu Rechtsbehelfen abgelehnt hatte. Die Überprüfung des „gleichen, aber nicht des gleichen“ Rahmens durch die EDPB bestätigt (wieder), dass der Privacy Shield weiterhin offensichtliche Probleme im Hinblick auf den Schutz der Grundrechte hat.

Als positive Entwicklung begrüßt die EDPB die Ernennung von drei neuen Mitgliedern in das Privacy and Civil Liberties Oversight Board (PCLOB) und die Ankündigung einer zukünftigen Ernennung einer ständigen Ombudsperson. Die Vorstandsmitglieder bekräftigten jedoch ihre Besorgnis, dass der Privacy Shield keinen konkreten Schutz vor der „wahllosen Erhebung und dem wahllosen Zugriff auf personenbezogene Daten für Zwecke der nationalen Sicherheit“ bietet, da sich der Rechtsrahmen, der zur Abschaffung der Safe Harbour-Vereinbarung führte, nicht wesentlich geändert hat. Insbesondere bedauert die EDPB, dass die Wiederzulassung des Abschnitts 702 des Foreign Intelligence Surveillance Act, der die Überwachung von Nicht-US-Bürgern außerhalb der USA betrifft, im Jahr 2018 von den US-Gesetzgebern in keiner Weise genutzt wurde, um zusätzliche Garantien für EU-Bürger einzuführen. Wie das EDRi-Mitglied Access Now berichtete, hat die Revision tatsächlich zu einer Erweiterung des Abschnitts 702 geführt, der letztlich weniger schützenswert ist als der bisherige Status quo. Im Zusammenhang mit der nationalen Sicherheit hält es die EDPB ferner für zutiefst problematisch, dass EU-Bürger höchstwahrscheinlich keine Chance haben, die „Standing Requirement“ nach US-Recht zu erfüllen, was bedeutet, dass sie keine Klage gegen eine gegen sie gerichtete Überwachungsmaßnahme einreichen können und somit keinen Zugang zu einem Rechtsmittel haben. Schließlich fordert der Bericht die rechtzeitige Ernennung einer ständigen Ombudsperson und eine Klärung der Zuständigkeiten dieses Amtes gegenüber der US-Geheimdienstgemeinschaft. Derzeit führt der US-Senat Anhörungen mit dem Geschäftsmann Keith Krach durch, der die ständige Ombudsperson werden könnte.

Trotz der sorgfältigen Formulierung der EDPB bei der Beschreibung der noch offenen Fragen des Privacy Shield ist ihre Kritik eine weitere Bestätigung dafür, dass die Kernverletzungen, die zum Untergang der ursprünglichen „Safe Harbour“-Vereinbarung geführt haben, unangetastet bleiben. Erstens, die Erwägung, dass die nationalen Sicherheitsbedenken der Behörden der Vereinigten Staaten absoluten Vorrang vor dem Schutz personenbezogener Daten von EU-Bürgern im Rahmen der Vereinbarung der Europäischen Kommission mit den Vereinigten Staaten hatten. Zweitens, das Fehlen eines wirksamen Rechtsbehelfsmechanismus gegen solche Praktiken der Grundrechtsverletzung für EU-Bürger. Beide waren bereits Hauptargumente für den EuGH, die Entscheidung für ungültig zu erklären (Paragraph 86-90). Die EDPB bestätigt damit indirekt, dass der Privacy Shield entgegen dem, was die Kommission immer wieder behauptet, die praktischen und rechtlichen Fragen im Zusammenhang mit der Ungültigerklärung der früheren Regelung durch das Gericht nicht korrigiert. Da die meisten der Hauptprobleme nicht ausreichend angegangen wurden, kann davon ausgegangen werden, dass die Übermittlung personenbezogener Daten an US-Unternehmen weiterhin ungeschützt vor einer missbräuchlichen Erhebung durch US-Behörden ist.

Wie die EDPB in ihren Schlussbemerkungen hervorhebt, werden die in diesem Bericht dargelegten Problembereiche auch in mehreren beim EuGH anhängigen Gerichtsverfahren geprüft.

Angesichts des offensichtlichen Versäumnisses des Privacy Shield, die früheren Anforderungen des Gerichts umzusetzen, braucht es wenig Phantasie, um zu erkennen, wie diese Entscheidungen ausgehen werden.

(Beitrag von Yannic Blaschke, EDRi intern)

 

Alle Polizisten sind blind? Kontext in terroristischen Inhalten im Internet

von Chloé Berthélémy

Der Kampf um die Kontrolle von Inhalten und Geräten im Internet steht seit der Entstehung des Internets im Mittelpunkt der Aufmerksamkeit der europäischen Politik, hat sich aber erst in den letzten Jahren verstärkt.

Ohne Rücksicht auf die wissenschaftliche Literatur über gewalttätige Radikalisierungsfaktoren führt das derzeitige Paradigma im Bereich der Terrorismusbekämpfung zu einer Vielzahl von Mechanismen, um die Entfernung schädlicher Inhalte im Internet ohne die entsprechenden Schutzmaßnahmen zu beschleunigen. Am problematischsten ist der Mechanismus, der Privatunternehmen befähigt, zur Online-Polizei zu werden, während er die Kontrollen auf Seiten der Strafverfolgungsbehörden einschränkt.

Abteilungen wurden innerhalb der Polizeikräfte eingerichtet, die mit der Entfernung von Material, das möglicherweise illegal ist oder nicht, aus dem Internet beauftragt sind. Diese Verweisungseinheiten melden den Internetplattformen Inhalte, die „wahrscheinlich“ gegen ihre Nutzungsbedingungen verstoßen, und bitten sie, die Inhalte auf freiwilliger Basis zu entfernen – genau wie andere Benutzer, die dies beim Markieren von Inhalten tun würden, aber von einer Strafverfolgungsbehörde kommen, die beschließt, ihre Ermittlungsbefugnisse nicht auszuüben, und stattdessen ein Privatunternehmen die Arbeit verrichten lässt.

In ihrem Verordnungsvorschlag zur Verhinderung der Verbreitung terroristischer Inhalte im Internet erwartet die Europäische Kommission von den „zuständigen Behörden“ (angeblich der Internen Verweisungsstelle von Europol und den nationalen Verweisungseinheiten), dass sie angeblich schädliche Inhalte in Form von Verweisungen an Plattformen melden. Online-Inhalte werden daher gemäß privater Nutzungsbedingungen auf alleinige Entscheidung privater Hosting-Provider und nicht unbedingt in Übereinstimmung mit dem Gesetz entfernt. Aufgrund dieses Verfahrens hat der Bürger keinen ausreichenden Zugang zu Rechtsbehelfen, falls sein Rechtsgut rechtswidrig entfernt wird.

Die Beschränkung der Grundrechte sollte eine Entscheidung bleiben, die nur von gerichtlichen oder unabhängigen Gerichten getroffen wird. Bei der Feststellung der Rechtmäßigkeit von Online-Inhalten ist eine fachkundige rechtliche Beurteilung unerlässlich, um Verletzungen der Meinungsfreiheit zu verhindern. Im Falle von Verweisen, die von der Europäischen Kommission gefördert werden, entfällt die gerichtliche Aufsicht völlig, und sensible Entscheidungen über die Rechtmäßigkeit werden von Plattformen unter starkem Druck der Polizeibehörden getroffen. Abgesehen von den großen Bedenken, die dieser Mechanismus im Hinblick auf die Privatisierung der Strafverfolgung und der Rechtsstaatlichkeit aufwirft, wirft er Zweifel an der Fähigkeit der Polizeikräfte auf, illegale Inhalte in erster Instanz korrekt zu identifizieren.

Die Verweisabteilungen bewerten die Rechtmäßigkeit des Daesh Parodiemagazins nicht

Da die von Polizeibeamten eingereichten Anträge viermal erfolgreicher sind als die Anträge anderer Nutzer, ist es unerlässlich, die Rolle der Polizeibehörden in der Debatte über die Regulierung von Inhalten zu hinterfragen. Die Polizeibehörden sind weder verpflichtet noch befähigt, die Rechtsvorschriften, die die Grenzen der Meinungsfreiheit festlegen, auszulegen und illegale von unangenehmen, aber nicht illegalen Inhalten zu unterscheiden.

Ein Beispiel bezieht sich auf die Verweise der belgischen und französischen Internet-Verweisstellen an das Internetarchiv. Ziel dieser Website ist der Aufbau einer digitalen Bibliothek von Websites und anderen Kulturgütern in digitaler Form, um Forschern und der Öffentlichkeit Zugang zu veröffentlichten Werken zu ermöglichen. Im Jahr 2017 wurde das Internetarchiv von beiden nationalen Behörden aufgefordert, eine digitale Kopie eines Parodiemagazins zu entfernen, das das Online-Magazin „Rumiyah“ von Daesh verspottet. Während die belgischen Behörden lediglich feststellten, dass das Hoax-Magazin „Daesh Propaganda“ teilt, vertrat die französische Zentralstelle für die Bekämpfung von Verbrechen im Zusammenhang mit Informationstechnologie und Kommunikation (OCLCTIC) die Ansicht, dass sie gegen Artikel über Terrorismus und Gewalt verstößt, die die Aufforderung zum nationalen Strafrecht darstellen.

Beim Lesen der speziell gekennzeichneten Seiten kann der Leser feststellen, dass das Magazin nur über den Niedergang der internationalen Terrororganisation und Beispiele für gescheiterte Militäroperationen berichtet, bei denen sich Selbstmordattentäter versehentlich selbst in die Luft gesprengt haben. Es ist schwierig zu behaupten, dass dieses Material Daesh-Propaganda enthält oder den Terrorismus fördert.

Abkürzung oder der lange Weg herum?

Unter den von der französischen Nationalpolizei verwiesenen Links findet sich ein gültiges Stück Daesch Propaganda, deren Zugang durch eine Anmeldepflicht geschützt ist. Die französischen Behörden fügen hinzu, dass der Hosting-Dienstleister – das Internetarchiv – von da an über die Kenntnis dieser streitigen Tatsache verfüge. Sie bezogen sich auf die mit Artikel 14 Absatz 1a der E-Commerce-Richtlinie eingeführte Haftungsfreistellung, wonach der Anbieter verpflichtet ist, die Inhalte nach Kenntnisnahme oder Sensibilisierung zu entfernen. Da die Kommission auch nicht eindeutig beantworten konnte, ob eine Verweisung eine „tatsächliche Kenntnis“ von der Rechtswidrigkeit von Inhalten begründet, bleibt das Internetarchiv unsicher, ob es im Falle einer Nicht-Entfernung mit Sanktionen rechnen muss. Entweder ist der Inhalt illegal und sollte einem gerichtlichen Löschungsbeschluss unterliegen, oder er ist es nicht.

Verweise stellen eine Abkürzung für die nationalen Strafverfolgungsbehörden dar, um Inhalte schnell löschen zu lassen, indem sie Hosting-Provider unter Druck setzen, unabhängig davon, ob die Inhalte illegal sind oder nicht – eine einfache Alternative zur Erlangung einer gerichtlichen Anordnung. Die Änderungen des Ausschusses für Binnenmarkt und Verbraucherschutz (IMCO) des Europäischen Parlaments an der Verordnung über terroristische Inhalte im Internet schlagen vor, solche Maßnahmen zu streichen. Hoffentlich wird der federführende Ausschuss, der Ausschuss für bürgerliche Freiheiten (LIBE), sie für den Abschlussbericht berücksichtigen.

(Beitrag von Chloé Berthélémy, EDRi intern)

 

BBA Bulgarien: Das Parlament gewinnt den Titel des ‚besten‘ Datenschutzverletzers

von Metamorphosis

Nach einer sechsjährigen Pause haben führende bulgarische Organisationen für digitale Rechte die Version der Big Brother Awards in ihrem Land wiederbelebt. Das Konzept der Big Brother Awards, das 1998 von dem EDRi-Mitglied Privacy International ins Leben gerufen wurde, wurde von mehreren zivilgesellschaftlichen Organisationen in Europa und darüber hinaus angenommen. Ziel der Veranstaltung ist es, das Bewusstsein für den Missbrauch personenbezogener Daten und die damit verbundenen Schäden für den Einzelnen und die Gesellschaft insgesamt zu schärfen.

Am 3. Februar 2019 wurden in Sofia die Preisträger 2018 feierlich bekannt gegeben: das bulgarische Parlament und das renommierte Bildungsinstitut Center for Education and Qualification of Pedagogical Specialists Ltd.

Da Unternehmen und private Institutionen enorme Mengen an personenbezogenen Daten sammeln, speichern und verarbeiten, um ein effizienteres Marketing und eine bessere soziale Kontrolle zu erreichen, erhielt das Veranstaltungskomitee zahlreiche Nominierungen. Das EDRi-Mitglied Internet Society Bulgaria (ISOC-Bulgarien) hat Vorschläge aus der Öffentlichkeit eingeholt. Diese wurden von einer Jury aus renommierten Persönlichkeiten des öffentlichen Lebens, darunter Anwälte, Wissenschaftler, Berater, Journalisten und Bürgerrechtler, bewertet. Anschließend vergab die Jury zwei Auszeichnungen: einen an die staatliche Institution und den anderen an die private Organisation, die sich in der Verletzung der Privatsphäre der Bürger „ausgezeichnet“ hatte.

Der Wettbewerb war heftig, wobei Regierungsinstitutionen wie die Nationale Sicherheitsbehörde, die Staatsanwaltschaft und die Anti-Korruptionskommission nominiert wurden. Schließlich ging der Big Brother Award 2018 für eine staatliche Organisation an das bulgarische Parlament für die Annahme eines neuen Gesetzes über personenbezogene Daten. Neben der Festlegung neuer Standards für den Schutz von Bürgerdaten vor Missbrauch durch Unternehmen und Institutionen legt das Gesetz spezifische Regeln für Journalisten und ihre Berichterstattung fest, wenn es das Leben und die Aktivitäten von Einzelpersonen betrifft. Das Gesetz legt Beschränkungen in Bezug auf die Auswirkungen der Offenlegung von Daten auf das persönliche Leben des Betroffenen, die Umstände, unter denen persönliche Daten einem Journalisten bekannt werden, und die Bedeutung der persönlichen Daten oder ihrer öffentlichen Offenlegung für das öffentliche Interesse fest. All diese Bestimmungen können, wenn sie von Medien und Gerichten ausgelegt werden, zu einer Gefährdung der Medienfreiheit führen, insbesondere wenn es um die Berichterstattung über die Tätigkeit von Beamten geht.

„Allein sind die Kriterien in Ordnung. Sie dienen in der Tat dem Schutz und gehen in die Richtung einer zunehmenden Sensibilität. Das Problem, das wir mit ihnen haben, ist, dass sie Nebenwirkungen haben und sich negativ auf ein anderes Menschenrecht auswirken können – das Recht auf freie Meinungsäußerung und Medienfreiheit. Sie können als Regeln für die Ausübung des journalistischen Berufs dienen, was in der Praxis einer tatsächlichen Zensur gleichkommen kann. Daher ist die Auszeichnung weniger für die Kriterien als vielmehr dafür, dass das Risiko, sie zu einer Bedrohung für die Medienfreiheit zu machen, nicht berücksichtigt wird“

erklärte Jury-Mitglied und Medienexperte Georgi Lozanov.

Dimitar Ganchev, Mitglied des Vorstands von ISOC-Bulgarien, fügte hinzu, dass ein weiterer Grund, aus dem das Parlament mit dem Preis ausgezeichnet wurde, darin bestand, dass die Abstimmung über das Gesetz ohne jegliche Debatte und mit sehr geringer Beteiligung des Gesetzgebers durchgeführt wurde.

Die privatwirtschaftliche Organisation, die den Big Brother Award ins Leben gerufen hat, ist das Center for Education and Qualification of Pedagogical Specialists Ltd. dank eines massiven Datenlecks, von dem mehr als 9.000 Schüler und mehr als 2.000 ihrer Eltern betroffen waren. Listen mit ihren personenbezogenen Daten wurden der Öffentlichkeit durch verschiedene Mechanismen zugänglich gemacht, darunter die Veröffentlichung der Daten in einem großen sozialen Netzwerk. Weitere Nominierte in der Kategorie Privatsektor waren die Kommunale Forstwirtschaft von Elin Pelin, die Sofioter Universität St. Kliment Ohridski und Trimoncium, ein medizinisches Zentrum in Plovdiv.

Keiner der Nominierten reagierte auf die Einladung zur Teilnahme an der Zeremonie. Die Veranstaltung fand jedoch ein breites Medienecho.

(Beitrag von Filip Stojanovski, EDRi-Mitglied Metamorphosis, Mazedonien)

 

Die tschechische BBA nominiert zum 14. Mal die schlimmsten Privatsphäreneindringlinge

von Iuridicum Remedium

Die 14. Big Brother Awards (BBA) in Tschechien finden am 14. Februar 2019 statt. Die Auszeichnungen für die größten Datenschutzeindringlinge im Jahr 2018 werden vom EDRi-Mitglied Iuridicum Remedium (IuRe) bekannt gegeben. Die Big Brother Awards, basierend auf einem Konzept des EDRi-Mitglieds Privacy International, sollen die Öffentlichkeit auf Datenschutzfragen und alarmierende Trends im Datenschutz aufmerksam machen.

Eine Jury, bestehend aus Experten für neue Technologien, Juristen, Menschenrechtsverteidigern und Journalisten, wählt die Gewinner aus den von der Öffentlichkeit eingereichten Nominierungen aus. Die tschechischen Big Brother Awards werden in vier Kategorien vergeben:

  1. die Auszeichnung für den größten Datenschutzeindringling auf lange Sicht
  2. die Auszeichnung für den größten Eindringling im Bereich Geschäftsdatenschutz
  3. die Auszeichnung für den größten administrativen Datenschutzeindringling
  4. die Auszeichnung für Big Brother’s Quote (für das entsetzlichste Zitat zu einem privatwirtschaftlichen Thema)

Zu den diesjährigen Nominierten gehören:

  • Facebook für große Datenlecks
  • Google für eine kontinuierliche Verfolgung der Standorte der Nutzer ohne deren Zustimmung.
  • die Demokratische Volksrepublik China für die Verwendung von Algorithmen und großen Datenmengen zur Auswahl von Personen für die Umerziehung.
  • Unternehmen für die Verwendung von Chip-Zahlungsmethoden, gefolgt von der Erhebung von Kundendaten auf Musikfestivals.
  • Initiativen, die die Einführung von Videoüberwachung in Schulen einfordern

Zusätzlich zu den Awards für die Datenschutzeindringlinge gibt es auch eine positive Auszeichnung, benannt nach Edward Snowden, die an Personen oder Projekte geht, die für die Datenschutzfragen stehen.

Die Auszeichnungen 2017 wurden an das Ministerium für Industrie und Handel (für die Datenspeicherung), an die Equa-Bank (für die Verpflichtung ihrer Kunden, den so genannten TelcoScore zur Verfügung zu stellen) und an das Parlamentsmitglied Jiří Běhounek (für seinen Vorschlag für eine Änderung des Gesetzes über Gesundheitsdienste, das einen uneingeschränkten Zugang zu elektronischen Gesundheitsdokumenten vorsieht) vergeben. Der positive Edward Snowden Award ging an Open Whisper Systems (für die Entwicklung der Open-Source-Signalanwendung für die End-to-End-verschlüsselte mobile Kommunikation).

Die Gewinner der Preise 2018 werden im Rahmen der Pressekonferenz am Morgen des 14. Februar im Cross Club Café Prag bekannt gegeben und auf der Website der tschechischen BBA Awards bekannt gegeben.

(Beitrag von EDRi-Mitglied Iuridicum Remedium, Tschechien)

 

EDRi hat einen neuen Senior Policy Advisor

von Andreea Belu

European Digital Rights ist stolz darauf, bekannt geben zu können, dass Jan Penfrat (geb. Weisensee) als neuer Senior Policy Advisor des Teams dem Brüsseler Büro beigetreten ist.

In der Vergangenheit war Jan als freiberuflicher Technologie-Reporter bei der deutschen IT-Zeitschrift Golem.de tätig, wo er sich mit Internetregulierung, IT-Sicherheit und Open-Source-Software beschäftigte. Er hat einen Master-Abschluss vom College of Europe (Belgien) und der Universität Freiburg (Deutschland) und begann seine Karriere als Politikberater für das Lobbyingunternehmen EUTOP. Jan Penfrat ist auch Mitbegründer des belgischen gemeinnützigen Privacy Training Centers.

Im Rahmen seiner Tätigkeit bei EDRi wird unser neuer Kollege für die Regulierung der Plattformen, den Zugang zu Daten („e-evidence“), Online-Desinformation, Überwachung und Telekommunikation zuständig sein.

 

Deutsche Übersetzung der englischsprachigen Originalbeiträge von Lutz Martiny.

0 Kommentare zu “EDRi-gram 17.3, 13. Februar 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.