EU Datenschutz

EDRi-gram 17.4, 27. Februar 2019

von orangebay
7. März 2019
Kommentare 0
  1. ApTI reicht Beschwerde über die Umsetzung der rumänischen DS-GVO ein
  2. Der Ruf nach Whistleblowing ist kein Verbrechen: Der Fall eines Friedensaktivisten
  3. Licht am Ende des Cybertunnels: Neue IoT-Verbrauchernorm
  4. Neues britisches Anti-Terror-Gesetz schränkt Online-Freiheiten ein
  5. ICANN und GDPR – nicht annähernd regelgerecht
  6. Google und IAB: Bewusstes Aktivieren von aufdringlichen Profilen
  7. Du kannst „einen Haufen Knochen“ nicht auf Facebook posten
  8. Pressemitteilung: SaveYourInternet.eu – Bürger sollen Upload-Filter in der EU verhindern

ApTI reicht Beschwerde über die Umsetzung der rumänischen DS-GVO ein

Von ApTI

Im November 2018 zeigte der Fall RISE Project, dass die rumänische Datenschutzbehörde (ANSPDCP oder rumänisches DPA) nicht bereit war, auf Fälle zu reagieren, die sowohl das Recht auf freie Meinungsäußerung als auch das Recht auf Privatsphäre betreffen. Die investigative Journalismusgeschichte #TeleormanLeaks des RISE-Projekts war ein wichtiges Signal, dass die Allgemeine Datenschutzverordnung (GDPR) nicht dazu verwendet werden darf, die Meinungsfreiheit einzuschränken und zu verhindern, dass Geschichten von öffentlichem Interesse in den Medien veröffentlicht werden. Mit anderen Worten, die GDPR sollte kein Hebel sein, um die freie Presse zum Schweigen zu bringen und die Offenlegung journalistischer Quellen zu verlangen.
Am 14. Februar 2019 übermittelte das rumänische EDRi-Mitglied ApTI der Europäischen Kommission eine förmliche Beschwerde wegen der problematischen Ausnahmen im rumänischen Umsetzungsgesetz der GDPR. Es ist wichtig, dass die Europäische Kommission unverzüglich handelt und ein einheitliches Schutzniveau für alle europäischen Bürger gewährleistet.

Die wichtigsten Punkte, die die Beschwerde aufwirft, sind:

1. Politische Parteien und Organisationen bekommen einen Blankoscheck für die Verarbeitung persönlicher und sensibler Daten.

Cambridge Analytica zeigte uns, wie politische Meinungen durch Microtargeting beeinflusst werden können und wie demokratische Verfahren manipuliert werden können. Das rumänische Umsetzungsgesetz von GDPR erlaubt es politischen Parteien in Rumänien, personenbezogene Daten, einschließlich sensibler Daten, zu verarbeiten, indem sie die Person einfach informieren und damit die grundlegenden europäischen Datenschutzgrundsätze außer Acht lassen (Artikel 9 des Gesetzes Nr. 190/2018). In der Praxis führt dies zu einer Legitimation von Aktivitäten wie der Cambridge Analytica, die nicht nur für den individuellen Schutz, sondern auch für die Gewährleistung freier demokratischer Prozesse große Risiken birgt.

2. Die Verarbeitung personenbezogener Daten für journalistische Zwecke ist begrenzt und stellt eine Bedrohung für die Meinungsfreiheit dar.

Rumänien hat drei begrenzte Szenarien eingeführt, in denen personenbezogene Daten für journalistische Zwecke verarbeitet werden können (Artikel 7 des Gesetzes Nr. 190/2018):

  • wenn es sich um personenbezogene Daten handelt, die von der betroffenen Person eindeutig veröffentlicht wurden;
  • wenn die personenbezogenen Daten eng mit der Qualität der betroffenen Person als öffentliche Person verbunden sind;
  • wenn die personenbezogenen Daten eng mit dem öffentlichen Charakter der Handlungen, an denen die betroffene Person beteiligt ist, verbunden sind.

Die Beschränkung von Ausnahmeregelungen für journalistische Zwecke auf die drei aufgeführten Optionen reicht nicht aus, um die Meinungsfreiheit zu gewährleisten, insbesondere die journalistische Freiheit und die Menschenrechtsrechtsprechung in dieser Hinsicht. Indem man die Szenarien auf diese beschränkt, können viele andere legitime Nutzungen behindert werden und zu Datenschutzbeschwerden führen, die in Wirklichkeit ein Instrument zur Zensur wären. Das ist nicht der Geist der GDPR und sollte sich nicht im rumänischen Umsetzungsgesetz widerspiegeln. Wenn diese Interpretation der GDPR nicht reformiert wird, wird sie zu Ungleichgewichten bei der Umsetzung der Meinungsfreiheit im Zusammenhang mit den Datenschutzgesetzen auf europäischer Ebene führen und könnte zu einem Wettlauf nach unten führen, bei dem der Datenschutz als Vorwand zur Einschränkung der Pressefreiheit dienen könnte.

3. Fehlende praktische Umsetzung im öffentlichen Sektor

Im Falle einer Datenschutzverletzung durch eine Behörde muss das nationale DPA einen Abhilfeplan erstellen, wie die Behörde den Schaden beheben soll. Der Abhilfeplan wird auch eine Umsetzungsfrist haben. Nur zehn Tage nach Ablauf dieser Frist kann die DPA eine Geldstrafe erlassen. Die rumänische Umsetzung der GDPR hat die Geldbußen für den öffentlichen Sektor zwischen 10 000 und 200 000 RON (ca. zwischen 2173 EUR und 43 478 EUR; Artikel 13 und 14 des Gesetzes Nr. 190/2018) erheblich reduziert.
Obwohl es den Mitgliedstaaten nach Artikel 83 Absatz 7 der GDPR gestattet ist, besondere Vorschriften für öffentliche Einrichtungen einzuführen, kann eine solche Bestimmung nicht als angemessener Schutz für den individuellen Schutz angesehen werden. Den Behörden fehlt die Motivation zur Umsetzung der Verordnung und sie warten passiv auf maßgeschneiderte Abhilfemaßnahmen. Dies wird zu einer zusätzlichen Belastung für das rumänische DPA führen, das bereits unterbesetzt und mit zu wenig Mitteln ausgestattet ist.
Infolgedessen werden alle angemessenen und verhältnismäßigen Sanktionen, unabhängig davon, wie schwerwiegend die Datenschutzverletzung durch Behörden ist, verschoben, bis das rumänische DPA einen maßgeschneiderten Abhilfeplan vorgelegt hat. Darüber hinaus kann diese Art des Umgangs mit Datenschutzverletzungen im öffentlichen Sektor dazu führen, dass die DPA zögert, Untersuchungen in derselben öffentlichen Einrichtung wieder aufzunehmen, da die erste Maßnahme, die die DPA ergreifen muss, darin besteht, einen Abhilfeplan zu erstellen.

Kontext, der die Reklamation auslöst: Journalismus und die DS-GVO

Im Jahr 2018 löste die Aufforderung der rumänischen DPA an RISE Project, ein investigatives Journalismusunternehmen, „journalistische Quellen“ und „Zugang“ zu Daten offenzulegen, eine Welle von Reaktionen aus. Die Europäische Kommission, der Europäische Datenschutzrat (EDPB) und die Zivilgesellschaft haben daran erinnert, dass das Recht auf Privatsphäre kein absolutes Recht ist und mit anderen grundlegenden Menschenrechten in Einklang gebracht werden muss. Die GDPR macht deutlich, dass das Recht auf Schutz personenbezogener Daten im Zusammenhang mit seiner Funktion in der Gesellschaft betrachtet und mit anderen Grundrechten, wie dem Recht auf freie Meinungsäußerung und Informationsfreiheit, in Einklang gebracht werden muss. Artikel 85 der GDPR verpflichtet die EU-Mitgliedstaaten, Ausnahmeregelungen und Ausnahmen vorzusehen, um das Recht auf Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung, einschließlich journalistischer Zwecke, in Einklang zu bringen. Darüber hinaus ist es in einer demokratischen Gesellschaft wichtig, dass Begriffe, die sich auf die Meinungsfreiheit beziehen, wie z.B. Journalismus, breit ausgelegt werden.

Die Bestimmungen über die Verarbeitung personenbezogener Daten für journalistische Zwecke bei der rumänischen Umsetzung der GDPR sind jedoch nur ein Teil des Problems. Insgesamt werfen die durch das nationale Gesetz 190/2018 eingeführten Ausnahmeregelungen ernsthafte Probleme bei der Einhaltung der Datenschutzgrundsätze, der Gewährleistung des individuellen Schutzes und der Gewährleistung demokratischer Prozesse auf.

All diese Fragen geben Anlass zu ernsthaften Bedenken hinsichtlich der Fähigkeit Rumäniens, die Unabhängigkeit und Unparteilichkeit seines DPA zu gewährleisten. Darüber hinaus ist die Art und Weise, wie sich die Behörde im Fall des RISE-Projekts verhalten hat, höchst fragwürdig und offenbart systemische Probleme, die Fragen nach einer potenziell politisch geordneten Intervention aufwerfen. Darüber hinaus verstärkt die mangelnde Transparenz bei der Wiederernennung des Präsidenten des DPA für ein anderes Mandat hinter verschlossenen Türen und ohne dass die Mitglieder des Parlamentsausschusses die Bewerbungen im Voraus kennen, die Sorge um die Unabhängigkeit des DPA.

Die Beschwerde von ApTI fordert die Europäische Kommission auf, eine umfassende Untersuchung der rumänischen Umsetzung der GDPR und ihrer praktischen Anwendung einzuleiten und eine korrekte und kohärente Umsetzung sicherzustellen.

(Beitrag von Valentina Pavel, Mozilla Fellow und EDRi-Mitglied ApTI, Rumänien)

 

Der Ruf nach Whistleblowing ist kein Verbrechen: Der Fall eines Friedensaktivisten


Von der Gesellschaft für Freiheitsrechte

Der Friedensaktivist Hermann Theisen ist von mehreren Amtsgerichten verurteilt worden, weil er Mitarbeiter von Waffenherstellern aufgefordert hat, illegale Aktivitäten ihrer Arbeitgeber aufzudecken. Der EDRi-Beobachter Gesellschaft für Freiheitsrechte (GFF) unterstützt ihn in seinen Berufungsverfahren, damit die deutschen Gerichte erkennen, dass weder Whistleblowing im öffentlichen Interesse noch die Forderung danach Straftaten sind. Am 16. Januar 2019 hat das Landgericht München als erstes Gericht Herrn Theisen freigesprochen.

Hermann Theisen ist kein Whistleblower – aber er will andere ermutigen, das Whistleblowing durchzuführen. Zur Bekämpfung illegaler Waffenexporte verteilt er regelmäßig Flugblätter an die Mitarbeiter von Waffenherstellern in der Nähe ihres Firmengeländes. In diesen Broschüren bittet er die Arbeitnehmer, darüber nachzudenken, die illegalen Aktivitäten ihrer Arbeitgeber, wie z.B. Verstöße gegen Exportbeschränkungen, zu melden. Die Broschüren beschreiben auch die rechtlichen Risiken, denen Hinweisgeber ausgesetzt sind.

Verurteilung von Hermann Theisen schüchtert potenzielle Informanten ein

Aus den Merkblättern geht hervor, dass sich die Forderungen von Herrn Theisen nicht gegen legale Geschäftsaktivitäten richten, sondern gegen illegale Waffenexporte. Dennoch verurteilten im Jahr 2018 drei Amtsgerichte in verschiedenen Teilen Deutschlands Herrn Theisen wegen „öffentlicher Aufforderung zur Offenlegung von Geschäfts- und Betriebsgeheimnissen“ und verhängten dafür eine Geldstrafe. Die Verurteilungen betreffen nicht nur Herrn Theisen persönlich, sondern schüchtern auch potenzielle Informanten ein.

Die GFF stellt fest, dass die Urteile in mehrfacher Hinsicht rechtlich fragwürdig sind. Vor allem aber ist das Verhalten, zu dem Herr Theisen angeblich angestiftet hat, keineswegs eine Straftat. Durch die Aufdeckung illegaler Geschäftsaktivitäten tragen Hinweisgeber zur Aufklärung von Straftaten bei. Dies spiegelt sich im europäischen Recht wider: nach Art. 5 der EU-Richtlinie 2016/943 über Geschäftsgeheimnisse kann die Offenlegung von Informationen über illegale Aktivitäten nicht bestraft werden. Whistleblowing ist kein Verbrechen, sondern im Gegenteil ein Akt von öffentlichem Interesse, der Mut zeigt.

Meilenstein für den Schutz von Hinweisgebern in Deutschland

Am 16. Januar 2019 vertrat das Landgericht München, bei dem Herr Theisen mit Unterstützung der GFF Berufung eingelegt hatte, die gleiche Ansicht und sprach ihn von der Anklage frei. Herr Theisen konnte sich auf die Richtlinie selbst verlassen, da Deutschland sie trotz des am 9. Juni 2018 abgelaufenen Umsetzungszeitraums noch nicht umgesetzt hat.

Es ist das erste Mal, dass die EU-Richtlinie über Geschäftsgeheimnisse von einem deutschen Gericht angewendet wird und ein Meilenstein für den Schutz von Hinweisgebern in Deutschland. Die GFF wird Herrn Theisen weiterhin unterstützen, um in seinen beiden anderen Berufungsverfahren einen Freispruch zu erhalten. Die deutsche Justiz sollte die wichtige Funktion des Whistleblowing in einer Demokratie anerkennen, und dass Whistleblower vor Strafverfolgung geschützt und nicht von ihr eingeschüchtert werden müssen.

(Beitrag der EDRi Observer Gesellschaft für Freiheitsrechte, Deutschland)

 

Licht am Ende des Cybertunnels: Neue IoT-Verbrauchernorm

Von Artikel 19

Im Februar 2019 wurden positive Fortschritte bei den Sicherheitsstandards für Consumer Internet of Things (IoT)-Geräte erzielt: Das European Telecommunications Standards Institute (ETSI) hat eine Norm mit der Nummer TS 103 645 veröffentlicht, die den ansprechenden Namen „Cyber Security for Consumer Internet of Things“ trägt. Nach dieser neuen Norm wird von konformen Produkten erwartet, dass sie über eindeutige Passwörter, eine Richtlinie zur Offenlegung von Sicherheitsrisiken und eine Reihe von Anforderungen an die Softwareintegrität und minimierte Angriffsflächen verfügen.

Als zusätzlichen Vorteil hat der ETSI-Cyber-Ausschuss gefordert, dass eine End-of-Life-Richtlinie für Geräte veröffentlicht wird, die ausdrücklich die Mindestlaufzeit, für die ein Gerät Software-Updates erhält, und die Gründe für die Dauer des Support-Zeitraums angibt.

Damit werden die Vorteile für die Verbraucher gegenüber dem Router-Standard des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhöht, der im Herbst 2018 verabschiedet und im November 2018 von der OpenWRT-Community und dem EDRi-Mitglied Chaos Computer Club (CCC) kritisiert wurde.

Die europäische Verbrauchernormungsorganisation ANEC hat sich an der Entwicklung dieser Norm beteiligt. Die ANEC hat ein institutionelles Recht auf Vertretung in der Sitzung und überwacht kontinuierlich sowohl europäische als auch internationale Normungsprozesse, insbesondere in den Normungsgremien (z.B. ETSI und International Organization for Standardization – ISO), die aus Sicht der Internet-Community typischerweise unter das Radar fallen.

Ein Nachteil des ETSI-Rahmens ist das Fehlen von Garantien für die Möglichkeiten der Verbraucher, benutzerdefinierte Firmware auf Geräten zu installieren, deren Lebensdauer abgelaufen ist. Diejenigen, die an Open-Source-Alternativen zu industrieller Firmware und Software arbeiten, müssen weiterhin mit Normenorganisationen zusammenarbeiten, um die Wahlmöglichkeiten der Verbraucher zu gewährleisten.

Dennoch wird diese ETSI-Norm, wenn sie durchgesetzt wird, größere Vorteile bieten als gleichwertige Leitlinien auf nationaler Ebene. Sie zeigt sowohl die Bedürfnisse als auch die Vorteile der europäischen Zusammenarbeit bei technischen Normen.

(Beitrag von Amelia Andersdotter, EDRi-Mitglied Artikel 19, und Rusnė Juozapaitienė, ANEC)

 

Neues britisches Anti-Terror-Gesetz schränkt Online-Freiheiten ein

Von Index on Censorship

Der Counter-Terrorism and Border Security Act 2019 wurde im Februar in Großbritannien (UK) in Kraft gesetzt, nachdem er das britische Parlament mit weniger Debatten durchlaufen hatte, als viele erhofft hatten, während Brexit die politische Agenda dominierte. Das neue Gesetz ist in vielerlei Hinsicht problematisch, einschließlich der Art und Weise, wie es die Meinungsfreiheit und den Zugang zu Informationen im Internet einschränkt. Außerdem werden umfangreiche neue Befugnisse für die Grenzsicherheit geschaffen, zu denen auch der Zugang zu Informationen auf elektronischen Geräten gehört.

Der Gesetzentwurf wurde von den Organisationen der Zivilgesellschaft heftig kritisiert, was zu einigen Änderungen am Text führte. Die Änderungen waren jedoch begrenzt und taten nicht genug, um die Meinungsfreiheit und den Zugang zu Informationen zu gewährleisten.

Das neue Gesetz kriminalisiert die Veröffentlichung von Bildern von Kleidung, Symbolen oder beispielsweise einer Flagge in einer Weise, die „begründeten Verdacht“ erregt – ein Ausdruck, der in eine niedrige gesetzliche Schwelle führt -, dass die Person, die das Bild veröffentlicht, Mitglied oder Unterstützer einer terroristischen Vereinigung ist. „Veröffentlichung“ beinhaltet die Veröffentlichung in Social Media Bildern oder Videos, die privat zu Hause aufgenommen wurden. Dies kann z.B. ein Selfie mit einem Poster im Hintergrund sein, das das Symbol einer terroristischen Organisation zeigt.

Wie bereits im EDRi-Programm berichtet, stellte der Gemischte Ausschuss für Menschenrechte des Parlaments fest, dass diese Klausel „die Gefahr birgt, dass ein riesiger Teil der Publikationen, einschließlich historischer Bilder und journalistischer Artikel, gefangen wird“. Die Berichterstatterin der Vereinten Nationen, Fionnuala Ní Aoláin, stellte in einem Beitrag, der ernste Bedenken über den Gesetzentwurf äußerte, fest, dass die Klausel die Gefahr birgt, „ein breites Spektrum legitimer Verhaltensweisen zu kriminalisieren, einschließlich der Berichterstattung von Journalisten, zivilgesellschaftlichen Organisationen oder Menschenrechtsaktivisten sowie akademischer und anderer Forschungstätigkeiten“.

Ein damit zusammenhängendes Problem ist, dass die britischen Behörden zugegeben haben, dass mindestens 14 Organisationen, die derzeit als terroristische Organisationen aufgelistet sind, die Kriterien für die Aufnahme in die Liste nicht erfüllen.

Eine weitere Klausel macht es zu einem Verbrechen, Informationen online zu beobachten oder anderweitig darauf zuzugreifen, die für eine Person, die Terrorakte begeht oder vorbereitet, nützlich sein könnten. Dazu gehört z.B. auch das Beobachten des Inhalts über die Schulter einer anderen Person, die an einem Computer sitzt.

Nach Debatten im Parlament stimmte die Regierung einer Änderung zu, die besagt, dass die Arbeit als Journalist oder die Durchführung akademischer Forschung eine akzeptable Ausrede für den Zugang zu Material im Internet ist, das für den Terrorismus nützlich sein könnte. Dies war eine positive Veränderung, aber nicht annähernd ausreichend, und die Klausel ist immer noch sehr problematisch. Es ist keine terroristische Absicht erforderlich, und wenn jemand zum Beispiel ein terroristisches Video online anschaut, weil er oder sie verstehen will, warum Menschen zum Terrorismus hingezogen werden könnten, riskiert die Person eine lange Gefängnisstrafe.

Das Gesetz führt auch weitreichende neue Grenzsicherheitsbefugnisse ein, die mit einem neuen und vage definierten Verbrechen der „feindlichen Aktivität“ verbunden sind. Unter den neuen Befugnissen kann jeder an der Grenze gestoppt werden, auch wenn kein Verdacht besteht, dass die Person an feindlichen Aktivitäten beteiligt war, und es ist ein Verbrechen, keine Fragen der Grenzbeamten zu beantworten oder ihnen die angeforderten Informationen zu übergeben. In einem Entwurf eines Verhaltenskodex, der sich an der Art und Weise orientiert, wie Grenzbeamte die Befugnisse nutzen, ist festgelegt, dass Informationen „Passwörter für elektronische Geräte enthalten können“. Während der ersten Stunde der Befragung besteht kein Anspruch auf einen Anwalt.

Es bleibt abzuwarten, wie dieser zutiefst betroffene Rechtsakt in der Praxis funktionieren wird. Wir befürchten, dass vage und überbordende Bestimmungen zu Willkür und Diskriminierung von Menschenrechtsverteidigern, Journalisten oder ethnischen Minderheiten aufgrund von bloßem Verdacht führen.

(Beitrag von Joy Hyvarinen, EDRi Observer Index on Censorship, Großbritannien)

 

 

ICANN und GDPR – nicht annähernd regelgerecht

Von Vrijschrift

Der Internet Corporation for Assigned Names and Numbers (ICANN) Initial Report of the Expedited Policy Development Process (EPDP) on the Temporary Specification for generic Top Level Domain (gTLD) Registration Data Team ist sehr schwierig zu lesen. Denn obwohl er einen ernsthaften Versuch zur Einhaltung der Allgemeinen Datenschutzverordnung (GDPR) enthält, ignoriert er die grundlegende Kritik der europäischen Datenschutzbehörden, auf die ICANN bereits vor fünfzehn Jahren hingewiesen wurde.

Das Problem ist, dass die ICANN in ihrer Rolle als globaler Hüter des Internet-Domain-Namenssystems für generische Top-Level-Domains (wie .com und.org) durch Standardvertragsklauseln alle ihre Domain-Namen-Registrare verpflichtet, nicht nur aktuelle Kontaktinformationen über Domain-Nameninhaber zu pflegen, sondern diese auch mit anderen Registraren sowie der ganzen Welt über den öffentlichen WHOIS-Verzeichnisdienst zu teilen. Das Problem besteht darin, dass dies oft zu einer unverhältnismäßigen Verarbeitung personenbezogener Daten und/oder zur Übermittlung personenbezogener Daten über die von der GDPR erfassten Personen in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) führt. Die ICANN war sich bewusst, dass ihre Politik mit dem EU-Datenschutzrecht unvereinbar ist, vor allem durch eine Stellungnahme des Vorgängers des Europäischen Datenschutzrates (EDPB), der damaligen Artikel-29-Arbeitsgruppe (WP29) im Jahr 2003. Sie hat jedoch erst vor kurzem damit begonnen, Maßnahmen zu ergreifen, um dies zu beheben.

Eines der Hauptprobleme, die von der WP29 bereits 2003 angesprochen wurden, war, dass es ohne eine klare Definition, für welche Zwecke die Daten verwendet und erhoben werden können, nicht möglich war, die Datenschutzkonformität der WHOIS-Verzeichnisdienste im Hinblick auf Rechtmäßigkeit und Verhältnismäßigkeit zu beurteilen. Der erste Bericht schlägt zwar vor, sich bei den meisten Datenverarbeitungspraktiken stark auf den „legitimen Zweck des Kontrolleurs“ als Rechtsgrundlage zu stützen, zeigt aber zu keinem Zeitpunkt, dass er diese Zwecke mit den Interessen der betroffenen Personen in Einklang gebracht hat. Diese mangelnde Verhältnismäßigkeit war ein ausdrückliches Anliegen der Stellungnahme der WP29 im Jahr 2003, und der erste Bericht bleibt weit hinter den in der Stellungnahme 05/2014 der WP 29 beschriebenen Ausgleichstests zurück.

Darüber hinaus erkennt der erste Bericht den Grundsatz der Datenminimierung nicht an. Es ist fast trivial, sich vorzustellen, wie man den im Ersten Bericht beschriebenen Zwecken dienen kann, ohne die WHOIS-Verzeichnisdaten an alle ICANN-Registrare weiterzugeben oder gar öffentlich zugänglich zu machen.

Schließlich stellt sich die grundlegende Frage nach der Rolle der Registrierstellen für Domainnamen in Konflikten zwischen Akteuren, die über das direkte Interesse an Domainnamen selbst hinausgehen. Müssen sie oder die ICANN privatisiert werden, um die Rechte an geistigem Eigentum durchzusetzen, oder müssen sie anderweitig eine solche privatisierte Durchsetzung unterstützen? Ebenso für Computerkriminalität („Cyberkriminalität“)? Wenn die Aufgabe der ICANN darin besteht, das Funktionieren des Internets zu gewährleisten, bedeutet das, dass sie es auf technischer oder funktionaler Ebene, auf politischer oder sogar rechtlicher Ebene schützen sollte?

So geheimnisvoll die Debatte über den ICANN WHOIS-Verzeichnisdienst auf den ersten Blick auch erscheinen mag, so kurz und bündig fasst sie doch viele der Bedrohungen für die digitalen Rechte zusammen, denen wir ausgesetzt sind: Privatisierung der Strafverfolgung, Überrepräsentation enger kommerzieller Interessen auf Kosten größerer Datenschutzinteressen, Zensur im Namen von IPR und grundlegende Fragen der Internet-Governance. Allerdings könnte und sollte die ICANN etwas Besseres tun. Der Weg in die Zukunft besteht darin, sich auf die Führung der Domain-Registrierungsstellen zu beschränken und andere Zwecke den Akteuren zu überlassen, die bereit und in der Lage sind, die für die Wahrnehmung einer solchen Rolle erforderlichen Garantien zu gewährleisten. Die ICANN und ihre Registrierstellen sind dafür schlecht geeignet und sollten sich davon fernhalten.

(Beitrag von Walter van Holst, EDRi-Mitglied Vrijschrift, Niederlande)

 

 

Google und IAB: Bewusstes Aktivieren von aufdringlichen Profilen

Von Yannic Blaschke

Am 28. Januar schloss sich das EDRi-Mitglied Panoptykon einer Beschwerde gegen Google und das Interactive Advertising Bureau (IAB) in Polen an, nachdem klar geworden war, dass die von diesen Unternehmen bereitgestellten Werbekategorien die Verarbeitung extrem sensibler Daten europäischer Bürger ermöglichen. Am 20. Februar wurden neue Erkenntnisse veröffentlicht, die belegen, dass sich das IAB der Inkompatibilität seiner Systeme mit der Allgemeinen Datenschutzverordnung (GDPR) bewusst ist.

Der Hintergrund der Beschwerden
Neben der Beschwerde von Panoptykon wurden in Irland von Johnny Ryan vom Browser-Unternehmen Brave und in Großbritannien von Jim Killock vom EDRi-Mitglied Open Rights Group (ORG) sowie von Michael Veale vom University College London Verfahren mit den nationalen Datenschutzbehörden (DPAs) eingeleitet. Die Beschwerdeführer stimmen zu, dass die von Google und dem IAB für die Online-Werbeauktionsbranche definierten „Real-Time Bidding“-Standards (RTB) gegen Artikel 1 Absatz 5 Buchstabe f) der Allgemeinen Datenschutzverordnung (GDPR) verstoßen, weil sie hochsensible personenbezogene Daten an Tausende von Unternehmen übermitteln. Gebotsanfragen sind notwendig, um Gebote von Werbetreibenden für die Möglichkeit zu erhalten, einer Person eine Anzeige zu schalten. Die Beschwerdeführer argumentieren jedoch, dass dies mit nicht personenbezogenen Daten sicher erreicht werden kann. Stattdessen erlauben die Standards IAB und Google die Ausstrahlung von Labels wie „Krebs“, „Sexuelle Gesundheit“ (IAB), „Drogenmissbrauch“, „Essstörung“, „Rechts-“ und „Linkspolitik“ (Google) sowie von Unique Identifiern und anderen personenbezogenen Daten in Ausschreibungen. Diese Daten werden in Artikel 9 des GDPR als „besondere Kategorie“ personenbezogener Daten geschützt.

Die Antwort des IAB Europe war, dass es lediglich eine technische Norm liefert, die von ihren Mitgliedern verwendet werden kann oder auch nicht, um gegen die Datenschutzgesetze zu verstoßen. Ihre Aussage wurde von den Beschwerdeführern sofort konterkariert, die sagten, dass das IAB nicht behaupten kann, ein bloßer Zuschauer zu sein, weil es ein System organisiert und fördert, durch das personenbezogene Daten milliardenfach am Tag ohne ausreichende Sicherheit übertragen werden. Die Online-Tracking-Branche hat in der Vergangenheit heftige Kritik von Bürgerrechtsgruppen für ihre Lobbyarbeit gegen datenschutzfördernde Technologien erhalten, z.B. hinsichtlich ihres großen Einflusses in der ePrivacy-Verordnung und im Rahmen der Umsetzung des Do Not Track Signals.

Die Mythen der AdTech Lobby, die nicht einmal sie selbst glauben.
Am 20. Februar wurden neue Beweise veröffentlicht, die belegen, dass nicht einmal das IAB seinen öffentlichen Äußerungen zur GDPR-Konformität seines RTB-Systems glaubt. Den E-Mails, die in einer Informationsanfrage offenbart wurden, wurde ein Dokument beigefügt, in dem eingeräumt wurde, dass es „technisch unmöglich ist, dass der Benutzer über vorherige Informationen über jeden für die Datenverarbeitung Verantwortlichen verfügt, der an einem Real-Time Bidding (RTB)-Szenario beteiligt ist“, und dass dies zumindest auf den ersten Blick mit der Zustimmung nach GDPR unvereinbar erscheint“. Darüber hinaus wird in den Dokumenten anerkannt, dass es keine technische Möglichkeit gibt, die Art und Weise, wie personenbezogene Daten verwendet und weitergegeben werden, nachdem sie an Tausende von Anbietern übertragen wurden, zu begrenzen. Dieses Bekenntnis wird noch verstärkt durch die konkreten technischen Beispiele, wie sensibel die über das System geteilten Daten sein können und inwieweit eine Pseudonymisierung (d.h. Daten, die von identifizierbaren Elementen getrennt gehalten werden) in der täglichen Praxis fehlt.

Die vorgelegten Beweise zeigen eine überraschende Offenheit der AdTech-Industrie über ihre wahrscheinliche Nichteinhaltung der GDPR. Das Argument, dass die „nur“ Organisation der Verarbeitung personenbezogener Daten keine Verantwortung für die spätere Nutzung des Systems mit sich bringt, erschien jedoch von Anfang an grob zu einfach, wenn man die europäische Rechtsprechung betrachtet. Zwei kürzlich ergangene Entscheidungen des Gerichtshofs der Europäischen Union (EuGH) deuten darauf hin, dass das Gegenargument des IAB nicht Bestand haben wird: Wirtschaftsakademie und Tietosuojavaltuutettu.

Tietosuojavaltuutettu ist besonders relevant für die Frage der Verantwortung von Google und IAB für die Verwendung ihrer RTB-Standards: Der Gerichtshof entschied, dass die globale Gemeinschaft der zeugen Jehovas ein gemeinsamer Kontrolleur der Daten ist, die ausschließlich von lokalen Mitgliedspredigern verarbeitet werden, da sie eine Rolle als Organisator und Förderer dieser Aktivitäten spielt. Dies hat natürlich Auswirkungen auf das IAB und Google.

Es ist schwierig, einen genauen Zeitplan für die Beschwerdeverfahren vorherzusagen, aber es wird erwartet, dass die Behörden so schnell wie möglich handeln. Schließlich geht es bei der Beschwerde um den Kernmechanismus, der die geheimnisvolle Profilerstellung jeder einzelnen Person, die ihren Fuß online setzt, und die Verfolgung ihres Privatlebens ermöglicht.

Durch die GDPR (und hoffentlich bald auch durch eine ePrivacy-Verordnung) haben Bürger und Zivilgesellschaft nun die Möglichkeit, die Sammlung, Übertragung und schließlich die Kapitalisierung der privatsten Details ihres Lebens abzulehnen. Der Überwachungskapitalismus beginnt zu bröckeln.

(Beitrag von Yannic Blaschke, EDRi intern)

 

Tschechischer BBA: Facebook und iROBOT die schlimmsten Datenschutzeindringlinge des Jahres 2018

Von Iuridicum Remedium

Die 14. tschechischen Big Brother Awards – Anti-Awards für diejenigen, die 2018 am meisten zur Bedrohung der Privatsphäre beigetragen haben – wurden am 14. Februar 2019 verkündet. Eine Jury aus neun Technologieexperten, Juristen und Journalisten wählte auf der Grundlage von Vorschlägen der Öffentlichkeit die schlimmsten Datenschutzeindringlinge aus. Die Auszeichnungen in vier verschiedenen Kategorien gingen an Facebook, die Finanzverwaltung der Tschechischen Republik, die Firma iRobot und den Politiker Petr Stuchlík. Die einzige positive Auszeichnung, benannt nach Edward Snowden, ging an BEUC, die Europäische Verbraucherorganisation.

Der „Biggest Privacy Intruder in the Long Term Perspective Award“ ging an Facebook für einen invasiven und kontinuierlich unverantwortlichen Umgang mit privaten Daten seiner Nutzer und anderer. Die datenbezogenen Aktivitäten eines der größten Data Hoovering Unternehmen der digitalen Welt waren 2018 noch alarmierender als die Skandale in den Vorjahren. Facebook hat bereits 2009 den Czech Big Brother Award erhalten. Die Jury entschied sich für Facebook aufgrund einer Reihe von Skandalen wie der Cambridge Analytica-Affäre, Sicherheitslücken, die einen unbefugten Zugriff auf Dutzende von Millionen von Konten ermöglichen, sowie unethischem Verhalten bei der Überwachung von Mobiltelefonen, die von Kindern benutzt werden. 2018 hat weitere illegale und unethische Praktiken im Zusammenhang mit personenbezogenen Daten von Facebook-Nutzern, aber auch anderen, die versuchen, dieses soziale Netzwerk zu umgehen, nachgewiesen.

Der „Größte Preis für Eindringlinge in der Verwaltung“ ging an die Finanzverwaltung der Tschechischen Republik, weil sie das Brautpaar nach Einzelheiten über ihre Hochzeitsfeier gefragt hatte. Die Finanzbehörden haben die an einem bestimmten Tag verheirateten Personen aufgefordert, Informationen über ihre Hochzeitsfeier wie Kosten, Gästezahl, Standort und Unterkunft anzugeben. Dies ist ein weiterer umstrittener Schritt im Zusammenhang mit dem neu eingeführten E-Sales-System zur Bekämpfung der Steuerhinterziehung. Sollte das Brautpaar die Daten nicht liefern, gab es eine mögliche Geldstrafe von mehreren hunderttausend tschechischen Kronen. Selbst Experten des Steuerrechts konnten sich nicht darauf einigen, dass solche Anträge gerechtfertigt sind. Doch die Finanzbehörden haben diese Praxis nicht in Frage gestellt. Sie wurde von der Generaldirektion Finanzen sowie dem Finanzminister verteidigt. Damit wurde der Preis an die gesamte Finanzverwaltung der Tschechischen Republik verliehen.

Der „Award for the biggest Corporate Data Intruder“ ging an die Firma iROBOT für Roomba-Roboter-Staubsauger, die zur Schaffung eines wirklich „intelligenten“ Haushalts beitragen sollen. Die Staubsauger können Daten über Räume sammeln, in denen sie verwendet werden – und auch Fotos machen, wie in den Datenschutzinformationen des Unternehmens selbst angegeben. Für Marketingzwecke können diese Daten mit anderen Daten verknüpft werden, die auf andere Weise erhoben werden, wie z.B. Lebensweise, Freizeitaktivitäten oder Einkommen des Kunden. Das Unternehmen beabsichtigt, die Daten mit anderen Unternehmen zu teilen.

Der „Big Brother Quote Award“ ging an den Politiker Petr Stuchlík, einen ehemaligen Kandidaten für das Amt des Bürgermeisters von Prag. Im Jahr 2018 kommentierte er die Wahlidee seiner Partei ANO, Hunderte von Sicherheitskameras in Schulen in Prag zu installieren: „Ich kann mir nicht vorstellen, warum Schulen unserem Vorschlag nicht zustimmen sollten. Das schadet nicht. Es ist immer besser, auf der sicheren Seite zu bleiben.“ Glücklicherweise waren die Vertreter einiger Schulen klüger als er und weigerten sich. Stuchlík war offensichtlich nicht der Ansicht, dass ein solcher Schritt die Privatsphäre von Lehrern, Schülern und Eltern untergraben würde. Der Preis geht an Stuchlík für den blinden Glauben, dass Kameras immer die Sicherheit an Schulen erhöhen.

Der „Positive Edward Snowden Award“ für den Datenschutz geht an BEUC, die Europäische Verbraucherorganisation. BEUC stellte einen Antrag, Google in sieben Ländern, darunter auch in der Tschechischen Republik, koordiniert zu untersuchen. Die Beschwerde weist auf Verstöße gegen die Gesetze zum Schutz personenbezogener Daten hin, wenn es darum geht, Informationen über den Standort der Nutzer dieses Internet-Riesen zu erhalten. Die Jury würdigte insbesondere das schnelle und koordinierte Vorgehen als Reaktion auf die in der Studie „Every Step You Take“ veröffentlichten Ergebnisse des norwegischen BEUC-Mitglieds Forbrukerrådet. Die Studie weist auf spezifische Praktiken hin, mit denen das Unternehmen – im Gegensatz zur Richtlinie der Allgemeinen Datenschutzverordnung (GDPR) von Google – die Nutzer manipuliert, um Zugang zu sensiblen Daten am Standort ihres Mobiltelefons zu erhalten. Die kritisierte Praxis unethischer oder gar illegaler Methoden bei der Einholung der Zustimmung zur Verarbeitung personenbezogener Daten ist leider ein weit verbreitetes Phänomen, insbesondere im digitalen Umfeld.

Die Big Brother Awards, basierend auf einem Konzept des EDRi-Mitglieds Privacy International, sollen die Öffentlichkeit auf Datenschutzfragen und alarmierende Trends im Datenschutz aufmerksam machen. In der Tschechischen Republik wird es seit 2005 jährlich vom EDRi-Mitglied Iuridicum Remedium (IuRe) organisiert.

(Contribution by EDRi member Iuridicum Remedium (IuRe), Czech Republic)

 

Du kannst „einen Haufen Knochen“ nicht auf Facebook posten

Von bits of freedom

So schockierend unsere Realität auch sein mag, manchmal muss man sich ihr stellen. Mit der Zensur eines Nachrichtenartikels über den schrecklichen Krieg im Jemen disqualifiziert sich Facebook völlig als Plattform für die öffentliche Debatte.

Diese Geschichte sollte man nicht übersehen
„Die Brust schwankend und die Augen flatternd, lag der 3-jährige Junge schweigend auf einem Krankenhausbett in der Hochlandstadt Hadscha, ein Haufen Knochen, der um Atem kämpft.“ Dies ist der erste Satz eines Artikels der New York Times über den Krieg im Jemen. Aber der Artikel beginnt eigentlich mit einem Foto. Unter der Überschrift und über diesem ersten Absatz füllt ein Bild des siebenjährigen Amal Hussain den Bildschirm. Das Bild ist erschütternd.

Der Artikel erzählt von den Schrecken der unvorstellbaren humanitären Katastrophe, die sich im Jemen ereignet. Zum dritten Mal in 20 Jahren stehen die Vereinten Nationen kurz davor, offiziell von Hungersnöten zu sprechen. Diese Geschichte muss erzählt und gehört werden, egal wie schmerzhaft sie auch sein mag.

Zensur, Zensur, Zensur, Zensur
Das war auch die Meinung der freiberuflichen Journalistin Shady Grove Oliver, die den Artikel der New York Times mit ihren Anhängern auf Facebook teilte. Bald wurde der Beitrag entfernt, weil er angeblich gegen die Community-Standards von Facebook verstößt. Warum? Das Foto zum Zeitungsartikel enthielt laut Facebook „Nacktheit oder sexuelle Aktivität“.

Der Journalist wies auf diesen beschämenden Fehler gegenüber Facebook hin, aber die Plattform blieb bei ihrer Entscheidung. Beharrlich bat Grove Oliver um eine echte Überprüfung durch einen echten Menschen. In einer Nachricht an Facebook verwies sie auf einen Artikel der Redakteure der New York Times, in dem die Zeitung ihre Entscheidung begründet, die Leser mit den schockierenden Bildern zu konfrontieren. Facebook weigerte sich immer noch, seine Entscheidung zu überdenken und blockierte stattdessen das gesamte Konto von Grove Oliver. Nur wenige Stunden später wurden das Konto und die Beiträge wieder angezeigt.

Falsche Entschuldigungen von Facebook
Am selben Tag wie der Artikel veröffentlichte die New York Times ein umfangreiches Werk, in dem sie erklärt, warum sie die schwierige Entscheidung getroffen hat, diese Fotos zu veröffentlichen. „Das ist unsere Aufgabe als Journalisten: Es zu ertragen, denen eine Stimme zu geben, die sonst verlassen, zum Opfer fallen und vergessen werden.“ Dies steht im krassen Gegensatz zu der Art und Weise, wie Facebook mit dieser wichtigen Geschichte umgegangen ist. Erstens ist die Politik der Inhaltsmoderation von Facebook offenbar so unverblümt, dass sie Fotos von abgemagerten Kindern mit „Nacktheit oder sexueller Aktivität“ verwechselt.

Zweitens erhielt die Journalistin, nachdem Facebook seinen Fehler erkannt hatte, von dem Unternehmen die üblichen ungeschickten Fauxpologien. Die Entschuldigungen wurden in einem Bildschirm mit dem Titel „Warnung“ angezeigt, gefolgt von einem Text, der angibt, dass Grove Oliver bestätigen muss, dass sie „verstanden“ hat. Keine Erklärung, wie es möglich ist, dass dies passiert ist, wie schlecht Facebook das denkt oder was es daraus gelernt hat. Und ja, was dann geschah, ist leider keine Überraschung: Wenige Stunden später wurde ein weiterer Beitrag von Grover Oliver zensiert.

Facebook disqualifiziert sich (wiedereinmal) selbst
Nicht die Fotos von Kindern sind schockierend, sondern das, was mit diesen Kindern im Jemen passiert. Und wir müssen mit dieser Geschichte konfrontiert werden. So schmerzhaft es auch sein mag, wir sollten nicht massenhaft von ihr wegblicken. Die Realität ist oft hart. Es ist gar nicht so schlimm, dass wir von Zeit zu Zeit damit konfrontiert werden. Es ist gar nicht so schlecht, dass wir uns manchmal ein wenig unwohl fühlen. Diese Konfrontation, dieses mulmige Gefühl, ist manchmal die treibende Kraft hinter dem Wandel. Deshalb schreibt die New York Times: „Wir bitten dich, nachzuschauen.“

Die Mission von Facebook ist es, „die Welt näher zusammenzubringen“. Aber wie kommen wir einander näher, solange wir das Leiden der anderen nicht sehen dürfen? Wenn Bilder von Kindern, die Opfer eines schrecklichen Krieges sind, einfach weggestrichen werden? Gehören diese Kinder nicht zu „der Welt“, die Facebook im Sinn hat? Und warum glauben wir immer noch an ein Unternehmen, das Hungersnot und Sex nicht voneinander unterscheiden kann? Oder in der Tat: dass sie es vielleicht gar nicht will?

Wieder einmal hat sich Facebook als Ort der öffentlichen Debatte völlig disqualifiziert. Mit seiner dominanten Stellung steht das Unternehmen einem kritischen Blick auf die Gräueltaten unserer Zeit im Weg. Wir müssen dringend überprüfen, wie wir miteinander kommunizieren wollen.

(Beitrag von Evelyn Austin und Rejo Zenger, EDRi-Mitglied Bits of Freedom, Niederlande; Übersetzung aus dem Niederländischen ins Englische von Martin van Veen)

 

Pressemitteilung: SaveYourInternet.eu – Bürger sollen Upload-Filter in der EU verhindern

Von Andreea Belu

Am 26. Februar 2019 starten European Digital Rights und Partnerorganisationen aus ganz Europa die Kampagne SaveYourInternet.eu neu – mit neuen Elementen in der „Toolbox“. Heute haben wir auf unserer Website die Aktion unseres österreichischen Mitglieds epicenter.works hinzugefügt: pledge2019.eu. Die vom EDRi-Netzwerk verwaltete Kampagne hat sich zur wichtigsten Plattform für interessierte Bürger entwickelt, die sich mit den politischen Entscheidungsträgern der EU über die vorgeschlagene Implementierung von Upload-Filtern in der Europäischen Union in Verbindung setzen möchten.

Pledge2019.eu ermöglicht es Wählern aus allen EU-Mitgliedstaaten, ihre Vertreter kostenlos anzurufen und sie zu überzeugen, sich zu verpflichten, die in Artikel 13 des umstrittenen Vorschlags für die EU-Urheberrechtsrichtlinie enthaltenen Uploadfilter abzulehnen. Die Bürger werden ermutigt, die Haltung der Parlamentarier zu Artikel 13 zu berücksichtigen, wenn sie für die Wahlen zum Europäischen Parlament im Mai 2019 stimmen.

Ein Mitglied des Europäischen Parlaments (MdEP Axel Voss) und zwei große Mitgliedstaaten (Deutschland und Frankreich) haben Musikinvestoren zu Gesetzgebern gemacht und dabei die Beiträge von Wissenschaftlern, dem Erfinder des World Wide Web, der Zivilgesellschaft und sogar des UN-Sonderberichterstatters für Meinungsfreiheit ignoriert. Es liegt nun an den Menschen in der gesamten EU, die Sache richtig zu stellen und ihrer Stimme Gehör zu verschaffen,

sagte Diego Naranjo – Senior Policy Advisor bei EDRi.

Die endgültige Abstimmung im Europäischen Parlament kann bereits im März stattfinden, wobei der genaue Termin noch bekannt gegeben werden muss. Die (ab heute) 751 Vertreter aus allen Mitgliedstaaten haben dann die Möglichkeit, Upload-Filter in der Urheberrechtsrichtlinie abzulehnen.

Die Europäer haben sich gegen das Hochladen von Filtern in einer Petition ausgesprochen, die sich auf rekordverdächtige fünf Millionen Unterschriften zubewegt,

so Bernhard Hayden, Urheberrechtsexperte bei epicenter.works.

Fehlinformationen, die von privaten Interessen angeheizt wurden, versuchten jedoch, diese betroffenen Bürger als „Bots“ darzustellen.

Es wurde notwendig, die Wähler zu befähigen, direkt mit ihren Vertretern zu sprechen,

fügte Hayden hinzu.

Wir sind sehr nahe dran, die Upload-Filter abzuschaffen und eine ausgewogenere Urheberrechtsrichtlinie zu erreichen. Die Bürger müssen ihre Stimme zum letzten Mal erheben und die EU-Wahlen im Mai nutzen, um das demokratische Echo um den Chor #SaveYourInternet aufzubauen.

Lesen Sie mehr dazu:

 

Deutsche Übersetzung der englischsprachigen Originalbeiträge von Lutz Martiny

0 Kommentare zu “EDRi-gram 17.4, 27. Februar 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.