- Polen: Banken sind jetzt verpflichtet, ihre Kreditentscheidungen zu erläutern
- Dänische DPA genehmigt automatisierte Gesichtserkennung
- Deutsche Big Brother Awards – ein „Gewinner“ reagiert und tritt auf
- Griechenland: Klage wegen Verstoßes gegen das EU-Datenschutzrecht eingereicht
- EU geht in die Verhandlungen über E-Evidence ohne einen gemeinsamen Standpunkt
- Kampf gegen Verleumdung online – Der Generalanwalt des EuGH ‚vergisst‘, dass der Kontext zählt
Polen: Banken sind jetzt verpflichtet, ihre Kreditentscheidungen zu erläutern
Von Panoptykon Stiftung
Auf Initiative des polnischen EDRi-Mitglieds Panoptykon haben Bankkunden in Polen das Recht, eine Erklärung über die Beurteilung ihrer Kreditwürdigkeit zu erhalten. Die Initiative schlug vor und kämpfte für Änderungen des polnischen Bankengesetzes, was zu einem noch höheren Standard als in der Allgemeinen Datenschutzverordnung (GDPR) vorgesehen führte.
Es gibt schon lange eine starke Asymmetrie der Macht zwischen Banken und Kunden. Dies manifestierte sich bisher zum Beispiel darin, dass die Banken von ihren Kunden verlangen konnten, alle Informationen über ihre Lebenssituation und den Zweck des Kredits vorzulegen sowie Informationen aus anderen Quellen einzuholen. Abgesehen von den allgemein verbindlichen Grundsätzen des Schutzes personenbezogener Daten gab es in diesem Bereich keine weiteren Einschränkungen. Tatsächlich konnte der Kunde, dem ein Darlehen von der Bank verweigert wurde, nur erahnen, was das Problem war – das Einkommen, die Beschäftigungsform oder vielleicht eine nicht fristgerechte Zahlung der Verbindlichkeiten. Das wird sich nun ändern: Kunden polnischer Banken können überprüfen, was die entscheidenden Faktoren bei der Beurteilung ihrer Kreditwürdigkeit waren.
Mehr als die GDPR
Ein Verbraucher hat das Recht, „Informationen über die Faktoren, einschließlich personenbezogener Daten, die die Beurteilung seiner Kreditwürdigkeit beeinflusst haben“, zu erhalten. Dieses Recht gilt unabhängig davon, ob eine Kreditentscheidung automatisiert wurde oder nicht und unabhängig von ihrem Inhalt.
Die GDPR garantiert Transparenz, die sich auf automatisierte Entscheidungen beschränkt. In Wirklichkeit kann jedoch die Grenze zwischen der Bewertung durch den Algorithmus und der endgültigen Kreditentscheidung durch einen Analysten verschwimmen. Darüber hinaus basiert eine Kreditentscheidung unabhängig vom Grad der menschlichen Beteiligung auf einer erweiterten Analyse personenbezogener Daten und der Erstellung von Kundenprofilen. Aus dieser Sicht ist die Ausweitung des Erklärungsrechts auf alle Entscheidungen, die auf der Erstellung von Profilen und der Verwendung großer Datenmengen basieren, eine ausgezeichnete Lösung.
Was sollte die Bank dem Kunden mitteilen?
Das Erklärungsrecht umfasst Faktoren – auch personenbezogene Daten -, die die Bonitätsbeurteilung beeinflusst haben. Die Bank muss keine vollständige Liste der bei diesem Prozess berücksichtigten Faktoren vorlegen, aber sie muss alle diejenigen offenlegen, die Auswirkungen auf die endgültige Entscheidung hatten. Es wird nicht ausreichen, zu präzisieren, dass die Grundlage für die negative Bewertung beispielsweise das Einkommen war. Die Bank ist verpflichtet, die genaue Höhe des von ihr berücksichtigten Einkommens anzugeben. Dies schafft Raum für Dialog und die Möglichkeit, Fehler zu korrigieren (z.B. fehlende Null in der Einkommenshöhe oder die Korrektur eines veralteten Berichts eines Kreditinformationsbüros). Langfristig dient es auch als wertvolle Anleitung für diejenigen Kunden, die ihre Glaubwürdigkeit gegenüber Banken erhöhen wollen. Die erhaltenen Informationen können zu einem Impuls für eine rechtzeitige Rückzahlung von Verbindlichkeiten oder die Suche nach einer anderen Form der Beschäftigung werden.
Übertragung des Rechts auf die Bankpraxis
Die neuen Regelungen werden zweifellos die Position des Kunden gegenüber der Bank stärken. Im Zusammenhang mit jeder automatisierten Kreditentscheidung hat der Kunde das Recht, Korrekturen zu beantragen, die Entscheidung in Frage zu stellen und menschliche Eingriffe einzuholen. Im Zusammenhang mit jeder Entscheidung, die unter Beteiligung eines Bankmitarbeiters getroffen wird, kann der Kunde auch das neue Recht nutzen und spezifische personenbezogene Daten anfordern, die die endgültige Entscheidung beeinflusst haben. Dies sind zwei unabhängige Verfahren, die ein hohes Maß an Transparenz und Datenschutz gewährleisten.
Mit dieser Leistung hat Panoptykon das Machtgleichgewicht zwischen Banken und ihren Kunden deutlich verbessert. Diese Errungenschaft könnte von den Menschenrechts- und Verbrauchergruppen als Präzedenzfall genutzt werden. Wie wir in diesem Fall sehen, erfordern die in der GDPR enthaltenen Rechte ein organisiertes Vorgehen in der gesamten EU, damit die Ziele der Verordnung in der Praxis funktionieren.
Das Recht auf Erklärung der Bonitätsbeurteilung – erstes solches Gesetz in Europa (12.06.2019)
Das Recht auf Erklärung FAQ (nur auf Polnisch, 05.04.2019)
Infografik: Wann kann ich das Recht auf Erklärung nutzen? (nur auf Polnisch, 12.04.2019)
Infografik: Hypothek: Wie funktioniert das Recht auf Erklärung? (nur auf Polnisch, 05.04.2019)
Infografik: Ratenkauf: Wie funktioniert das Recht auf Erklärung? (nur auf Polnisch, 05.04.2019)
(Beitrag des EDRi-Mitglieds Panoptykon Foundation, Polen)
Dänische DPA genehmigt automatisierte Gesichtserkennung
Von IT-Pol
Am 13. Juni 2019 gab der dänische Fußballverein Brøndby IF bekannt, dass ab Juli 2019 die AFR-Technologie (Automated Facial Recognition) im Brøndby Stadion eingesetzt wird. Es wird verwendet, um Personen zu identifizieren, denen die Teilnahme an den Fußballspielen von Brøndby IF wegen Verstößen gegen die eigenen Verhaltensregeln des Vereins untersagt wurde. Das AFR-System wird Kameras einsetzen, die den öffentlichen Bereich vor den Stadioneingängen abtasten, so dass Personen auf der Sperrliste aus der Menge „herausgepickt“ werden können, bevor sie den Eingang erreichen.
Der Einsatz der AFR-Technologie im Brøndby-Stadion bedarf der vorherigen Genehmigung durch die dänische Datenschutzbehörde (DPA), die im Datenschutzgesetz vorgeschrieben ist, wie nachfolgend erläutert. Brøndby IF ist das erste Unternehmen, das eine Zulassung für den Einsatz von AFR in Dänemark erhalten hat.
Biometrische Daten zum Zwecke der eindeutigen Identifizierung einer Person stellen nach der Allgemeinen Datenschutzverordnung der EU (GDPR) sensible personenbezogene Daten dar (besondere Kategorien personenbezogener Daten in Artikel 9). Dies betrifft die AFR. Artikel 9 Absatz 1 der GDPR verbietet die Verarbeitung sensibler personenbezogener Daten, es sei denn, eine der Bedingungen des Artikels 9 Absatz 2 ist erfüllt. Die ausdrückliche Zustimmung der betroffenen Person [Artikel 9 Absatz 2 Buchstabe a] ist eine dieser Bedingungen und im Allgemeinen die relevanteste für private Kontrolleure. Die Zustimmung kann jedoch nicht die Rechtsgrundlage für die Nutzung von AFR in einem Fußballstadion sein, da die Zustimmung freiwillig sein muss.
GDPR Artikel 9 Absatz 2 Buchstabe g erlaubt die Verarbeitung sensibler personenbezogener Daten, wenn die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des Rechts der EU oder der Mitgliedstaaten erforderlich ist, das in einem angemessenen Verhältnis zu dem verfolgten Ziel stehen muss. Das Gesetz muss geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und der Interessen der betroffenen Person vorsehen.
Basierend auf Artikel 9 Absatz 2 Buchstabe g enthalten die dänischen GDPR-Ergänzungsbestimmungen („Datenschutzgesetz“) eine allgemeine Ausnahmen vom Verbot der Verarbeitung sensibler personenbezogener Daten. Abschnitt 7 Abs. 4 des Datenschutzgesetzes sieht vor, dass „die Verarbeitung der in Artikel 9 Abs. 1 der GDPR genannten Daten erfolgen kann, wenn die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist“. Für Kontrolleure, die keine Behörden sind, ist eine vorherige Genehmigung durch die DPA erforderlich, und diese Genehmigung kann detailliertere Bedingungen für die Verarbeitung festlegen.
Dänemark hat kein spezifisches nationales Gesetz, das eine Rechtsgrundlage für die Verwendung von AFR durch die für die Verarbeitung Verantwortlichen sowie geeignete Garantien für die betroffenen Personen bietet. Allerdings kann § 7 Abs. 4 genutzt werden, um die Verarbeitung sensibler personenbezogener Daten gesetzlich, einschließlich AFR, zu ermöglichen, sofern der Schwellenwert von erheblichem öffentlichem Interesse erreicht wird. In den Erläuterungen zu § 7 Abs. 4 heißt es, dass die Bestimmung eng auszulegen ist, aber der tatsächliche Umfang der unbefristeten Ausnahmeregelung wird der Verwaltungspraxis durch öffentliche Kontrolleure und Genehmigungsentscheidungen der DPA zur Verarbeitung durch private Kontrolleure überlassen.
Mit der Genehmigung von Brøndby IF hat die dänische DPA entschieden, dass die Verarbeitung mit AFR zur Durchsetzung einer privaten Sperrliste aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist und dass die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Ziel steht. Die Logik dieser Entscheidung ist im vorliegenden Fall eher schwer zu verstehen. AFR ist eine der invasivsten Überwachungstechnologien, da eine große Anzahl von Personen in einer Menge anhand ihrer Biometrie (Gesichtsbilder) identifiziert und automatisch anhand von Übereinstimmungen mit vordefinierten Beobachtungslisten katalogisiert werden kann. Gleichzeitig ist die AFR eine sehr unzuverlässige und ungenaue Technologie mit bekannten systematischen Verzerrungen in Form höherer Fehlerraten für bestimmte ethnische Minderheiten.
Im Brøndby-Stadion wird AFR zur Verarbeitung sensibler personenbezogener Daten von durchschnittlich 14000 Personen pro Fußballspiel verwendet. Die Sperrliste enthält derzeit nur 50 Personen, und es gibt keine Informationen darüber, wie viele dieser 50 Personen tatsächlich versuchen, das Verbot zu umgehen und Zugang zum Brøndby-Stadion zu erhalten. Es besteht auch keine dringende Notwendigkeit für die öffentliche Sicherheit, diese sehr invasive Überwachungstechnologie einzusetzen. Die Zahl der Verhaftungen durch die dänische Polizei im Zusammenhang mit Fußballspielen ist auf einem Rekordtief, und ironischerweise wird in der Pressemitteilung von Brøndby IF sogar darauf hingewiesen, dass sich die Sicherheit bei dänischen Fußballspielen in den letzten zehn Jahren positiv entwickelt hat. Diese Beweise müssen zumindest die Verhältnismäßigkeit der Verwendung von AFR in Frage stellen, noch bevor geprüft wird, ob es wirklich Gründe von erheblichem öffentlichem Interesse gibt.
Gegenüber der dänischen Zeitung Berlingske erklärte die dänische DPA, dass es keine starre Definition von „substanziellem öffentlichen Interesse“ gebe. In dem Antrag von Brøndby IF hat sich die DPA mit der Frage der Sicherheit bei bestimmten Sportveranstaltungen mit großem Publikum beschäftigt. Die DPA sagte Berlingske weiter, dass die AFR eine effektivere Durchsetzung der Sperrliste im Vergleich zu manuellen Kontrollen ermöglichen würde, was die Warteschlangen an den Stadioneingängen verringern und das Risiko von Unruhen bei ungeduldigen Fußballfans in Warteschlangen verringern könnte.
Den Ansprüchen auf die Wirksamkeit der AFR stehen die Ergebnisse unabhängiger Technologiebewertungen entgegen. Ein Bericht der britischen Bürgerrechtsorganisation Big Brother Watch analysiert den Einsatz von AFR durch die Metropolitan Police und die South Wales Police bei Festivals und Sportveranstaltungen, Einsätze vergleichbar mit den Plänen von Brøndby IF. Beweise, die von der britischen Polizei durch den Informationsfreiheits-Akt (Freedom of Information, FOI) eingeholt wurden, verlangen Dokumente, dass 95% der AFR-Matches falsch-positive Identifikationen sind. Personen werden durch die AFR-Technologie „identifiziert“, ohne auf einer Überwachungsliste zu stehen. Die naheliegende Schlussfolgerung ist, dass AFR einfach keine zuverlässige und genaue Technologie zur Identifizierung von Personen in einer großen Menge ist. Die Unzuverlässigkeit der AFR könnte sich auch auf die Rechtmäßigkeit der Nutzung der Technologie auswirken, da einer der GDPR-Grundsätze in Artikel 5 Absatz 1 Buchstabe d) darin besteht, dass personenbezogene Daten korrekt sein müssen. AFR-Matches sind personenbezogene Daten, aber sehr weit davon entfernt, korrekt zu sein.
Es ist unklar, ob die Zuverlässigkeit der AFR, oder vielmehr ihr Fehlen, eine Rolle bei der Entscheidung der DPA gespielt hat, die Genehmigung zur Nutzung der AFR im Brøndby-Stadion zu erteilen. Brøndby IF scheint anzunehmen, dass AFR eine fast perfekte Technologie ist. In den Pressemitteilungen wird behauptet, dass das AFR-System nicht in der Lage sein wird, Personen zu identifizieren oder zu registrieren, die nicht auf der Sperrliste stehen, was implizit eine falsch-positive Identifizierung ausschließt. Unnötig zu sagen, dass diese Behauptung nachweislich falsch ist. Die Genehmigung des DPA erwähnt nicht die Genauigkeit der AFR, und es gibt keine spezifischen Anforderungen an die Verantwortlichen, Maßnahmen zu ergreifen, um falsch-positive Identifikationen zu begrenzen oder sogar das Ausmaß dieses Problems zu verfolgen. Die von der DPA in der Genehmigung an Brøndby IF festgelegten „detaillierteren Bedingungen“ ergänzen die üblichen GDPR-Verpflichtungen für Controller wenig.
Das dänische EDRi-Mitglied IT-Pol kritisierte öffentlich die Pläne für den Einsatz der AFR-Technologie im Brøndby-Stadion. Der von der dänischen DPA festgelegte Schwellenwert für die Anforderungen an ein erhebliches öffentliches Interesse und die Verhältnismäßigkeit scheint sehr niedrig zu sein, was zu einer großen Zahl von Anträgen führen könnte, AFR von anderen privaten Kontrolleuren in Dänemark zu nutzen. Bereits zwei Tage nach der Pressemitteilung des Brøndby IF äußerte ein weiterer dänischer Fußballverein (AGF) Interesse daran, AFR in seinem Stadion einzusetzen und biometrische Informationen über Personen auf Sperrlisten mit Brøndby IF auszutauschen. Übrigens hat die AGF kürzlich ein neues Videoüberwachungssystem installiert, das AFR nutzen kann, obwohl die AFR-Funktionalität im System derzeit deaktiviert ist. Da es bei der AFR hauptsächlich um die Softwareanalyse von aufgenommenen Videobildern geht, gibt es in Dänemark wahrscheinlich eine große Anzahl moderner Videoüberwachungssysteme, bei denen die AFR-Funktionalität möglicherweise aktiviert werden kann, etwa durch ein Software-Upgrade.
Englische Übersetzung des dänischen Datenschutzgesetzes (GDPR Zusatzbestimmungen) (PDF)
Face Off: Das gesetzlose Wachstum der Gesichtserkennung in der britischen Polizei, Big Brother Watch (PDF, Mai 2018)
Verband warnt vor neuer Technologie: Fans sollten sich beschweren, DR Nyheder (nur auf Dänisch, 13.06.2019)
(Beitrag von Jesper Lund, EDRi-Mitglied IT-pol, Dänemark)
Deutsche Big Brother Awards – ein „Gewinner“ reagiert und tritt auf
Von Digitalcourage
Am 8. Juni 2019 fand in Bielefeld die Gala des Deutschen Big Brother Awards (BBA) statt. Die Gala, die seit 2000 jährlich vom EDRi-Mitglied Digitalcourage organisiert wird, war in diesem Jahr die dritte, die neben dem deutschen Original auch auf Englisch live übertragen wurde. Zum zweiten Mal fand die Veranstaltung im Theater Bielefeld statt, wo das Bühnenbild für eine Operette, die am Vortag uraufgeführt wurde, für die Präsentation adaptiert wurde.
Die Auszeichnung in der Kategorie „Behörden und Verwaltung“ ging an den hessischen Innenminister Peter Beuth. Nachdem die Verschärfung der hessischen Polizeigesetze der konservativ-grünen Koalition Hessens im Jahr 2018 eine Auszeichnung eingebracht hatte, gingen erstmals zwei aufeinander folgende Auszeichnungen an die gleiche Regierungskoalition des gleichen Bundeslandes. Die Auszeichnung 2019 wurde für den Erwerb einer Software von Palantir, einem umstrittenen US-Unternehmen mit engen Verbindungen zur Central Intelligence Agency (CIA), zur Analyse und Verknüpfung von Daten aus verschiedenen Quellen, von Polizeidatenbanken bis hin zu Social Media, vergeben. Der Einsatz dieser Software für die „präventive“ Polizeiarbeit, die in einem späten Zusatz zum Polizeigesetz von 2018 eine eigene Rechtsgrundlage erhielt, wurde als katastrophal für die Menschenrechte und die Rechtsstaatlichkeit kritisiert. Durch den Auftrag an Palantir, die Software zu liefern, anzupassen und zu betreiben, erhielt das US-Unternehmen Zugang zu sensiblen Polizeidaten von Nicht-US-Bürgern, die es gemäß dem Foreign Intelligence Surveillance Act (FISA) dem US-Geheimdienst zur Verfügung stellen muss, wenn es erforderlich ist. Darüber hinaus sind die Algorithmen der Software ein Geschäftsgeheimnis, so dass alle „polizeilichen Erkenntnisse“, die sie hervorbringen, zu hinterfragen sind. In der Rede stellte Laudator Rolf Gössner auch Fragen über die undurchsichtige Art und Weise, wie die Dienste von Palantir beauftragt wurden.
In der traditionellen Kategorie „Arbeitsplatz“ wurde keine Auszeichnung für 2019 vergeben. Jurymitglied Peter Wedde wurde auf der Bühne interviewt und erklärte, dass es am Arbeitsplatz noch viele preiswürdige Themen gibt, aber die Berichterstattung ein Problem ist: Entweder halten die Medien eine einzelne Beschwerde für zu klein oder Alarmsysteme in einem Unternehmen verhindern, dass „große“ Themen extern gemeldet werden. Weitere Probleme sind, dass die Arbeitnehmervertretung in den Unternehmen oft nicht etabliert ist und Verstöße oft nicht bestraft werden. Er beschrieb Details aus einer Reihe von Einzelfällen und forderte verbesserte Whistleblowing-Schutzmaßnahmen.
Eine Auszeichnung in der Kategorie „Biotechnologie“ ging an den weltweit größten Anbieter von DNA-Tests für Verbraucher, ancestry.com. Laudator Thilo Weichert wies Aussagen des Unternehmens in seinen Geschäftsbedingungen zurück, wonach Verbraucher, die DNA-Proben und begleitende Informationen über sich selbst und ihre Familien liefern, das Dateneigentum behalten würden. Die Datenschutzerklärung gewährt Ancestry das Recht, Daten an eine Vielzahl von Partnern weiterzugeben, während den Stichprobenlieferanten Informationen über die Forschung, die diese Partner mit ihren Daten durchführen, verweigert werden. Umgekehrt wird es den Verbrauchern von Ancestry untersagt, die Ergebnisse „ihrer“ Analysen mit anderen zu teilen. Zu den Unternehmen, die Daten kaufen, die die Verbraucher an Ancestry liefern, gehören große Pharmazeutika wie GlaxoSmithKline. Ancestry wurde kritisiert, weil sie ihre Kunden nicht über andere Risiken informiert hat, wie z.B. die Fokussierung der Polizei auf die Suche nach Verdächtigen, die DNA-Daten verwenden, oder mögliche Familienstörungen und psychologische Folgen, und weil sie die deutschen gesetzlichen Anforderungen an die Warnung vor solchen Folgen, an die Offenlegung von Informationen sowie den Datenschutz ignoriert hat.
Sieger in der Kategorie „Kommunikation“ wurde Precire Technologies (ehemals Psyware) aus Aachen. Das Unternehmen bietet auf künstlicher Intelligenz (KI) basierende Sprachanalysen einschließlich aufgezeichneter Telefongespräche an, von denen es behauptet, psychologische Profile ableiten zu können. Ein Service von Precire ist die Vorauswahl von Bewerbern, indem diese ermutigt werden, an computergesteuerten, scheinbar harmlosen Telefongesprächen teilzunehmen. In ihrer Laudatio äußerte Laudatorin Rena Tangens Zweifel an der Gültigkeit solcher Urteile und verwies auf Widersprüche in den Argumenten des Unternehmens (z.B. dass Sprachmuster mit unveränderlichen Fingerabdrücken verglichen werden, während Precire auch eine Sprachtrainings-App anbietet) und kritisierte, dass Precire sich weigert, eigene Studien über seine Technologien zu veröffentlichen, während öffentlich zugängliche Studien nur auf Daten basieren, die vom Unternehmen selbst bereitgestellt werden. Menschen, die keine Arbeit suchen, können immer noch von der Technologie des Unternehmens analysiert werden, wenn ihre Anrufe von Call Centern bearbeitet werden, wo die Software Agenten berät, wie sie einen Fall auf der Grundlage einer Analyse der Emotionen des Anrufers behandeln können.
Der Preis „Technology“ ging an das „Technical Committee CYBER“ des European Telecommunications Standards Institute (ETSI) für seine Bemühungen, unter dem Namen „Enterprise Transport Security“ (ETS, ehemals eTLS) eine Alternative zur neuesten Version des Internetverschlüsselungsstandards „Transport Layer Security“ (TLS 1.3) zu etablieren. Laudator Frank Rosengart bezeichnete diese Norm als klar im Interesse der Regierungs- und Geheimdienstüberwachung konzipiert, da sie auch Schlüsselhinterlegung beinhaltet, ein Prozess, bei dem „Backdoor“-Schlüssel aufbewahrt und möglicherweise an Ermittler übergeben werden. Jeder, der solche Schlüssel erhält, kann alle zukünftigen Kommunikationen mit einem Online-Dienst entschlüsseln. Die Benutzer hingegen werden wenig Gelegenheit haben, festzustellen, dass diese schwächere Verschlüsselung verwendet wird, oder gar ihren Einsatz zu verhindern. Der Standard wurde trotz Warnungen der Internet Engineering Task Force (IETF) und anderer Experten erstellt.
Eine viel diskutierte Auszeichnung in der Kategorie „Verbraucherschutz“ erhielt Zeit Online, eine führende deutsche Nachrichten-Website, für die Nutzung von Tracking auf ihrer Website, für die bisherige Nutzung von Google-Onlinediensten zur Speicherung personenbezogener Daten einschließlich Angaben zu politischen Meinungen über Nutzer eines preisgekrönten Projekts namens „Germany Talks“ und für die Annahme von Google-Sponsoring für das internationale Nachfolgeprojekt „My Country Talks“. Laudator padeluun erklärte, dass er mit dem Online-Chefredakteur der Zeitung, Jochen Wegner, seit vielen Jahren befreundet sei. Er lobte den Journalismus der Zeit sowie das Projekt „Germany Talks“, das Menschen mit widersprüchlichen politischen Meinungen zu persönlichen Gesprächen zusammenführte. Trotz der guten Absichten, so die Rede, sei das Projekt in seiner Umsetzungsphase der Versuchung erlegen, Registrierungen über Googles Cloud Office abzuwickeln, und Zeit-Online habe diese Dienste auch für die gemeinsame Arbeit an anderen journalistischen Untersuchungen genutzt. In der Laudatio wurde Zeit Online aufgefordert, die Folgen der Massenüberwachung, über die sie nach den Snowden-Offenbarungen ausführlich berichtet hatte, zu erkennen und die eigene IT-Basis konsequent zu erweitern sowie nach Alternativen zur Nutzung von Online-Tracking als Einnahmequelle für ihre Online-Dienste zu suchen. Vier Tage vor der Gala hatte Jochen Wegner den Preis in einer Antwort auf dem redaktionellen Blog „Glashaus“ von Zeit-Online veröffentlicht. Digitalcourage machte deutlich, dass diese Vorgehensweise keinen Verstoß gegen die journalistische Sperrfrist darstellt – Zeit-Online war als BBA-Preisträger benannt worden und konnte wie alle diese „Gewinner“ frei reagieren. Die Antwort der Zeit bestätigte einen Teil der Kritik in der Laudatio und widersprach anderen Aspekten. Jochen Wegner besuchte auch die Gala und nahm den Preis persönlich entgegen und nutzte die gebotene Gelegenheit, seine Meinung in einem Interview auf der Bühne zu äußern. Sein Erscheinen wurde mit langem und respektvollem Applaus gewürdigt. Die Organisatoren der Big Brother Awards und Zeit Online wollen das Gespräch fortsetzen und hoffentlich zu konkreten Ergebnissen kommen.
Vollständige englische Informationen zu den Preisen 2019 finden Sie unter BigBrotherAwards 2019 – und hier eine Aufzeichnung des englischen Livestreams.
BBA Deutschland 2018: Spionage von Mitarbeitern, Flüchtlingen, Bürgern…. (16.05.2018)
BBA Deutschland 2017: Spionage, Drohungen, Verfolgung, Provokation von Cyberkriegen (17.05.2017)
Big Brother Awards Deutschland 2016 (18.05.2016)
Big Brother Awards Deutschland 2015 (22.04.2015)
Big Brother Awards Deutschland 2014 (24.04.2014)
Big Brother Awards Deutschland 2013 (24.04.2013)
Big Brother Awards Deutschland 2012 (25.04.2012)
Big Brother Awards Deutschland 2008 (05.11.2008)
(Beitrag von Sebastian Lisken, EDRi-Mitglied Digitalcourage)
Griechenland: Klage wegen Verstoßes gegen das EU-Datenschutzrecht eingereicht
Von Homo Digitalis
Am 30. Mai 2019 reichte der EDRi-Beobachter Homo Digitalis eine Beschwerde bei der Europäischen Kommission wegen eines Verstoßes Griechenlands gegen das EU-Datenschutzrecht ein. Die Europäische Kommission hat die Beschwerde am 6. Juni 2019 unter der Nummer CHAP(2019)01564 registriert, und ihre Dienststellen werden die Beschwerde prüfen und innerhalb von 12 Monaten antworten.
Homo Digitalis behauptet, dass Griechenland gegen Artikel 63 Absatz 1 der Richtlinie 2016/680 verstoßen hat, auch bekannt als die Strafverfolgungsrichtlinie (LED). Gemäß diesem Artikel erlassen und veröffentlichen die Mitgliedstaaten bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften, die erforderlich sind, um der LED nachzukommen. Der griechische Staat hat jedoch kein nationales Recht in dieser Hinsicht veröffentlicht, und mehr als ein Jahr nach Ablauf der oben genannten Frist hat er keine entsprechenden Bestimmungen umgesetzt.
Die Bestimmungen der LED sollen alle Verarbeitungen personenbezogener Daten für Zwecke der Strafverfolgung (Polizei und Strafverfolgung) abdecken, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der nationalen Grenzen erfolgt. Auf diese Weise wird die grundlegendste Einschränkung des Rahmenbeschlusses 2008/977/JI endgültig aufgehoben, und die Strafverfolgungsbehörden in der EU müssen die Bestimmungen der LED in ihre tägliche Arbeit mit personenbezogenen Daten umsetzen. Daher ist ein griechisches nationales Gesetz zur Umsetzung der Bestimmungen der LED von entscheidender Bedeutung, um ein einheitliches und hohes Schutzniveau für Personendaten zu gewährleisten, wenn diese zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten verarbeitet werden.
Da Griechenland die von der EU-Regulierungsbehörde gesetzte Frist nicht eingehalten hat, erfüllt es die EU-Anforderungen an die Stärkung der Rechte der betroffenen Personen und der Verpflichtungen derjenigen, die personenbezogene Daten verarbeiten, nicht. Sie sieht auch keine gleichwertigen Befugnisse für die Überwachung und Sicherstellung der Einhaltung der Datenschutzbestimmungen in Griechenland vor. Vor der Einreichung der Beschwerde hatte Homo Digitalis eine Reihe von Maßnahmen auf nationaler Ebene ergriffen.
In der Beschwerde betont Homo Digitalis auch Mängel bei der Durchsetzung der Allgemeinen Datenschutzverordnung (GDPR). Obwohl die Bestimmungen der GDPR in ihrer Gesamtheit verbindlich sind und seit dem 25. Mai 2018 in allen Mitgliedstaaten direkt anwendbar sind, hat der griechische Staat bis heute kein nationales Gesetz veröffentlicht, das die Bestimmungen der GDPR in nationales Recht umsetzt. Dies ist sehr problematisch, zumal die EU-Gesetzgeber viele wichtige Maßnahmen dem Ermessen der Mitgliedstaaten überlassen haben, wie z.B. Regeln für die Verarbeitung genetischer Daten, biometrischer Daten oder gesundheitlicher Daten (Artikel 9) oder den Schutz der personenbezogenen Daten der Arbeitnehmer im Rahmen der Beschäftigung (Artikel 88).
Beschwerde des Homo Digitalis (PDF, 30.05.2019)
Offizielle Bestätigung der Europäischen Kommission (PDF, 06.06.2019)
Homo Digitalis reicht bei der Europäischen Kommission eine Beschwerde gegen einen Verstoß Griechenlands gegen das EU-Datenschutzrecht ein (nur auf Griechisch, 30.05.2019).
(Beitrag von Eleftherios Chelioudakis, EDRi-Beobachter Homo Digitalis, Griechenland)
EU geht in die Verhandlungen über E-Evidence ohne einen gemeinsamen Standpunkt
Von Chloé Berthélémy
Am 6. Juni 2019 forderte der Rat Justiz und Inneres (JI), dem alle Justizminister der EU-Mitgliedstaaten angehören, die Europäische Kommission auf, in den kommenden Monaten internationale Verhandlungen über den grenzüberschreitenden Zugang zu elektronischen Beweismitteln in Strafsachen (so genannter „E-Evidence“) aufzunehmen. Die Kommission sollte bilaterale Verhandlungen mit den Vereinigten Staaten (USA) aufnehmen und sich gleichzeitig an den laufenden Diskussionen im Europarat über die Annahme eines zweiten Zusatzprotokolls zum Budapester Übereinkommen über Cyberkriminalität beteiligen, das auch den Zugang zu elektronischen Beweisen betrifft.
Beide Verhandlungsmandate wurden erteilt, während der eigene Vorschlag der Kommission für eine europäische E-Evidence-Verordnung stark umstritten ist und im Europäischen Parlament noch immer diskutiert wird. Nach diesem Vorschlag dürfen die Strafverfolgungsbehörden aller EU-Mitgliedstaaten Anbieter wie Facebook oder Google zwingen, personenbezogene Daten von Nutzern zu übermitteln, auch wenn der Anbieter in einem anderen Land ansässig ist. Die Behörden des Landes des Anbieters hätten dabei fast kein Mitspracherecht und wüssten in den meisten Fällen nicht einmal, dass die Daten ihrer Bürger von ausländischen Behörden abgerufen wurden.
Viele Kritiker, darunter EDRi, Rechtsanwälte, Wissenschaftler, der Europäische Datenschutzrat (EDPB) und andere zivilgesellschaftliche Organisationen, sind gegen die Idee des Vorschlags für elektronische Beweise, da er ohne angemessene Garantien schwer gegen unsere Grundrechte verstößt.
Selbst innerhalb der EU gelten einige Aktivitäten in einem Land als kriminell und in einem anderen als legal. Die Aushandlung ähnlicher Datenzugangsregeln mit Ländern wie den USA oder sogar Russland und Aserbaidschan (als Teil des Europarates), die oft sehr unterschiedliche Vorstellungen von Rechtsstaatlichkeit haben, gefährdet die Menschen in Europa. Dies ist besonders gefährlich für politische Dissidenten und Aktivisten, die in die EU als „sicherem Hafen“ gekommen sind.
Tatsächlich hat der frühere zuständige Ausschuss des Europäischen Parlaments (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, LIBE) in einer Reihe von Arbeitsdokumenten ernsthafte Kritik geäußert. Dennoch beabsichtigt die Kommission, zu ihren eigenen Bedingungen und denen des Rates der Europäischen Union zu verhandeln, die sehr ähnlich sind.
Es ist nicht hinnehmbar, dass die Kommission nicht wartet und die Position des Mitgesetzgebers nicht berücksichtigt. Im Einklang mit dem europäischen demokratischen Gesetzgebungsprozess sollten Verhandlungen mit Dritten nicht beginnen, solange keine offizielle Position der EU als Ganzes erreicht ist. Schlimmer noch, die Kommission wird wahrscheinlich gezwungen sein, ihre eigene Verhandlungsposition zu ändern, um die Ergebnisse der internen Diskussionen zwischen dem EU-Rat und dem Parlament einzuarbeiten. Sie wird die Legitimität und Glaubwürdigkeit der EU als Verhandlungspartner erheblich untergraben.
Keine Transparenz
Wie üblich, wenn die Kommission die EU bei Verhandlungen über internationale Abkommen oder Verträge vertritt, werden nur wenige Transparenzmechanismen geschaffen, um die Bürger darüber zu informieren, was diskutiert wird, welche Kompromisse eingegangen werden und welche Zugeständnisse von welcher Seite des Tisches gemacht werden. Oft werden solche Informationen geheim gehalten, während die anstehenden Probleme erhebliche Auswirkungen auf die Menschen und unsere Demokratien haben. Die Kommission kündigte an, dass sie die Mitgliedstaaten regelmäßig über die erzielten Fortschritte informieren wird, aber solche Berichte an das Europäische Parlament scheinen nicht vorgesehen zu sein. Dennoch ist es das Parlament, das die europäischen Bürger vertritt, und das ist der Schlüssel zur demokratischen Kontrolle und Transparenz. Es versteht sich von selbst, dass die Überprüfung und Beteiligung der Zivilgesellschaft noch schwieriger sein wird.
Der Europäische Datenschutzbeauftragte (EDSB) hat kürzlich eine Empfehlung veröffentlicht, in der er forderte, zusätzliche Datenschutzgrundsätze und Grundrechtsschutz in die der Kommission erteilten Verhandlungsmandate aufzunehmen. Es ist unklar, wie diese Empfehlung und die starke Kritik von Experten aus allen Bereichen berücksichtigt werden.
Das jüngste Urteil des EuGH stellt den Vorschlag der Kommission in Frage
Darüber hinaus hat der Gerichtshof der Europäischen Union (EuGH) kürzlich ein Urteil über die Ausstellung von Europäischen Haftbefehlen durch Staatsanwälte veröffentlicht. Er entschied, dass bestimmte Staatsanwälte für die Zwecke der grenzüberschreitenden justiziellen Zusammenarbeit nach den europäischen Verträgen nicht als zuständige „ausstellende Justizbehörde“ gelten können. Nach Ansicht des EuGH können Staatsanwaltschaften in Ländern wie Deutschland nicht als unabhängig angesehen werden, da sie wahrscheinlich direkten oder indirekten Anweisungen des Justizministers und damit politischen Entscheidungen ausgesetzt sind. Die ausstellenden Behörden sollten in der Lage sein, ihre Aufgaben objektiv und unter Berücksichtigung aller belastenden und entlastenden Beweise und ohne externe Anweisungen oder Anweisungen auszuüben. Diese Entscheidung ist im Zusammenhang mit dem E-Evidence-Vorschlag von Bedeutung. Sie schlägt vor, dass die Justizbehörden, einschließlich der Staatsanwälte, europäische Erfassungs- und Aufbewahrungsaufträge erteilen können, um Daten in grenzüberschreitenden Fällen zu erhalten. Im Einklang mit dem Urteil des EuGH dürfen Staatsanwälte diese Anordnungen für die Zwecke der justiziellen Zusammenarbeit gemäß Artikel 82 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) nicht erlassen. Der vorliegende Vorschlag wird daher in Bezug auf seine Rechtmäßigkeit geschwächt und bedarf großer Verbesserungen, um die Einhaltung der Rechtsprechung des EuGH zu gewährleisten.
Grenzüberschreitender Zugang zu Daten für die Strafverfolgung: Dokumenten-Pool
CCBE-Pressemitteilung: CJEU-Urteil wirft Zweifel an der Rechtmäßigkeit der vorgeschlagenen E-Evidence-Verordnung auf (29.05.2019)
Stellungnahme des EDSB zum Verhandlungsmandat für ein EU-US-Abkommen über den grenzüberschreitenden Zugang zu elektronischen Beweismitteln (PDF, 02.04.2019)
(Beitrag von Chloé Berthélémy, EDRi)
Kampf gegen Verleumdung online – Der Generalanwalt des EuGH ‚vergisst‘, dass der Kontext zählt
Von EDRi und IT-Pol
Am 4. Juni 2019 hat der Generalanwalt (AG) des Gerichtshofs der Europäischen Union (EuGH), Maciej Szpunar, seine Schlussanträge zur Rechtssache Glawischnig-Piesczek v Facebook Ireland abgegeben. Der Fall bezieht sich auf Unterlassungsklagen, die einen Dienstleister verpflichten, die Verbreitung einer diffamierenden Bemerkung zu unterbinden. Die sorgfältige Prüfung dieser Stellungnahme ist wichtig, da die endgültige Entscheidung des EuGH in der Regel den Linien der Stellungnahme der Generalstaatsanwaltschaft folgt.
Der Fall betrifft Frau Glawischnig-Piesczek, eine österreichische Politikerin, die Ziel von diffamierenden Kommentaren war, die auf Facebook veröffentlicht wurden. Da Facebook auf ihren ersten Antrag auf Löschung dieses Kommentars nicht reagierte, forderte Frau Glawischnig-Piesczek die österreichischen Gerichte auf, eine Verfügung zu erlassen, die Facebook verpflichtet, die Veröffentlichung zu entfernen und deren Verbreitung zu verhindern, einschließlich genauer Kopien des ursprünglichen Kommentars sowie „gleichwertiger Inhalte“. Nach der ersten gerichtlichen Verfügung hat Facebook in Österreich den Zugang zu den ursprünglich veröffentlichten Inhalten gesperrt. Schließlich hat der Oberste Gerichtshof Österreichs, vor dem die Klage erhoben wurde, dem EuGH mehrere Fragen zum Anwendungsbereich einer solchen einstweiligen Verfügung sowie zu Aussagen mit identischem Wortlaut oder gleicher Bedeutung vorgelegt. Da Facebook nicht unbedingt alle identischen oder gleichwertigen Inhalte bekannt sind, wird das bevorstehende Urteil des EuGH für die Auslegung der E-Commerce-Richtlinie, insbesondere ihrer Artikel 14 und 15, von wesentlicher Bedeutung sein.
In seiner Stellungnahme stellt die Generalstaatsanwaltschaft fest, dass ein Hosting-Provider wie Facebook angewiesen werden kann, unter allen von den Nutzern dieser Plattform verbreiteten Informationen Inhalte zu suchen und zu identifizieren, die mit den Inhalten identisch sind, die von einem Gericht als illegal eingestuft wurden. Darüber hinaus kann der Hosting-Provider verpflichtet werden, gleichwertige Inhalte zu suchen, jedoch nur unter den Inhalten, die der Nutzer verbreitet, der die illegalen Informationen überhaupt erst generiert hat.
Die Stellungnahme ist aus zwei Gründen interessant: Erstens bietet sie Überlegungen darüber, wie zwischen allgemeiner und spezifischer Überwachung von Inhalten durch Hosting-Provider unterschieden werden kann; zweitens versucht sie, eine Grenze zwischen „identischen“ und „gleichwertigen“ Inhalten zu ziehen.
Die Generalstaatsanwalt Szpunar äußert zunächst große Bedenken, dass eine Verpflichtung eines Vermittlers, alle Inhalte zu filtern, ihn auf illegale Inhalte aufmerksam machen würde und damit den Verlust der in Artikel 14 der E-Commerce-Richtlinie vorgesehenen Haftungsbefreiung zur Folge hätte. Im vorliegenden Fall hat das vorlegende Gericht festgestellt, dass Facebook unter Artikel 14 fällt, so dass die Unterscheidung zwischen aktivem und passivem Host in der Stellungnahme nicht weiter untersucht wird. Der bevorstehende CJEU-Fall über die Haftung von YouTube für Benutzer-Uploads (C-682/18) wird diese Frage zweifellos erneut aufgreifen. Die Generalstaatsanwaltschaft schließt jedoch die Möglichkeit nicht aus, eine „aktive“ Überwachung nach Artikel 15 der genannten Richtlinie vorzuschreiben. unter Hinweis auf die Schlussfolgerungen aus dem Fall L’Oréal gegen eBay (C-324/09), der die Präventivverpflichtung (d.h. „Filtern“) auf „Verletzungen gleicher Art durch denselben Empfänger gleicher Rechte, in diesem speziellen Fall Markenrechte“, beschränkt“ (Ziffer 45). Damit eine Überwachungspflicht spezifisch und hinreichend zielgerichtet ist, nennt die AG die Kriterien der Dauer, aber auch die Informationen über die Art der Verstöße, ihren Urheber und ihr Thema. Es stellt sich die Frage, wie die Überwachung zeitlich begrenzt und gestoppt werden kann, sobald ein konkreter Fall für beendet erklärt wird.
Unter Anwendung dieser Grundsätze auf den vorliegenden Fall ist die AG der Ansicht, dass eine Überwachungspflicht für „identische Inhalte“ unter den von allen Nutzern generierten Informationen ein faires Gleichgewicht zwischen den betreffenden Grundrechten gewährleisten würde. Sein Argument findet sich in den Punkten 61 und 63, wo er spekuliert, dass die Suche und Identifizierung identischer Inhalte mit passiven „Software-Tools“ (z.B. Upload-Filter) erfolgen kann, die für den Vermittler keine „außerordentliche Belastung“ darstellen.
Hier wird der Unterschied zum „äquivalenten“ Inhalt gemacht: Äquivalente Inhalte würden eine „aktivere nicht-automatische Filterung“ durch die Vermittlung aller über ihre Plattform verbreiteten Informationen erfordern. Was mit nicht-automatischer Filterung gemeint ist, ist nicht ganz klar, aber die Unterscheidung im Sinne der AG könnte sein zwischen Filtern, die nie ein manuelles Eingreifen erfordern, um ein faires Gleichgewicht mit anderen Grundrechten (insbesondere der Meinungs- und Informationsfreiheit) zu gewährleisten, und nicht-automatischer Filterung, die ein solches Eingreifen erfordert, um ähnliche Situationen wie im Netlog-Fall C-360/10 zu vermeiden, in dem der EuGH feststellte, dass ein präventives Filtersystem, das wahllos für alle Nutzer gilt, mit der Charta der Grundrechte der Europäischen Union unvereinbar war.
Leider erscheint eine Unterscheidung in dieser Richtung für den vorliegenden Fall, bei dem es um Verleumdung geht, ungeeignet. Spezifische Wörter, die im vorliegenden Fall diffamierend sind, könnten in anderen Kontexten verwendet werden, ohne diffamierend zu sein. Offensichtliche Beispiele sind Gegenrede, Ironie unter Freunden oder sogar Nachrichten. Die Situation ist bei Inhalten, die als identisch oder äquivalent definiert sind, wirklich die gleiche: Kontextangelegenheiten, und automatisierte Algorithmen werden nicht in der Lage sein, die feinkörnigen Entscheidungen darüber zu treffen, wann die Verwendung bestimmter Wörter (ob wörtlich kopiert, d.h. identischer Inhalt, oder mit Änderungen, d.h. gleichwertige Inhalte) legal oder illegal ist. Eine Filterpflicht für identische Inhalte hat die gleichen negativen Auswirkungen auf die Meinungsfreiheit und das Recht auf Information wie eine Filterpflicht für gleichwertige Inhalte.
Der vorliegende Fall wird für die Definition der Unterscheidung zwischen spezifischer Überwachung und allgemeiner Überwachung, bei der es derzeit nur sehr wenig Rechtsprechung gibt, von besonderer Bedeutung sein. Da die E-Commerce-Richtlinie in Artikel 15 Absatz 1 eine allgemeine Überwachung verbietet, ist die spezifische Überwachung implizit jede Überwachung, die mit der E-Commerce-Richtlinie vereinbar ist, ausgelegt im Lichte der Charta der Grundrechte. Nur der Fall L’Oréal v eBay (C-324/09) hat sich mit diesem Thema befasst. Gegenüber dem vorangegangenen Fall schlägt die AG eine erweiterte Definition der spezifischen Überwachung vor, die den bemerkenswerten Nachteil hat, dass sie eher unausführbar ist, da sie auf einer mangelhaften Dichotomie zwischen identischem und gleichwertigem Inhalt beruht. Diese Dichotomie ist losgelöst von der rechtlichen Realität, dass eine spezifische Überwachung die Charta der Grundrechte einhalten muss und das Risiko einer Zensur aufgrund einer Filterpflicht verhindert. Hoffentlich kann das Urteil in der Rechtssache eine praktikablere Definition der spezifischen Überwachung liefern, die sowohl mit den Artikeln 14 als auch 15 der E-Commerce-Richtlinie vereinbar ist.
Rechtssache C-18/18: Eva Glawischnig-Piesczek v Facebook Ireland Limited (PDF)
Rechtssieg für Markenstreitverfahren über die Mittlerhaftung (13.07.2011)
SABAM vs. Netlog – eine weitere wichtige Entscheidung für die Grundrechte (16.02.2012)
(Beitrag von Chloé Berthélémy, EDRi, und Jesper Lund, EDRi-Mitglied IT-Pol, Dänemark)
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny
0 Kommentare zu “EDRi-gram 17.12, 19. Juni 2019”