EDRi-gram EU Datenschutz

EDRi-gram 17.16, 25. September 2019

  1. Portugal: Beschwerde zur Datenspeicherung geht beim Verfassungsgerichtshof ein
  2. Facebook-Nutzer, die nur wegen der Erwähnung eines Namens gesperrt wurden?
  3. Warum die EU-Passagierüberwachung ihren Zweck verfehlt hat
  4. PNR-Klage beim Bundesverwaltungsgericht eingereicht
  5. Deine Post, ihre Anzeigen. Deine Rechte?

 

Portugal: Beschwerde zur Datenspeicherung geht beim Verfassungsgerichtshof ein

Gastautor: Eduardo Santos

Der September 2019 brachte uns lang erwartete Entwicklungen hinsichtlich der Situation der Datenspeicherung in Portugal. Der Ombudsmann der Justiz beschloss, das portugiesische Gesetz zur Vorratsdatenspeicherung an den Verfassungsgerichtshof zu übermitteln, nachdem der Gerichtshof der Europäischen Union (EuGH) die Rechtsprechung zur pauschalen Vorratsspeicherung von Daten, die zur Ungültigkeit der Richtlinie 2006/24/EG führen, angenommen hatte. Diese Entscheidung geht auf eine Beschwerde des EDRi-Beobachters Associação D3 – Defesa dos Direitos Digitais vom Dezember 2017 zurück.

Der Bürgerbeauftragte hatte zunächst beschlossen, eine offizielle Empfehlung an die Regierung zu richten, in der er sie aufforderte, eine legislative Lösung für das problematische Gesetz vorzuschlagen, das aus der inzwischen ungültigen Vorratsdatenspeicherungsrichtlinie hervorging. Angesichts der Weigerung des Justizministers, eine Lösung auf legislativem Wege zu finden, hat der Bürgerbeauftragte nun beschlossen, dem ursprünglichen Antrag von D3 stattzugeben, und hat die Angelegenheit zur Würdigung an das Verfassungsgericht weitergeleitet, das über die Verfassungsmäßigkeit des portugiesischen Datenspeicherungssystems zu entscheiden haben wird.

Wenige Tage später strich das gleiche Verfassungsgericht zum zweiten Mal teilweise ein Gesetz, das den Nachrichtendiensten den Zugang zu gespeicherten Daten gewährte. Bereits 2015 hatte das Verfassungsgericht die Verfassungswidrigkeit eines ähnlichen Gesetzes für verfassungswidrig erklärt, nachdem der Präsident eine präventive Entscheidung des Gerichtshofs beantragt hatte, bevor er es in Kraft setzte. Im Jahr 2017 wurde jedoch im Parlament ein neues Gesetz verabschiedet, das einige der vom Verfassungsgericht aufgeworfenen Probleme behandelt. Als der neue Präsident sich entschied, keine präventive Entscheidung zu verlangen, trat das Gesetz in Kraft. 35 Abgeordnete aus drei Parteien beantragten daraufhin ein Verfassungsgerichtsurteil über das Gesetz, das nun erlassen wurde.

Die grundlegende Begründung dieses Beschlusses besteht darin, dass die portugiesische Verfassung den Behörden den Zugang zur Korrespondenz und zur Telekommunikation der Bürger verbietet, außer im Rahmen eines Strafverfahrens. Da die Nachrichtendienste über keine Strafverfahrenskompetenzen verfügen, können sie innerhalb des bestehenden verfassungsrechtlichen Rahmens nicht auf diese Daten zugreifen. Der Gerichtshof hat jedoch den Zugang zu Standort- und Identifikationsdaten der Nutzer (im Zusammenhang mit der Bekämpfung des Terrorismus und der hochgradig organisierten Kriminalität) gestattet, da diese Daten nicht als unter das Kommunikationsgeheimnis fallend angesehen werden.

Dieser Fall hat auch zum Rücktritt des ursprünglichen Berichterstatters des Richters geführt, da Meinungsverschiedenheiten im Zusammenhang mit der Begründung in der endgültigen Fassung des Textes der Entscheidung zum Ausdruck kommen.

Associação D3 – Defesa dos Direitos Digitais

Portugal: Datenspeicherung an den Verfassungsgerichtshof übermittelt (07.03.2018)

Europäischer Gerichtshof hebt EU-Massenüberwachungsgesetz auf (08.04.2019)

Beitrag von Eduardo Santos, Associação D3 – Defesa dos Direitos Digitais, Portugal

 

Facebook-Nutzer, die nur wegen der Erwähnung eines Namens gesperrt wurden?

Von Dean Willis

Nur das Schreiben oder Einschließen von zwei Wörtern, in diesem Fall „Tommy Robinson“, in einem Facebook-Post oder Link genügt, um den Post zu entfernen und den Autor zu blockieren. Zumindest scheint es in Dänemark und Schweden so zu sein.

Das Schreiben des Namens des englischen Rechtsaktivisten verstößt gegen die Community Rules von Facebook, eine spezielle Kategorie, die sich an so genannte Hassprediger richtet, darunter „Einzelpersonen oder Organisationen, die Gewalt organisieren oder anregen“. Andere Facebook-Nutzer dürfen die verbotenen Hass-Prediger nicht unterstützen, loben oder vertreten. Nach Angaben des Nordic Head of Communications von Facebook ist Kritik an Tommy Robinson erlaubt, aber die bloße Erwähnung seines Namens in einem neutralen Kontext wird als Unterstützung des verbotenen Hasspredigers angesehen.

So wurde beispielsweise ein Facebook-Blogbeitrag eines Mitglieds der dänischen Rechtspartei Neue Rechte entfernt, in dem er sich beschwerte, dass er Gefahr läuft, von verschiedenen Social Media blockiert zu werden, wenn er den Namen schreibt. Ein dänischer öffentlich-rechtlicher Sender hatte ein Interview mit dem Leiter der Kommunikation einer Facebook-Plattform über die Moderationspolitik der Plattform, zu der er von seiner Facebook-Seite aus verlinkt war. Diese wurde zunächst heruntergenommen, weil sie Tommy Robinson erwähnte. Facebook-Nutzer in Dänemark und Schweden berichten auch, dass Beiträge, in denen Robinson erwähnt wird, innerhalb weniger Minuten nach ihrer Veröffentlichung entfernt wurden.

Ein Blogger aus einer linken politischen Partei wurde für 24 Stunden von Facebook verbannt, weil er in einem Blogbeitrag, der auch die exzessive Moderationsstrategie von Facebook kritisierte, geschrieben hatte, dass Tommy Robinson ein „Idiot“ sei. Dies deutet darauf hin, dass die Entfernung automatisiert erfolgt, ohne Rücksicht auf den Kontext, im Gegensatz zu den Behauptungen von Facebook, dass nur die Unterstützung und Repräsentation von Hasspredigern verboten ist, was eine Frage nach Einschränkungen der Meinungsfreiheit aufwirft und wie wir online diskutieren und debattieren.

Wenn Sie diesen Namen schreiben, werden Sie auf Social Media blockiert (nur auf Dänisch, 17.09.2019).

Interview des dänischen öffentlich-rechtlichen Rundfunks mit Facebook abgebrochen (nur auf Dänisch, 23.09.2019)

EDRi: E-Commerce-Review: Die Büchse der Pandora öffnen? (20.06.2019)

Beitrag von Dean Willis, Praktikant bei EDRi

 

Warum die EU-Passagierüberwachung ihren Zweck verfehlt hat

Von Epicenter.works

Die EU-Richtlinie zur Erhebung von Flyerinformationen (Passenger Name Record, PNR) wurde im April 2016 verabschiedet, am selben Tag wie die Allgemeine Datenschutzverordnung (GDPR). Die Erhebung von PNR-Daten von allen Flügen, die in und aus Brüssel durchgeführt werden, hat starke Auswirkungen auf das Recht auf die Privatsphäre von Einzelpersonen und muss aus Gründen der Notwendigkeit und Verhältnismäßigkeit gerechtfertigt werden, und zwar nur dann, wenn sie den Zielen von allgemeinem Interesse entspricht. All dies fehlt in der aktuellen EU-Fluggastdatenrichtlinie, die derzeit in der EU umgesetzt wird.

Die österreichische Umsetzung der PNR-Richtlinie

In Österreich verarbeitet die Austrian Passenger Information Unit (PIU) seit März 2019 PNR. Am 9. Juli 2019 gab die Fluggastdatenzentralstelle eine Antwort auf Anfragen zur Umsetzung von PNR in Österreich. Demnach wurden vom Februar 2019 bis 14. Mai 7 633 867 Datensätze an die PIU übermittelt. Im Durchschnitt werden etwa 490 Zugriffe pro Tag gemeldet, wobei durchschnittlich etwa 3 430 Zugriffe pro Woche eine weitere Überprüfung erfordern. Demnach gab es von den 7 633 867 gemeldeten Datensätzen 51 bestätigte Treffer und in 30 Fällen die Intervention des Personals auf dem betreffenden Flughafen.

Auswirkungen auf Unschuldige

Was diese kleine Erfolgsgeschichte jedoch nicht erfasst, ist der Schaden, der den Tausenden von unschuldigen Passagieren zugefügt wird, die zu Unrecht vom System markiert werden und die schädlichen polizeilichen Ermittlungen oder der Verweigerung der Einreise in Bestimmungsländer ohne triftigen Grund ausgesetzt sein können. Die Massenüberwachung, die eine kleine, ausgewählte Bevölkerung sucht, ist invasiv, ineffizient und verstößt gegen die Grundrechte. Sie unterwirft die Mehrheit der Menschen extremen Sicherheitsmaßnahmen, die nicht nur unwirksam sind, um Terroristen und Kriminelle zu fangen, sondern auch die Persönlichkeitsrechte untergraben und immense Personenschäden verursachen können.

Warum passiert das alles? Der Kursfehler

Stellen Sie sich eine Stadt mit 1 000 000 000 Einwohnern vor, die Überwachungsmaßnahmen durchführt, um Terroristen zu fangen. Dieses spezielle Überwachungssystem hat eine Ausfallrate von 1%, was bedeutet, dass (1) wenn ein Terrorist entdeckt wird, das System ihn als Treffer in 99% der Zeit registriert und dies in 1% der Zeit nicht tut und (2) wenn ein Nicht-Terrorist entdeckt wird, das System ihn nicht in 99% der Zeit markiert, sondern die Person als Treffer in 1% der Zeit registriert. Wie hoch ist die Wahrscheinlichkeit, dass eine von diesem System gekennzeichnete Person tatsächlich ein Terrorist ist?

Zuerst könnte es so aussehen, als gäbe es eine 99%ige Chance, dass diese Person ein Terrorist ist. Bei einer Ausfallrate des Systems von 1% erscheint diese Vorhersage sinnvoll. Dies ist jedoch ein Beispiel für falsches intuitives Denken, da es die Fehlerquote der Treffererkennung nicht berücksichtigt.

https://edri.org/wp-content/uploads/2019/09/base_rate_fallacy-1.png

Diese basiert auf dem Ratenirrtum: Der Irrtum z.B. beim Leitzins ist die Tendenz, Leitzinsen – tatsächliche Wahrscheinlichkeiten – in Gegenwart spezifischer, individueller Informationen zu ignorieren. Anstatt allgemeine Informationen und Statistiken mit Informationen über einen einzelnen Fall zu integrieren, neigt der Verstand dazu, den einen zu ignorieren und sich auf den anderen zu konzentrieren. Eine Art von Fallacy der Basiszinsen ist die, die wir oben vorgeschlagen haben, das falsch-positive Paradoxon, in dem falsch-positive Testergebnisse wahrscheinlicher sind als wahr-positive Tests. Dieses Ergebnis tritt auf, wenn die Bevölkerung insgesamt eine geringe Inzidenz einer bestimmten Erkrankung aufweist und die tatsächliche Inzidenzrate der Erkrankung niedriger ist als die falsch-positive Rate. Die Dekonstruktion des falsch-positiven Paradoxons zeigt, dass die wahre Chance im obigen Beispiel, dass diese Person ein Terrorist ist, näher bei 1% als bei 99% liegt.

In unserem Beispiel, von einer Million Einwohnern, gäbe es 999 900 gesetzestreue Bürger und 100 Terroristen. Die Anzahl der wahren Positiven, die von den Überwachungsnummern der Stadt registriert wurden, 99, mit der Anzahl der falschen Positiven bei 9 999 – eine Zahl, die selbst das beste System überwältigen würde. Insgesamt 10 098 Menschen – 9 9 999 Nicht-Terroristen und 99 tatsächliche Terroristen – werden das System auslösen. Das bedeutet, dass aufgrund der hohen Anzahl von False Positives die Wahrscheinlichkeit, dass das System einen Terroristen registriert, nicht 99% beträgt, sondern unter 1% liegt. Die Suche in großen Datensätzen nach wenigen Verdächtigen bedeutet, dass nur eine geringe Anzahl von Treffern jemals echt sein wird. Dies ist ein hartnäckiges mathematisches Problem, das sich auch bei verbesserter Genauigkeit nicht vermeiden lässt.

Sicherheit und Privatsphäre sind nicht unvereinbar – vielmehr gibt es ein notwendiges Gleichgewicht, das von einer Gesellschaft bestimmt werden muss. Das PNR-System stellt durch die Verwendung fehlerhafter mathematischer Annahmen sicher, dass weder Sicherheit noch Privatsphäre geschützt sind.

Epicenter.works

PNR – Passagiernamenserfassung

Passagierüberwachung vor Gerichten in Deutschland und Österreich (22.05.2019)

Wir werden die PNR-Richtlinie aufheben lassen (14.05.2019)

NoPNR – Wir gehen gegen die Massenverarbeitung von Passagierdaten vor!

Ein Erklärstück über die Falschheit der Grundannahme und die PNR (22.07.2019)

Beitrag von Kaitlin McDermott, EDRi-Mitglied Epicenter.works, Österreich

 

PNR-Klage beim Bundesverwaltungsgericht eingereicht

Von Epicenter.works

Am 19. August 2019 reichte das österreichische EDRi-Mitglied epicenter.works bei der Österreichischen Datenschutzbehörde (DPA) eine Beschwerde gegen die Richtlinie über Passenger Name Records (PNR) ein. Nach nur drei Wochen, am 6. September, erhielten sie die Antwort der DPA: Die Beschwerde wurde abgelehnt. Das klingt zunächst negativ, ist aber eigentlich eine gute Nachricht. Die Beschwerde kann und muss nun beim Bundesverwaltungsgericht eingereicht werden.

Warum wurde die Beschwerde abgelehnt?

Die DPA hat keine Befugnis zu entscheiden, ob Gesetze verfassungsmäßig sind oder nicht. Außerdem kann sie den Gerichtshof der Europäischen Union (EuGH) nicht anrufen, was in diesem Fall notwendig ist, da die Beschwerde eine EU-Richtlinie betrifft. Es war zu erwarten, dass das DPA auf diese Weise entscheiden würde, aber die Geschwindigkeit der Entscheidung war etwas überraschend – positiv. Es war von Anfang an klar, dass die Datenschutzbehörde die Beschwerde ablehnen würde, aber es war ein notwendiger Schritt, der nicht ausgelassen werden konnte, da es keinen anderen Rechtsweg zum Bundesverwaltungsgericht gibt als über das DPA. Alle sieben Verfahren der mit Hilfe von epicenter.works eingereichten Beschwerdeführer wurden zusammengeführt und die Organisation erhielt Vertretungsbefugnis. Dies bedeutet, dass epicenter.works die Beschwerdeführer vertreten darf.

Was sind die nächsten Schritte?

Unterdessen wartet epicenter.works immer noch auf eine Antwort nach dem Informationsfreiheitsgesetz (Freedom of Information, FOI), die sie an die Passenger Information Unit (PIU) geschickt haben, die die PNR-Daten in Österreich verarbeitet. Während eine Antwort auf eine Anfrage innerhalb weniger Tage eingegangen ist, ist eine weitere seit dem 23. August überfällig. Der unbeantwortete Antrag betrifft die datenschutzrechtlichen Rahmenbedingungen für die Umsetzung der PNR.

epicenter.works wird die Beschwerde innerhalb von vier Wochen beim Bundesverwaltungsgericht einreichen. Es ist zu erwarten, dass das Gericht Rechtsfragen an den Gerichtshof der Europäischen Union (EuGH) richten wird.

 

Epicenter.works

Passagiernamenserfassungen

Passagierüberwachung vor Gerichten in Deutschland und Österreich (22.05.2019)

PNR: EU-Gerichtshof entscheidet, dass der Entwurf einer Vereinbarung über Fluggastdaten zwischen der EU und Kanada inakzeptabel ist (26.07.2017).

Beitrag von Iwona Laub, EDRi-Mitglied Epicenter.works, Österreich

 

Deine Post, ihre Anzeigen. Deine Rechte?

Von Andreea Belu

  • Im digitalen Raum schnüffeln „Postdienste“ oft in Ihren Online-Gesprächen rum, um Dienstleistungen oder Produkte nach dem, was sie aus Ihren Chats erfahren, zu vermarkten.
  • Ein Gesetz zur Einschränkung dieser ausbeuterischen Praxis wird vom Rat der Europäischen Union blockiert.

Wir alle erwarten, dass unsere Post in den Händen eines Postboten sicher ist. Wir sind zuversichtlich, dass sowohl die Post als auch die dort tätigen Postboten keinen Blick in unsere schriftliche Korrespondenz werfen werden. Wir erwarten auch nicht, dass sich Postboten wie Haus-zu-Haus-Verkäufer verhalten.

Wenn wir von „Postdiensten“ sprechen, ist es wichtig zu verstehen, dass sich dies sowohl auf traditionelle Postdienste wie Yahoo als auch auf Instant Messaging-Anwendungen wie WhatsApp bezieht. Während gezielte Anzeigen bei Mail-Anbietern nicht mehr beliebt sind, gewinnt die Praxis in der Instant Messaging-Zone an Dynamik, nachdem der CEO von Facebook Pläne zur Einführung von Anzeigen für die Statusfunktion von WhatsApp bekannt gab.

Nicht nur Schuhwerbung

Du denkst vielleicht: „Nun, was schadet es, wenn man Schuhe inseriert, nachdem man die Einkaufschats zwischen meinem Freund und mir gelesen hat?“. Kurze Antwort: Es geht nicht nur um Schuhe.

Häufig sind gezielte Anzeigen das Ergebnis, dass Sie nach Alter, Standort, Geschlecht, sexueller Orientierung, politischen Ansichten oder ethnischer Zugehörigkeit profiliert werden. Sie erhalten Stellenanzeigen, die auf Ihrem Geschlecht basieren, oder Wohnungsanzeigen, die auf Ihrer ethnischen Zugehörigkeit basieren. Manchmal werden Sie ins Visier genommen, weil Sie sich ängstlich oder wertlos fühlen. Bist du sicher, dass all dies dir zugutekommen wird? Mehr noch, Ihr Online-Postbote könnte verpflichtet sein, alle Ihre E-Mails zu lesen, nur für den Fall, dass Sie in Zukunft in Schwierigkeiten mit dem Gesetz geraten. Wir nennen das Massendatenspeicherung.

https://edri.org/wp-content/uploads/2019/09/Sharepic_IntrusiveMailman-1024×512.jpg

Klicken Sie hier, um die Animation zu sehen.

Der Bedarf an verschlüsselter Post im Lager *und* während des Transports

Der WhatsApp-Fall ist ein gutes Beispiel. Derzeit versiegelt WhatsApp die Nachricht direkt nach dem Drücken von „Senden“. Die Nachricht geht an die Server von WhatsApp, wird verschlüsselt gespeichert und dann an den Empfänger gesendet, ebenfalls verschlüsselt. Das bedeutet, dass die Mail technisch gesehen sowohl im Speicher als auch im Transit verschlüsselt ist und niemand ihren Inhalt lesen kann. Wie Forbes jedoch betont, könnten zukünftige Werbepläne die Verschlüsselung von WhatsApp so modifizieren, dass sie „zuerst Schlüsselwörter in Sätzen wie „Angeln“ oder „Geburtstag“ identifizieren und sie an die Server von Facebook senden, um sie für Werbezwecke zu verarbeiten, während sie die verschlüsselte Nachricht separat versenden“.

Es gibt ein Gesetz dafür, aber es wird vom EU-Rat blockiert

Die derzeit in Verhandlung befindliche ePrivacy-Verordnung zielt darauf ab, die Privatsphäre und Vertraulichkeit unserer elektronischen Kommunikation zu gewährleisten, indem sie die mit der Allgemeinen Datenschutzverordnung (GDPR) eingeführten Regeln ergänzt und konkretisiert. Das EU-Parlament hat einen guten Standpunkt für den Datenschutz im Internet angenommen, der den Schutz Ihrer Online-Nachrichten sowohl bei der Speicherung als auch beim Versand gewährleistet (Art. 5), die „Zustimmung“ als einzige Rechtsgrundlage für die Datenverarbeitung betrachtet (Art. 6), die den Datenschutz durch Design und den Schutz der Privatsphäre durch Standard-Kernprinzipien im Software-Design festlegt (Art. 10) und die Verschlüsselung vor Maßnahmen schützt, die darauf abzielen, sie zu untergraben (Art. 17). Der Rat der Europäischen Union gibt jedoch unter dem Druck der Big-Tech-Lobby nach und hat eine Stellungnahme verfasst, die unsere Rechte und Freiheiten gefährdet. Darüber hinaus ist der vom EU-Parlament im Oktober 2017 angenommene Text im EU-Rat für bald zwei Jahre hinter verschlossenen Türen festgehalten worden. Wir haben mehrere Briefe (https://edri.org/civil-society-calls-for-protection-of-privacy-in-eprivacy/, https://edri.org/civil-society-calls-council-to-adopt-eprivacy-now/ und https://edri.org/eprivacy-reform-open-letter-to-eu-member-states/) verschickt, in denen wir zum Schutz unserer Kommunikation und zur Annahme dieser dringend benötigten Datenschutzrichtlinie für den elektronischen Geschäftsverkehr aufgerufen haben.

Werden unsere Stimmen gehört werden? Wenn Sie sich Sorgen machen, dass Sie auf der Grundlage Ihrer privaten Gespräche gezielt angesprochen werden, nehmen Sie an unseren Bemühungen teil und bleiben Sie auf dem Laufenden, wenn es bald weitere Updates gibt.

Lesen Sie mehr dazu:

Deine Familie geht sie nichts an (23.07.2019)

Bieten in Echtzeit: Die Auktion zu Ihrer Kenntnisnahme (4.07.2019)

Datenschutzrichtlinie für elektronische Kommunikation: Häufig gestellte Fragen

E-Privacy: Was geschah und was als nächstes passiert (29.11.2017)

Mythos e-Privacy (25.10.2017)

Von Andreea Belu, EDRi

 

Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny

0 Kommentare zu “EDRi-gram 17.16, 25. September 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.