EDRi-gram EU Datenschutz

EDRi-gram 18.2, 29. Januar 2020

  1. Verfolgt von deinem digitalen Doppelgänger?
  2. EuGH entscheidet über Verarbeitung von Passagierdaten nach der PNR-Richtlinie
  3. Stellungnahme des Generalanwaltes (AG): Massenspeicherung von Daten ist nicht mit dem EU-Recht vereinbar
  4. Datenspeicherung: „Nationale Sicherheit“ ist kein Blankoscheck
  5. #PrivacyCamp20 hat stattgefunden

 

Verfolgt von deinem digitalen Doppelgänger?

Von Ella Jakubowska

In diesem vierten Teil der Reihe „Gesichtserkennung und Grundrechte“ von EDRi untersuchen wir, was passieren könnte, wenn die Gesichtserkennung mit datenintensiven Geschäftsmodellen und einer 24/7-Überwachung kollidiert.

Das Geschäft mit der Verletzung der Privatsphäre

Online-Plattformen, Werbetreibende und Datenvermittler sind bereits auf die Anhäufung großer Mengen intimer Benutzerdaten angewiesen, die sie für den Verkauf gezielter Werbung und die „Personalisierung“ von Dienstleistungen nutzen. Dies ist kein Nebenprodukt ihrer Tätigkeit: Die Monetarisierung von Daten ist der zentrale Zweck der Facebooks und Googles der Welt.

Der norwegische Verbraucherrat hat einen Bericht über das Ausmaß der Schäden veröffentlicht, die durch diese ausbeuterischen und oft ungesetzlichen Werbetechnologie-Ökosysteme verursacht werden. Tatsächlich werden viele Rechtsverletzungen durch datengetriebene Geschäftsmodelle verschärft, die systemisch undurchsichtig und eindringlich sind und darauf abzielen, so viele persönliche Daten wie möglich zu ergattern. Wir alle haben das Sprichwort gehört: „Wenn das Produkt frei ist, dann sind Sie das Produkt.“

Schon jetzt bilden Ihre Interaktionen jedes Mal, wenn Sie eine E-Mail senden, nach rechts streichen oder im Internet surfen, ein unheimliches (und oft ungenaues und voreingenommenes) digitales Porträt. Und jetzt können Werbetreibende durch das dystopisch benannte „BioMarketing“ Kameras auf Plakatwänden anbringen, die sofort Ihr Gesicht analysieren, wenn Sie vorbeigehen, um Ihr Alter, Ihr Geschlecht – und sogar Ihre ethnische Zugehörigkeit oder Ihre Stimmung vorherzusagen. Sie verwenden diese Daten, um die Werbung, die Sie sehen, zu „personalisieren“. Sollten Sie also besorgt sein, dass diese Echtzeit-Analyse mit Ihren Online-Interaktionen kombiniert werden könnte? Ist Ihr digitaler Doppelgänger in der Lage, von Ihrem Bildschirm auf die Straße zu gehen?

Wenn sich dein digitaler Doppelgänger gegen dich wendet

Die Diskriminierung von Sexarbeiterinnen durch Airbnb ist nur ein Beispiel dafür, wie Unternehmen bereits Daten von anderen Plattformen nutzen, um Nutzern, die beim Zugriff auf den Dienst weder gegen Gesetze noch gegen die Nutzungsbedingungen verstoßen haben, ungerechtfertigterweise Dienste zu verweigern. Da Tausende von scheinbar harmlosen Daten über Sie aus Ihrem gesamten digitalen Fußabdruck – und jetzt sogar aus Ihrer Türklingel – kombiniert werden, können Rückschlüsse und Vorhersagen über Ihre Überzeugungen, Vorlieben, Gewohnheiten oder Ihre Identität leicht gegen Sie verwendet werden.

Der jüngste Skandal um die KI von Clearview hat Licht auf ein zwielichtiges Datenunternehmen geworfen, das unrechtmäßig Milliarden von Gesichtsbildern aus sozialen Medien und anderen Plattformen ausgelesen und analysiert und diese dann an die Polizei verkauft hat. Die Systeme von Clearview AI wurden auf der Grundlage falscher Effektivitätsbehauptungen verkauft und von den Strafverfolgungsbehörden unter eklatanter Missachtung des Datenschutzes, der Sicherheit, der Schutzmaßnahmen, der Genauigkeit oder der Privatsphäre eingesetzt. Das Ausmaß der Online-Datenerfassung und der Nutzung als Waffe ist vielleicht noch schlimmer als wir dachten.

Überwachungstechnologieunternehmen machen sich diesen biometrischen Erkennungs- und Datenhype zunutze. Das spanische Unternehmen Herta Security und die niederländischen VisionLabs sind nur zwei der vielen Unternehmen, die die müde (und überflüssige) „Sicherheits“-Ausrede benutzen, um das Scannen aller Personen in Geschäften, Bahnhöfen oder auch nur auf der Straße zu rechtfertigen. Sie verkaufen Echtzeitsysteme, die „schlechte“ Menschen ausschließen sollen, indem sie ihnen den Zugang zu Räumen verweigern und „gute“ Menschen mit besseren Angeboten belohnen. Beunruhigend ist, dass dadurch Entscheidungen privatisiert werden, die schwerwiegende Auswirkungen auf die Grundrechte haben, und private Unternehmen in die Lage versetzt werden, als Richter, Jury und Henker unserer öffentlichen Räume zu fungieren.

Es wird noch schlimmer…

Überwachungstechnologieunternehmen weichen vorhersagbar aus, woher sie ihre Daten bekommen und wie sie ihre Systeme trainieren. Obwohl sowohl Herta Security als auch VisionLabs für eine strenge Einhaltung des Datenschutzes werben, sind ihre Behauptungen höchst fragwürdig: So bietet Herta Security beispielsweise mit Stolz an, Werbung auf der Grundlage der Hautfarbe gezielt zu schalten. VisionLabs hingegen sagt, dass ihre Systeme „wiederkehrende Besucher“ identifizieren können. Es ist schwer vorstellbar, wie sie dies tun können, ohne persönlich identifizierbare biometrische Daten ohne die Zustimmung der Menschen zu erhalten (was natürlich ein schwerer Verstoß gegen das Datenschutzgesetz wäre).

Als ob dies noch nicht genug wäre, bietet VisionLabs mit Begeisterung auch an, die Emotionen der Käufer zu analysieren. Diese so genannte „Affekterkennung“ wird immer häufiger durchgeführt und basiert auf unglaublich zweifelhaften wissenschaftlichen und ethischen Grundlagen. Aber das hat nicht daran gehindert, dass sie zur Bewertung von allem verwendet wird, von der Frage, ob Migranten in Einwanderungsgesprächen die Wahrheit sagen, bis hin zur Eignung von jemandem für eine Stelle.

Sind wir nicht ein bisschen paranoid?

Theoretisch ist eine Kollision der biometrischen Analyse mit riesigen Datenquellen und einer Überwachung rund um die Uhr erschreckend. Aber würde jemand Ihre Online- und biometrischen Daten wirklich so ausnutzen?

Dank der Gesichtserkennung wissen viele Online-Plattformen bereits genau, wie Sie aussehen, und ordnen Ihrem Profil zu Werbezwecken verdeckt hochspezifische Kategorien zu. Sie wissen, ob Sie depressiv sind oder eine sexuell übertragbare Krankheit haben. Sie wissen, wann Sie Ihre letzte Periode hatten. Sie wissen, ob Sie anfällig für Impulskäufe sind. Sie schließen daraus, ob Sie einsam sind oder ein geringes Selbstwertgefühl haben.

Es gibt auch Hinweise darauf, dass Gesichtserkennungssysteme an internationalen Grenzen inzwischen mit Vorhersagen kombiniert wurden, die aus verdeckten Datenquellen zusammengetragen wurden, um Reisende als potenzielle Terroristen oder Migranten ohne Papiere zu identifizieren. Kombiniert wird dies mit der Tatsache, dass automatisierte Systeme Schwarze konsequent als krimineller als Weiße bewerten, auch wenn alle anderen Variablen kontrolliert werden. Ihr digitaler Doppelgänger – Ungenauigkeiten, diskriminierende Urteile und alles – wird unauslöschlich an Ihr Gesicht und Ihren Körper gebunden. Dies wird den Strafverfolgungsbehörden helfen, selbst unschuldige Menschen zu identifizieren, zu überwachen, ins Visier zu nehmen und zu kontrollieren.

Die Verletzung Ihrer Grundrechte

Angesichts des enormen Einflusses, den biometrische Identifizierungssysteme auf unser Privatleben haben, stellt sich nicht nur die Frage, wie sie funktionieren, sondern auch, ob man ihnen das erlauben sollte. Diese datengesteuerte Dauerüberwachung verwischt die Grenze zwischen öffentlicher und privater Kontrolle auf gefährliche Weise, so dass die Behörden die Verantwortung an kommerziell geschützte Algorithmen auslagern und private Unternehmen die Möglichkeit haben, Menschen zu kommerzialisieren und an die Strafverfolgungsbehörden zurückzuverkaufen. Dieses ganze Ökosystem verletzt grundlegend die Menschenwürde, die für unsere Fähigkeit, in Sicherheit und unter Achtung unseres Privatlebens zu leben, von wesentlicher Bedeutung ist.

Die Ad-tech-Industrie ist eine Fundgrube für biometrische Überwachungstechnologieunternehmen, die heimlich das Wissen und damit die Macht erwerben können, Ihren Zugang zu und Ihre Interaktionen mit Straßen, Supermärkten und Banken auf der Grundlage dessen zu kontrollieren, was Ihr digitaler Doppelgänger über Sie sagt, ob es stimmt oder nicht. Sie werden zu einer wandelnden, twitternden Werbemöglichkeit und zu einem potenziellen Verdächtigen in einer kriminellen Datenbank. Die eigentliche Frage lautet also: Wann wird Europa ein Machtwort sprechen?

Weitere Informationen:

Gesichtserkennung und Grundrechte 101 (04.12.2019)

Die vielen Gesichter der Gesichtserkennung in der EU (18.12.2019)

Dein Gesicht wird bemerkt: Drei gängige Anwendungen der Gesichtserkennung (15.01.2020)

10 Gründe, warum Online-Werbung nicht funktioniert (08.01.2020)

Die EU finanziert dystopische Projekte der künstlichen Intelligenz (22.01.2020)

Gesichtserkennungskameras bringen uns alle in die Gegenüberstellung (27.01.2020)

Außer Kontrolle: Wie die Verbraucher von der Online-Werbebranche ausgebeutet werden (PDF, 14.01.2020)

Amazons „Recognition“ zeigt ihr wahres Gesicht (15.01.2020)

Wir verbieten die Gesichtserkennung. Wir übersehen das Entscheidende (20.01.2020)

Das geheimnisvolle Unternehmen, das die Privatsphäre, wie wir sie kennen, beenden könnte (18.01.2020)

Adtech – die Reform des Echtzeit-Bietens hat begonnen und wird fortgesetzt (17.01.2020)

Studie von Privacy International zeigt, dass Ihre psychische Gesundheit zum Verkauf steht (03.09.2019)

Beitrag von Ella Jakubowska, EDRi-Volontärin

 

EuGH entscheidet über Verarbeitung von Passagierdaten nach der PNR-Richtlinie

Von der Gesellschaft für Freiheitsrechte

Am 20. Januar 2020 hat das Landgericht Köln (Deutschland) dem Gerichtshof der Europäischen Union (EuGH) die Frage vorgelegt, ob die Richtlinie über Fluggastdatensätze (PNR) gegen Grundrechte verstößt. Das EDRi-Mitglied Gesellschaft für Freiheitsrechte (GFF) leitete das Verfahren gegen die Richtlinie ein, die es den Behörden erlaubt, personenbezogene Daten aller Personen, die in Europa einen internationalen Flug antreten, zu analysieren und zu speichern.

Die GFF ist der Ansicht, dass die PNR-Richtlinie das Recht auf den Schutz personenbezogener Daten und das Recht auf Achtung des Privat- und Familienlebens verletzt. Die PNR-Richtlinie (Richtlinie 2016/681) verpflichtet die Fluggesellschaften, die Datensätze ihrer Passagiere automatisch an die staatlichen Behörden zu übermitteln. Diese Datensätze enthalten eine große Menge sensibler Informationen, darunter das Geburtsdatum, die Namen der Begleitpersonen, die für den Kauf des Flugtickets verwendeten Zahlungsmittel und ein nicht spezifiziertes Textfeld, das die Fluggesellschaft selbständig ausfüllt.

Die Daten werden in der Regel bei den Polizeibehörden gespeichert. In Deutschland beabsichtigt das Bundeskriminalamt, die Datensätze künftig automatisch mit vorgegebenen „Kriterien“ abzugleichen, zum Beispiel mit Kriterien, die das Flugverhalten bekannter Krimineller beschreiben. Damit muss jeder, dessen Profil verdächtig erscheint, mit vermehrten Polizeikontrollen oder gar Festnahmen rechnen. Denn die Fehlerraten der Algorithmen werden erheblich sein.

Strategischer Rechtsstreit vor dem höchsten europäischen Gericht

Im Jahr 2019 klagte die GFF zusammen mit dem EDRi-Mitglied epicenter.works vor deutschen und österreichischen Gerichten und Behörden gegen die PNR-Richtlinie. Da es nicht möglich ist, gegen die Richtlinie direkt vor dem EuGH Berufung einzulegen, wurden die Klagen mit dem strategischen Ziel ausgewählt, die Beschwerde vor dem höchsten europäischen Gericht einzureichen.

In Deutschland unterstützt der GFF mehrere Personen, die Beschwerde gegen die Fluggesellschaft Deutsche Lufthansa AG einreichen, die ihre Daten an das deutsche Bundeskriminalamt übermittelt. Zu den Klägern, die vor dem Landgericht Köln Klage erheben, gehören die niederländische Abgeordnete Kathalijne Buitenweg sowie die deutsche Netzaktivistin Kübra Gümüşay und die Rechtsanwältin Franziska Nedelmann.

Wie erwartet hat das Landgericht Köln den Fall wegen der offensichtlichen Auswirkungen des EU-Rechts nun an den CJEU verwiesen. Unserer Ansicht nach ist die PNR-Richtlinie mit der Europäischen Charta der Grundrechte unvereinbar, und der EuGH hat bereits mit seinem Gutachten 1/15 vom 26. Juli 2017 ein ähnliches PNR-Abkommen zwischen der EU und Kanada gestoppt. Mit der an den EuGH verwiesenen Angelegenheit könnte die massenhafte Verarbeitung von Passagierdaten in der EU ein Ende haben.

Die Grundfinanzierung des Projekts wird durch den Digital Freedom Fund bereitgestellt.

Weitere Informationen:
Gesellschaft für Freiheitsrechte (GFF, Gesellschaft für Bürgerrechte)

Website der PNR-Kampagne: Kein PNR

Passagierüberwachung vor Gericht in Deutschland und Österreich (22.05.2019)

EU-Richtlinie 2016/681 (PNR-Richtlinie)

Beitrag des EDRi-Mitglieds Gesellschaft für Freiheitsrechte, Deutschland

 

Stellungnahme des Generalanwaltes (AG): Massenspeicherung von Daten ist nicht mit dem EU-Recht vereinbar

Von Privacy International

Am 15. Januar veröffentlichte Generalanwalt (AG) Campos Sánchez-Bordona vom Gerichtshof der Europäischen Union (CJEU) seine Schlussanträge (C-623/17, C-511/18 und C-512/18 und C-520/18), in denen er darlegte, wie der Gerichtshof seiner Ansicht nach über wichtige Fragen im Zusammenhang mit den Bedingungen entscheiden sollte, unter denen Sicherheits- und Nachrichtendienste im Vereinigten Königreich, in Frankreich und Belgien Zugang zu den von Telekommunikationsanbietern gespeicherten Kommunikationsdaten erhalten könnten.

Der Generalanwalt sprach zwei wichtige Fragen an:

  1. Wenn Staaten versuchen, elektronischen Kommunikationsdiensten im Namen der nationalen Sicherheit Verpflichtungen aufzuerlegen, fallen solche Anforderungen dann in den Anwendungsbereich des EU-Rechts?
  2. Wenn die Antwort auf die erste Frage ja lautet, was verlangt das EU-Recht von den fraglichen nationalen Regelungen, die Folgendes umfassen: eine französische Regelung zur Vorratsdatenspeicherung, eine belgische Regelung zur Vorratsdatenspeicherung und eine britische Regelung für die Erhebung von Massenkommunikationsdaten?

Seine kurzen Antworten auf diese Fragen lauten:

  1. Ja, das EU-Recht gilt immer dann, wenn Staaten versuchen, Verarbeitungsanforderungen an elektronische Kommunikationsdienste zu stellen, auch wenn diese Verpflichtungen durch nationale Sicherheitsbedenken motiviert sein können; und
  2. Dementsprechend müssen die fraglichen nationalen Regelungen alle mit den früheren Urteilen des CJEU in den Rechtssachen C-293/12 und C-594/12 („Digital Rights Ireland“) und Tele2 Sverige und Watson u.a., C-203/15 und C-698/15 („Tele2/Watson“), übereinstimmen. Keine von ihnen tut dies, was den AG dazu veranlasst, darauf hinzuweisen, dass keines der Anordnungen mit dem EU-Recht vereinbar ist.

Die Stellungnahme des AG ist eine Bestätigung des Grundprinzips, das im Mittelpunkt der Arbeit des EDRi-Mitglieds Privacy International steht: Nationale Sicherheitsmaßnahmen müssen der Rechtsstaatlichkeit unterliegen und unsere Grundrechte respektieren.

Privacy International initiierte die Anfechtung der britischen Regelung für Massenkommunikationsdaten und intervenierte bei der Anfechtung des französischen Datenspeicherungsgesetzes.

Gilt das EU-Recht?

Im Mittelpunkt aller drei Stellungnahmen steht die Frage, ob das EU-Recht Anwendung findet, wenn die Mitgliedstaaten zum Schutz ihrer nationalen Sicherheit tätig werden. Der AG kommt zu dem Schluss, dass der nationale Sicherheitskontext nicht gegen EU-Recht verstößt. Stattdessen muss man sich mit den Auswirkungen der vorgeschlagenen Anforderung – Datenspeicherung oder -erhebung – auf elektronische Kommunikationsdienste befassen. Von diesen Dienstleistern zu verlangen, dass sie Daten aufbewahren und/oder an die Sicherheits- und Nachrichtendienste (SIAs) übermitteln, fällt unter EU-Recht, weil solche Praktiken als „Verarbeitung personenbezogener Daten“ qualifiziert werden.

Der AG verneint diesen Grundsatz und sagt: „Die Bestimmungen der Richtlinie gelten nicht für *Tätigkeiten*, die der Wahrung der nationalen Sicherheit dienen und die von den Behörden selbst durchgeführt werden, ohne die Mitarbeit von Privatpersonen zu verlangen und ihnen daher keine Verpflichtungen bei der Geschäftsführung aufzuerlegen“ (Rechtssache C-623/17, Absatz 34/79) (Hervorhebung im Original).

Ist die britische Massenkommunikationsdatenregelung mit dem EU-Recht vereinbar?

Im Fall des Vereinigten Königreichs focht Privacy International die Massenerfassung und -nutzung von Kommunikationsdaten durch die Kommunikationszentrale der Regierung (GCHQ und den Sicherheitsdienst MI5) an. Dieser Fall begann beim Investigatory Powers Tribunal (IPT), das die Fragen, mit denen sich der AG befasst, an den CJEU weiterleitete. Das IPT bat den CJEU, erstens zu entscheiden, ob es in den Geltungsbereich des Rechts der Europäischen Union fällt, wenn ein elektronisches Kommunikationsnetz für die Weitergabe von Kommunikationsdaten in großen Mengen an die SIA erforderlich ist, und zweitens, wenn die Antwort auf die erste Frage ja lautet, welche Schutzmaßnahmen für diesen Massenzugang zu Daten gelten sollten.

Wie bereits erwähnt, lautet die Antwort des AG auf die erste Frage „Ja“, womit die zweite Frage ins Spiel kommt. Kurz gesagt erklärt der AG, dass die britische Massenkommunikations- und Datenspeicherungsregelung (wie sie gemäß Abschnitt 94 des Telekommunikationsgesetzes von 1984 umgesetzt wurde) „die im Urteil Tele2 Sverige und Watson festgelegten Bedingungen nicht erfüllt, da sie eine allgemeine und unterschiedslose Speicherung personenbezogener Daten beinhaltet“ (Rechtssache C-623/17, Absatz 37).

Der AG betont erneut, dass der Zugang zu den auf Vorrat gespeicherten Daten „einer vorherigen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterliegen muss“ (Rechtssache C-623/17, Paragraph 139). Der Wert dieser Behörde liegt in ihrer Verpflichtung, „sowohl die nationale Sicherheit zu schützen als auch die Grundrechte der Bürger zu verteidigen“ (Id.).

Der AG befürwortet ferner die Anwendung der anderen Bedingungen aus dem Tele2/Watson-Urteil, darunter

  • die Anforderung, die betroffenen Parteien zu informieren, es sei denn, dies würde die Wirksamkeit der Maßnahme beeinträchtigen; und
  • die Aufbewahrung der Daten innerhalb der Europäischen Union. (Rechtssache C-623/17, Absatz 43, Vereinigtes Königreich)

Ist das französische System der Vorratsdatenspeicherung mit dem EU-Recht vereinbar?

Der französische Fall fragte in ähnlicher Weise, ob eine allgemeine und unterschiedslose Datenspeicherung nach EU-Recht zum Zwecke der Terrorismusbekämpfung zulässig ist.

Der AG kam zu dem Schluss, dass die französische Regelung auf eine allgemeine und unterschiedslose Datenspeicherung hinausläuft und als solche nicht mit dem EU-Recht vereinbar ist (französische Rechtssachen C-511/18 und C-12/18, Absatz 111). Die fragliche französische Gesetzgebung erlegt allen Betreibern der elektronischen Kommunikation und anderen eine einjährige Aufbewahrungspflicht für alle Daten aller Teilnehmer zum Zweck der Untersuchung, Feststellung und Verfolgung von Straftaten auf.

Der AG bekräftigt die Schlussfolgerung des Tele2/Watson-Urteils, dass der Kampf gegen den Terrorismus oder ähnliche Bedrohungen der nationalen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Daten nicht rechtfertigen kann. Er schlägt vor, dass die Vorratsspeicherung von Daten nur dann gezielt und zulässig sein sollte, wenn bestimmte Kriterien erfüllt sind, z.B. wenn sie auf eine bestimmte Personengruppe oder ein bestimmtes geographisches Gebiet abzielt (französische Rechtssachen C-511/18 und C-12/18, Paragraph 133). In der belgischen Stellungnahme wird auf mögliche Arten von Zielkriterien eingegangen. Zur Frage des Zugangs zu den auf Vorrat gespeicherten Daten rät er, dass der Zugang von der vorherigen Genehmigung einer Justiz- oder unabhängigen Verwaltungsbehörde nach einem begründeten Antrag der zuständigen Behörden abhängen sollte.

Der AG kam ferner zu dem Schluss, dass die Echtzeit-Sammlung von Verkehrs- und Standortdaten von Personen, die im Verdacht stehen, mit einer spezifischen terroristischen Bedrohung in Verbindung zu stehen, nach EU-Recht zulässig wäre, solange sie den Dienstleistungsanbietern nicht die Verpflichtung auferlegt, zusätzliche Daten über das hinaus aufzubewahren, was bereits für die Rechnungsstellung oder Marketing-Dienstleistungen erforderlich ist. Für den Zugriff auf diese Daten ist auch eine unabhängige Genehmigung erforderlich (französische Rechtssachen C-511/18 und C-12/18, Absätze 142-3).

Ähnlich wie in der obigen Stellungnahme des Vereinigten Königreichs bekräftigt der AG die Verpflichtung zur Unterrichtung der betroffenen Parteien, es sei denn, dies würde die Wirksamkeit der bereits im Fall Tele2/Watson festgelegten Maßnahme beeinträchtigen, und kommt zu dem Schluss, dass das französische Recht nicht mit den Anforderungen der EU vereinbar ist (französische Rechtssachen C-511/18 und C-12/18, Paragraph 153).

Sind die Stellungnahmen der AG die Urteile des EuGH?

Die Stellungnahmen der AG sind für den EuGH nicht bindend. Der Gerichtshof wird seine Stellungnahme in den kommenden Monaten abgeben.

Was kommt als nächstes?

Nach dem EuGH-Urteil wird jeder Fall an die nationalen Gerichte der einzelnen Staaten zurückverwiesen. Wenn der EuGH mit dem Generalanwalt übereinstimmt, müssen die nationalen Gerichte das EuGH-Urteil anwenden und dementsprechend innerstaatliche Regelungen für mit dem EU-Recht unvereinbar erklären.

Dieser Artikel wurde ursprünglich veröffentlicht unter: https://privacyinternational.org/news-analysis/3334/advocate-generals-opinion-national-security-mass-retention-regimes-are

Weitere Informationen:

Erneut unterschiedslose Datenspeicherung als unverhältnismäßig angesehen (15.01.2020)

Beitrag von Caroline Wilson Palow und Ilia Siatitsa, EDRi-Mitglied Privacy International

 

Datenspeicherung: „Nationale Sicherheit“ ist kein Blankoscheck

Von Laureline Lemoine

Am 15. Januar hat Generalanwalt (AG) Campos Sánchez-Bordona vom Gerichtshof der Europäischen Union (EuGH) im Rahmen der Überwachungsprogramme dieser Mitgliedstaaten seine Schlussanträge zu vier Fällen bezüglich der Regelungen zur Datenspeicherung in Frankreich, Belgien und dem Vereinigten Königreich vorgelegt.

Der AG billigte die frühere Rechtsprechung zur Datenspeicherung und bestätigte, dass eine allgemeine und unterschiedslose Vorratsspeicherung von personenbezogenen Daten unverhältnismäßig ist, selbst wenn solche Regelungen aus Gründen der nationalen Sicherheit durchgeführt werden.

Ein interessanter Auszug aus seinen Stellungnahmen ist, wie er die EU-Mitgliedstaaten herausforderte, die dazu neigen, die nationale Sicherheit als ihre „Get-out-of-jail-free“-Karte zu betrachten.

Die nationale Sicherheit kann nicht als Fluchtweg aus dem EU-Recht benutzt werden

Eine der Fragen, die die AG zu beantworten hatte, betraf die Anwendbarkeit der Datenschutzrichtlinie für elektronische Kommunikation, die von den Mitgliedstaaten angefochten wurde. Sie argumentierten, dass das EU-Recht nicht anwendbar sei, da die Überwachungsprogramme eine Frage der nationalen Sicherheit im Zusammenhang mit der Bedrohung durch den Terrorismus seien und daher nicht in die Zuständigkeit der EU fielen.

Obwohl die Angelegenheit bereits im Tele 2-Fall gelöst worden war, sorgte der AG angesichts der entschlossenen Mitgliedstaaten für eine klare und hoffentlich ein für alle Mal klare Aussage zum Arguments der nationalen Sicherheit. In allen drei Stellungnahmen betont der AG, dass in diesen Fällen nationale Sicherheitsgründe die Anwendbarkeit des EU-Rechts nicht verhindern könnten. Für den AG ist der Begriff der „nationalen Sicherheit“ zu vage, um sich gegen die Anwendung von Schutzmaßnahmen zum Schutz personenbezogener Daten und der Vertraulichkeit der Bürger zu wenden (C-511/18 und C-512/18, Abs. 74).

Er fuhr daher fort, diesen Begriff im Lichte der Datenschutzrichtlinie für elektronische Kommunikation zu definieren. Die Richtlinie sei nicht anwendbar, wenn Tätigkeiten, die mit der „nationalen Sicherheit“ zusammenhängen, von den öffentlichen Behörden direkt selbst, mit eigenen Mitteln und auf eigene Rechnung durchgeführt werden. Sobald aber die Staaten privaten Akteuren aus den gleichen Gründen Verpflichtungen auferlegen, gilt die Richtlinie (C-511/18 und C-512/18, Abs. 79 bis 85).

In diesen Fällen sind die Telekommunikationsanbieter gesetzlich verpflichtet, die Daten ihrer Teilnehmer aufzubewahren und den Behörden den Zugang zu diesen Daten zu ermöglichen. Es spielt keine Rolle, dass diese Verpflichtungen aus Gründen der nationalen Sicherheit auferlegt werden.

…und auch nicht das Grundrecht der Sicherheit

Um dem Argument der „Sicherheit“ eine weitere Ebene hinzuzufügen, wurde im französischen Fall das Recht auf Sicherheit gemäß Artikel 6 der Charta der Grundrechte der Europäischen Union als Begründung für die Datenspeicherung genannt. Dies könnte ein stichhaltiges Argument sein, aber wie der AG hervorhebt, ist das in der Charta geschützte Recht auf Sicherheit das Recht auf persönliche Sicherheit gegen willkürliche Festnahme oder Inhaftierung und umfasst nicht die öffentliche Sicherheit im Sinne von terroristischen Bedrohungen und Anschlägen (C-511/18 und C-512/18, Abs. 98, 99).

Terrorismus als Vorwand?

Als Teil des Arguments der „nationalen Sicherheit“ argumentierte Frankreich auch, dass die allgemeine und unterschiedslose Vorratsspeicherung personenbezogener Daten zur Bekämpfung des Terrorismus in einem Kontext ernsthafter und anhaltender Bedrohungen der nationalen Sicherheit eingeführt wurde.

Der AG weist jedoch zu Recht darauf hin, dass der Terrorismus in der französischen Gesetzgebung nur eine der möglichen Rechtfertigungen für eine solche Datenspeicherung ist. Die Bedrohung durch den Terrorismus ist Teil des faktischen Kontexts und der Vorwand für die Auferlegung eines solchen Regelung, während die REgelung in Wirklichkeit allgemein zum Zweck der Verbrechensbekämpfung gilt (C-511/18 und C-512/18, Abs. 119 & 120).

Darüber hinaus hatte der CJEU bereits im Fall Tele2 die Möglichkeit einer allgemeinen und unterschiedslosen Datenspeicherung aus Gründen der Terrorismusbekämpfung abgelehnt. Der AG betont, dass dies nicht unvereinbar ist mit der Auffassung des Gerichtshofs, dass die Bekämpfung des Terrorismus ein legitimes und lebenswichtiges Interesse des Staates ist. Die Rechtsprechung des CJEU ist jedoch klar, dass ein solches Ziel von allgemeinem Interesse, so wichtig es auch sein mag, an sich nicht die Notwendigkeit einer allgemeinen und unterschiedslosen Vorratsspeicherung rechtfertigen kann.

Als Antwort auf die Argumente der Mitgliedstaaten, die gegen etwas weniger als eine allgemeine und unterschiedslose Vorratsspeicherung zu diesem Zweck argumentieren, erklärt der AG, dass der Kampf gegen den Terrorismus nicht nur im Hinblick auf seine Effizienz betrachtet werden kann. Wegen des Umfangs und der Mittel, die in diese Frage investiert werden, muss sie Teil der Rechtsstaatlichkeit sein und die Grundrechte respektieren. Sich nur auf die Effizienz zu verlassen, würde bedeuten, andere demokratische Fragen zu ignorieren, und könnte im Extremfall zum Schaden der Bürger führen. (C-511/18 und C-512/18, Abs. 131).
Dem AG gelingt es, die Argumente der Mitgliedstaaten zu entkräften, aber er kann keinen Missbrauch verhindern.

Die Gefahr von Ausnahmen des „Ausnahmezustands“

Tatsächlich erklärt der AG am Ende seiner Analyse sehr kurz (C-511/18 und C-512/18, Abs. 104 und C-520/18, Abs. 105 & 106), dass es den Mitgliedstaaten unabhängig von seinen Argumenten gestattet werden könnte, eine Verpflichtung zur Vorratsdatenspeicherung aufzuerlegen, die so weit und allgemein wie nötig ist. Dies könne nur in wirklich außergewöhnlichen Situationen geschehen, wenn eine unmittelbare Bedrohung oder ein außerordentliches Risiko bestehe, das die Verhängung des Ausnahmezustands in einem Mitgliedstaat rechtfertige.

Die einzige erwähnte Schutzmaßnahme ist der „begrenzte Zeitraum“, für den diese Art von Regelungen gelten könnten. Das reicht nicht aus, da wir gesehen haben, wie ein „Notstand“ missbraucht werden kann. In Frankreich wurde nach den Terroranschlägen vom November 2015 der „l’état d’urgence“, der Ausnahmezustand, verhängt, der zwei Jahre lang andauerte. Es hat sich gezeigt, dass dieses System nicht nur zur Terrorismusbekämpfung, sondern auch als Instrument der sozialen, sicherheitspolitischen und politischen Kontrolle eingesetzt wurde, um beispielsweise Klimaaktivisten, die als „Extremisten“ gelten, zu überwachen und zu verhaften.

Globaler betrachtet wurde dies durch die verschiedenen elektronischen Überwachungsprogramme bewiesen, die die USA nach dem 11. September im Namen des „Kriegs gegen den Terror“ eingeführt haben.

Die Stellungnahmen des AG sind nicht bindend, beeinflussen aber in der Regel die endgültigen Urteile des CJEU, die in den kommenden Monaten ergehen werden. EDRi wird die Entwicklung dieser Fälle verfolgen.

Weitere Informationen:

Erneut unterschiedslose Datenspeicherung als unverhältnismäßig angesehen (15.01.2020)

Vorläufige Erklärung: Schlussanträge des Generalanwalts weisen darauf hin, dass ein Massenüberwachungsregime unrechtmäßig ist (15.01.2020)

Stellungnahme der AG: Massenaufbewahrung von Daten, die nicht mit dem EU-Recht vereinbar sind (29.01.2020)

Pressemitteilung des EuGH: Generalanwalt Campos Sánchez-Bordona: Die Mittel und Methoden der Terrorismusbekämpfung müssen mit den Anforderungen des Rechtsstaates vereinbar sein (PDF, 15.01.2020)

Beitrag von Laureline Lemoine, EDRi

 

#PrivacyCamp20 hat stattgefunden

Von Andreea Belu

Das Privacy Camp 2020 fand am 21. Januar 2020 in Brüssel, Belgien, statt. EDRi hatte das Vergnügen, zusammen mit der VUB-LSTS, dem Privacy Salon vzw und dem Institut für Europäische Studien an der USL-B die 8. Ausgabe dieser Nebenveranstaltung der Konferenz Computer, Privatsphäre und Datenschutz (CPDP) zu organisieren. Vor dem Hintergrund der wachsenden sozialen Bewegungen und des zunehmenden bürgerschaftlichen Engagements auf der ganzen Welt konzentrierte sich das diesjährige Thema auf Technologie und Aktivismus.

Befürworter digitaler Rechte, Aktivisten sowie Wissenschaftler und politische Entscheidungsträger aus ganz Europa und darüber hinaus kamen für einen Tag mit Panels, Workshops, Ausstellungen und Brainstorming-Sitzungen zusammen. Über 40 Rednerinnen und Redner hatten unser Publikum in fruchtbare Diskussionen über soziale Medien und politischen Dissens, zivilen Online-Ungehorsam, Überwachung, Zensur, Bürgerbeteiligung in der Informationspolitik, Datengerechtigkeit, Datenaktivismus, Commons und Peer-Produktion, Bürgerwissenschaft und mehr eingebunden. Darüber hinaus haben wir die zweite Ausgabe des Gipfels der Zivilgesellschaft des Europäischen Datenschutzbeauftragten (EDSB) zum Thema Gesichtserkennung mitorganisiert.

Das Programm dieser Ausgabe des Privacy Camp mit den Einzelheiten jeder Sitzung ist hier verfügbar: https://privacycamp.eu/, und wir werden in Kürze vollständige Aufzeichnungen der Panels veröffentlichen, einschließlich der Präsentationen der Redner und der Fragen und Antworten. Um die ersten zu sein, die über das Privacy Camp auf dem Laufenden gehalten werden (einschließlich der Veröffentlichung von Videoaufzeichnungen), sollten Sie sich in die neue Privacy Camp-Mailingliste eintragen: https://mailman.edri.org/mailman/listinfo/privacycamp

Ein neuer Veranstaltungsort. Über 40 Redner. 9 Sitzungen. 250 Personen ++. Mehr als 15 Stunden Gespräche und Plaudereien. Über 100 Liter Kaffee-Brennstoff. Jede Menge #PrivacyCamp20-Tweets. Ein Trend-Hashtag. Lieber Leser, dies war die 8. Ausgabe des Privacy Camp.
 
Beitrag von Andreea Belu, EDRi

 
 
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny

0 Kommentare zu “EDRi-gram 18.2, 29. Januar 2020

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.