EDRi-gram EU Datenschutz

EDRi-gram 18.3, 12. Februar 2020

  1. Die menschenrechtlichen Auswirkungen von Technologien zur Migrationskontrolle
  2. Datengewinnung aus der Cloud: Ein tiefes Eintauchen in die Technik der geheimen Massendatenerfassung
  3. Digitalcourage wehrt sich gegen die Datenspeicherung in Deutschland
  4. Doppelte Rechtmäßigkeitsprüfung beim E-Beweis: Auf Wiedersehen „direkte Datenanfragen“
  5. Datenschutzgarantien in Handelsabkommen zwischen der EU und Vietnam erforderlich
  6. PI und Liberty reichen eine neue Klage gegen MI5 ein
  7. Absichtlich gefährlich: Eine warnende Geschichte über Gesichtserkennung

 

Die menschenrechtlichen Auswirkungen von Technologien zur Migrationskontrolle

Von Petra Molnar

Dies ist der erste Blogpost einer Serie über unser neues Projekt, das die gelebten Erfahrungen von Menschen in Bewegung, die von den Technologien der Migrationskontrolle betroffen sind, in den Vordergrund stellt. Das Projekt unterstreicht die Notwendigkeit, die undurchsichtigen technologischen Experimente zu regulieren, die in und um die Grenzgebiete der EU und darüber hinaus dokumentiert sind. Wir werden im Laufe des Jahres 2020 einen vollständigen Bericht veröffentlichen, aber diese Serie von Blogposts wird einige der interessantesten Fallstudien enthalten.

Zu Beginn dieses neuen Jahrzehnts waren über 70 Millionen Menschen aufgrund von Konflikten, Instabilität, Umweltfaktoren und wirtschaftlichen Gründen gezwungen, umzuziehen. Als Reaktion auf die zunehmende Migration in die Europäische Union prüfen viele Staaten verschiedene technologische Experimente zur Stärkung der Grenzüberwachung und zur Steuerung der Migration. Diese Experimente reichen von Big Data-Vorhersagen über Bevölkerungsbewegungen im Mittelmeer bis hin zu automatisierten Entscheidungsfindungen bei Einwanderungsanwendungen und Lügendetektoren der Künstlichen Intelligenz (KI) an den europäischen Grenzen. Oftmals berücksichtigen diese technologischen Experimente jedoch nicht die tiefgreifenden Auswirkungen auf die Menschenrechte und die tatsächlichen Auswirkungen auf das Leben der Menschen.

Ein menschliches Laboratorium für Experimente mit hohem Risiko

Die Technologien der Migrationssteuerung operieren in einem globalen Kontext. Sie stärken Institutionen, Kulturen, Politiken und Gesetze und verschärfen die Kluft zwischen dem öffentlichen und dem privaten Sektor, wo die Macht, Innovationen zu konzipieren und einzusetzen, auf Kosten von Aufsicht und Rechenschaftspflicht geht. Technologien haben die Macht, die Demokratie zu gestalten und Wahlen zu beeinflussen, wodurch sie die Politik der Ausgrenzung verstärken können. Die Entwicklung der Technologie verstärkt auch die Machtasymmetrien zwischen den Ländern und beeinflusst unser Denken, um das herum die Länder Innovationen vorantreiben können, während andere Räume wie Konfliktzonen und Flüchtlingslager zu Orten des Experimentierens werden. Die Entwicklung von Technologie ist nicht von Natur aus demokratisch, und Fragen der informierten Zustimmung und des Verweigerungsrechts sind besonders wichtig, um in humanitären und erzwungenen Migrationskontexten darüber nachzudenken. Unter der Rechtfertigung der Effizienz lassen beispielsweise Flüchtlinge in Jordanien ihre Schwertlilien scannen, um ihre Wochenrationen zu erhalten. Einige Flüchtlinge im Azraq-Lager haben berichtet, dass sie sich nicht in der Lage fühlten, das Scannen ihrer Schwertlilien zu verweigern, weil sie sonst kein Essen bekämen. Dies ist keine freie und informierte Zustimmung.

Diese Diskussionen sind nicht nur theoretisch: Verschiedene Technologien werden bereits eingesetzt, um die Migration zu kontrollieren, Entscheidungen zu automatisieren und Vorhersagen über das Verhalten der Menschen zu treffen.

Die Palantir-Maschine sagt: nein

Sind diese Instrumente jedoch geeignet, insbesondere wenn es keine Mechanismen zur Steuerung oder Rechenschaftslegung gibt, falls oder wenn etwas schief geht? Einwanderungsentscheidungen sind oft undurchsichtig, diskretionär und schwer zu verstehen, selbst wenn menschliche Beamte und nicht künstliche Intelligenz die Entscheidungen treffen. Viele von uns haben schwierige Erfahrungen bei dem Versuch gemacht, eine Arbeitserlaubnis zu erhalten, sich mit dem Ehepartner wieder zu vereinen oder ein Baby über die Grenzen hinweg zu adoptieren, ganz zu schweigen von der Suche nach Flüchtlingsschutz als Folge eines Konflikts und eines Krieges. Diese technologischen Experimente zur Ergänzung oder zum Ersatz menschlicher Einwanderungsbeamter können drastische Ergebnisse haben: Im Vereinigten Königreich wurden 7000 Studenten zu Unrecht abgeschoben, weil ein fehlerhafter Algorithmus sie beschuldigte, in einem Test zum Spracherwerb betrogen zu haben. In den USA hat sich die Immigration and Customs Enforcement Agency (ICE) mit Palantir Technologies zusammengetan, um Familien zu verfolgen und zu trennen und die Abschiebung und Inhaftierung von Personen durchzusetzen, die der Gewalt in Mittel- und Lateinamerika entkommen konnten.

Was wäre, wenn Sie eine dieser automatisierten Entscheidungen anfechten wollten? Wo liegt die Verantwortung und Haftung – beim Entwickler der Technologie, ihrem Coder, dem Einwanderungsbeamten oder dem Algorithmus selbst? Sollten die Algorithmen Rechtspersönlichkeit haben? Es ist von größter Wichtigkeit, diese Fragen zu beantworten, da ein Großteil der Entscheidungen im Zusammenhang mit Einwanderungs- und Flüchtlingsentscheidungen bereits an einem unbequemen rechtlichen Knotenpunkt liegt: Die Auswirkungen auf die Rechte des Einzelnen sind sehr erheblich, selbst wenn die Verfahrensgarantien schwach sind.

Sauron Inc. beobachtet Sie – die Rolle des Privatsektors

Der Mangel an technischen Kapazitäten innerhalb der Regierung und des öffentlichen Sektors kann zu einer potentiell unangemessenen Überbeanspruchung des privaten Sektors führen. Die Einführung neuer und experimenteller Instrumente ohne interne Talente, die in der Lage sind, diese Technologien zu verstehen, zu bewerten und zu verwalten, ist unverantwortlich und geradezu gefährlich. Die Akteure des privaten Sektors haben eine unabhängige Verantwortung dafür, sicherzustellen, dass die von ihnen entwickelten Technologien nicht gegen internationale Menschenrechte und nationale Gesetze verstoßen. Dennoch findet ein Großteil der technologischen Entwicklung in so genannten „Black Boxes“ statt, in denen die Gesetze zum geistigen Eigentum und die Überlegungen zum Eigentumsrecht die Öffentlichkeit davon abhalten, die Funktionsweise der Technologie vollständig zu verstehen. Mächtige Akteure können sich leicht hinter Gesetzen zum geistigen Eigentum oder verschiedenen anderen Schutzschilden von Unternehmen verstecken, um ihre Verantwortung zu „waschen“ und ein Vakuum der Verantwortlichkeit zu schaffen.

Der Einsatz dieser Technologien kann zwar zu schnelleren Entscheidungen führen und Verzögerungen verkürzen, aber sie können auch den Zugang zur Justiz verschlimmern und neue Hindernisse schaffen. Letztendlich müssen wir uns fragen, was für eine Welt wir schaffen wollen und wer tatsächlich von der Entwicklung und dem Einsatz von Technologien profitiert, die zur Steuerung der Migration, zur Erstellung von Passagierprofilen oder anderen Überwachungsmechanismen eingesetzt werden.

Die Technologie repliziert die Machtstrukturen in der Gesellschaft. Betroffene Gemeinschaften müssen auch in die technologische Entwicklung und die Regierungsführung einbezogen werden. Zwar finden Gespräche über die Ethik der KI statt, doch geht die Ethik nicht weit genug. Wir brauchen einen schärferen Fokus auf Überwachungsmechanismen, die auf den grundlegenden Menschenrechten basieren.

Dieses Projekt baut auf einer kritischen Untersuchung der menschenrechtlichen Auswirkungen der automatisierten Entscheidungsfindung im kanadischen Flüchtlings- und Einwanderungssystem auf. In den kommenden Monaten werden wir Zeugenaussagen u.a. im Mittelmeerkorridor und an verschiedenen Grenzorten in Europa sammeln. Unser nächster Blogpost wird untersuchen, wie neue Technologien vor, an und jenseits der Grenze eingesetzt werden, und wir werden die sehr realen Auswirkungen dieser technologischen Experimente auf das Leben und die Rechte der Menschen bei der Überwachung und Kontrolle ihrer Bewegungen hervorheben.

Wenn Sie mehr über dieses Projekt erfahren möchten oder Feedback und Ideen haben, wenden Sie sich bitte an petra.molnar [at] utoronto [dot] ca. Das Projekt wird von der Mozilla- und der Ford-Stiftung finanziert.

Weiter Informationen:

Mozilla-Stipendiatin Petra Molnar arbeitet mit uns an KI & Diskriminierung (26.09.2020)

Mozilla Fellow Petra Molnar joins us to work on AI & discrimination

Technologie am Rande: KI und globales Migrationsmanagement aus einer Menschenrechtsperspektive, Cambridge International Law Journal, Dezember 2019
https://www.researchgate.net/publication/337780154_Technology_on_the_margins_AI_and_global_migration_management_from_a_human_rights_perspective

Bots am Tor: Eine menschenrechtliche Analyse der automatisierten Entscheidungsfindung in Kanadas Einwanderungs- und Flüchtlingssystemen, Universität Toronto, September 2018
https://ihrp.law.utoronto.ca/sites/default/files/media/IHRP-Automated-Systems-Report-Web.pdf

Neue Technologien in der Migration: Auswirkungen auf die Menschenrechte, Forced Migration Review, Juni 2019
https://www.fmreview.org/ethics/molnar

Einst wurden Migranten im Mittelmeer durch Marinepatrouillen gerettet. Jetzt müssen sie zusehen, wie Drohnen überfliegen (04.08.2019)
https://www.theguardian.com/world/2019/aug/04/drones-replace-patrol-ships-mediterranean-fears-more-migrant-deaths-eu

Mijente: Wer steht hinter dem ICE?

Die Bedrohung der künstlichen Intelligenz für POC, Immigranten und Kriegsgebietszivilisten
https://towardsdatascience.com/the-threat-of-artificial-intelligence-to-poc-immigrants-and-war-zone-civilians-e163cd644fe0

Beitrag von Petra Molnar, Mozilla-Stipendiatin, EDRi

 

Datengewinnung aus der Cloud: Ein tiefes Eintauchen in die Technik der geheimen Massendatenerfassung

Von Privacy International

Mobiltelefone sind nach wie vor die am häufigsten verwendete und wichtigste digitale Quelle für Ermittlungen der Strafverfolgungsbehörden. Doch die Strafverfolgungsbehörden sind nicht nur hinter dem her, was physisch auf dem Telefon gespeichert ist, sondern auch hinter dem, was von dort aus zugänglich ist, vor allem hinter den in der „Wolke“ gespeicherten Daten. Aus diesem Grund wenden sich die Strafverfolgungsbehörden der „Cloud-Extraktion“ zu: der forensischen Analyse von Benutzerdaten, die auf Servern von Drittanbietern gespeichert sind und typischerweise von Geräte- und Anwendungsherstellern zur Datensicherung verwendet werden. Da wir immer mehr Zeit mit Social Media und Messaging-Anwendungen verbringen, Dateien mit Dropbox und Google Drive speichern, unsere Telefone immer sicherer werden, gesperrte Geräte immer schwerer zu knacken sind und die dateibasierte Verschlüsselung immer weiter verbreitet ist, ist die „Cloud-Extraktion“, wie ein bekanntes Unternehmen der Branche sagt, „wohl die Zukunft der mobilen Forensik“.

Der Bericht „Cloud extraction technology: the secret tech that lets government authorities collect mass of data from your apps“ vereint die Ergebnisse der Open-Source-Forschung von Privacy International, technische Analysen und Anfragen zur Informationsfreiheit, um diese aufkommende und dringende Bedrohung der Rechte der Menschen aufzudecken und zu bekämpfen.

Telefon- und Cloud-Extraktion gehen Hand in Hand

Das EDRi-Mitglied Privacy International hat wiederholt Bedenken über die Risiken der Extraktion von Mobiltelefonen aus forensischer Sicht geäußert und auf das Fehlen wirksamer Datenschutz- und Sicherheitsvorkehrungen hingewiesen. Die Cloudextraktion geht noch einen Schritt weiter und verspricht nicht nur Zugang zu dem, was im Telefon enthalten ist, sondern auch zu dem, was von diesem aus zugänglich ist. Technologien zur Cloudextraktion werden mit geringer Transparenz und im Kontext eines sehr begrenzten öffentlichen Verständnisses eingesetzt. Der scheinbar „Wildwest“-Ansatz bei hochsensiblen Daten birgt die Gefahr des Missbrauchs, der Fehlanwendung und des Justizirrtums. Sie schreckt die Opfer schwerer Straftaten zusätzlich ab, ihre Telefone abzugeben, insbesondere wenn uns sogar grundlegende Informationen der Strafverfolgungsbehörden über ihre Handlungen fehlen.

Die Analyse von Daten, die mit Hilfe von Cloud-Extraktionstechnologien aus Mobiltelefonen und anderen Geräten extrahiert werden, schließt zunehmend die Nutzung von Gesichtserkennungsfunktionen ein. Wenn wir die Menge an persönlichen Daten betrachten, die aus cloudbasierten Quellen wie Instagram, Google-Fotos, iCloud, die Gesichtsbilder enthalten, gewonnen werden können, ist die Fähigkeit, Gesichtserkennung auf Massen von Daten anzuwenden, eine große Sache. Aus diesem Grund ist eine größere Dringlichkeit erforderlich, um die Risiken, die sich aus einer solchen Extraktion ergeben, anzugehen, vor allem, wenn wir Gesichts- und Emotionserkennungssoftware, die die extrahierten Daten analysiert, in Betracht ziehen. Die Tatsache, dass sie potenziell auf riesigen Schätzen von in der Cloud gespeicherten Daten ohne jegliche Transparenz und Verantwortlichkeit eingesetzt wird, ist ein ernsthaftes Problem.

Was Sie tun können

Es fehlt an Informationen über die Verwendung von Technologien zur Cloudextraktion, so dass unklar ist, wie dies rechtmäßig ist und wie der Einzelne vor Missbrauch und falscher Verwendung seiner Daten geschützt wird. Dies ist Teil eines gefährlichen Trends bei den Strafverfolgungsbehörden, und wir wollen weltweit die Existenz von Transparenz und Verantwortlichkeit in Bezug auf die neuen Formen der von ihnen verwendeten Technologie sicherstellen.

Wenn Sie in Großbritannien leben, können Sie bei Ihrer örtlichen Polizei eine Anfrage zum Freedom of Information Act einreichen, um sie über die Verwendung von Cloud-Extraktionstechnologien zu befragen. Verwenden Sie dazu diese Vorlage: https://privacyinternational.org/action/3324/ask-your-local-uk-police-force-about-cloud-extraction. Sie können diese Vorlage auch verwenden, um eine Anfrage zu stellen, wenn Sie in einem anderen Land wohnen, in dem es eine Gesetzgebung zur Informationsfreiheit gibt.

Datenschutz International
https://privacyinternational.org/

Cloud-Extraktionstechnologie: die geheime Technologie, mit der Regierungsbehörden Massen von Daten aus Ihren Anwendungen sammeln können (07.01.2020)
https://privacyinternational.org/long-read/3300/cloud-extraction-technology-secret-tech-lets-government-agencies-collect-masses-data

Extraktion von Telefondaten
https://privacyinternational.org/campaigns/phone-data-extraction

Drücken Sie diese Schaltfläche für Beweise: Digitale Forensik
https://privacyinternational.org/explainer/3022/push-button-evidence-digital-forensics

Kann die Polizei das, was sie aus Ihrem Telefon herauszieht, einschränken? (14.11.2019)
https://privacyinternational.org/news-analysis/3281/can-police-limit-what-they-extract-your-phone

Gesichtserkennung und Grundrechte 101 (04.12.2019)

Facial recognition and fundamental rights 101

Fragen Sie Ihre örtliche britische Polizei nach der Wolkenextraktion
https://privacyinternational.org/action/3324/ask-your-local-uk-police-force-about-cloud-extraction

Beitrag von Antonella Napolitano, EDRi-Mitglied Privacy International

 

Digitalcourage wehrt sich gegen die Datenspeicherung in Deutschland

Von Digitalcourage

Am 10. Februar 2020 veröffentlichte das EDRi-Mitglied Digitalcourage das Plädoyer der deutschen Regierung im Fall der Datenspeicherung vor dem Europäischen Gerichtshof (EuGH). Das Dokument der Regierung vom 9. September 2019 erläutert die Verwendung von auf Vorrat gespeicherten Telekommunikationsdaten durch Geheimdienste, die Frage, ob die Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 auf verschiedene Formen der Datenaufbewahrung anwendbar ist, welche Ausnahmen vom Menschenrechtsschutz für Geheimdienstoperationen gelten, und begründet seine Pläne für die Verwendung der Datenaufbewahrung zur Aufklärung eines breiten Spektrums von Straftaten mit dem Beispiel eines Falles der Entführung eines Vietnamesen in Berlin durch vietnamesische Agenten. Dieser Fall ist jedoch sehr spezifisch, und selbst wenn die auf Vorrat gespeicherten Daten damals „nützlich“ waren, ist dies keine gültige Rechtsgrundlage für eine Massendatenspeicherung und kann daher keine drastischen Eingriffe in die Grundrechte aller Personen in Deutschland rechtfertigen. Schließlich argumentiert die deutsche Regierung auch, dass der Umfang und die Dauer der Speicherung einen Unterschied in Bezug auf die Vereinbarkeit von Gesetzen zur Vorratsdatenspeicherung mit den Grundrechten macht.

Digitalcourage fordert, dass alle bestehenden illegalen Datenspeicherungsgesetze in der EU für ungültig erklärt werden. Es gibt keinen Grund für eine pauschale und verdachtsunabhängige Überwachung in einer Demokratie und im Rechtsstaat. Unabhängig davon, ob es sich um Inhaltsdaten oder Metadaten handelt, ist die Datenspeicherung (pauschale und massenhafte Sammlung von Telekommunikationsdaten) unangemessen, unnötig und unwirksam und daher illegal. Wo die deutsche Regierung argumentiert, dass Geheimdienste Telekommunikationsdaten zum Schutz staatlicher Interessen nutzen müssen, stimmt Digitalcourage mit vielen Menschenrechtsorganisationen darin überein, dass die Aktivitäten von Geheimdiensten eine direkte Bedrohung für das Kernvertrauen zwischen der Öffentlichkeit und dem Staat darstellen können. Der EuGH selbst hat gefordert, die Speicherung auf das unbedingt notwendige Minimum zu reduzieren – und das kann nach Ansicht von Digitalcourage nur erfüllt werden, wenn keine Daten ohne individuellen Verdacht gespeichert werden.

Digitalcourage
https://digitalcourage.de/

Pressemitteilung: EU-Datenspeicherung: Digitalcourage veröffentlicht und kritisiert die Position der deutschen Regierung (nur auf Deutsch, 10.02.2020)
https://digitalcourage.de/pressemitteilungen/2020/bundesregierung-eugh-eu-weite-vorratsdatenspeicherung

Beitrag von Sebastian Lisken, EDRi-Mitglied Digitalcourage, Deutschland

 

Doppelte Rechtmäßigkeitsprüfung beim E-Beweis: Auf Wiedersehen „direkte Datenanfragen“

Von Chloé Berthélémy

Nach der Vorlage von rund 600 zusätzlichen Änderungsanträgen diskutieren die Mitglieder des Ausschusses für bürgerliche Freiheiten des Europäischen Parlaments (LIBE) noch immer die Bedingungen, unter denen die Strafverfolgungsbehörden in der EU für ihre strafrechtlichen Ermittlungen in grenzüberschreitenden Fällen auf Daten zugreifen sollten. Einer der wichtigsten Diskussionsbereiche ist die Einbeziehung einer zweiten Behörde in den Zugriffsprozess – in der Regel die Justizbehörde des Staates, in dem der Online-Dienstleister seinen Sitz hat (oft als „Vollstreckungsstaat“ bezeichnet).

Um den Missbrauch dieses neuen grenzüberschreitenden Datenzugangsinstruments zu verhindern, hatte die Berichterstatterin des LIBE-Ausschusses, Birgit Sippel, in ihrem Berichtsentwurf die Kommission verärgert, indem sie vorschlug, dass der Vollstreckungsstaat standardmäßig gleichzeitig mit dem Dienstanbieter den Europäischen Aufbewahrungs- oder Produktionsauftrag erhalten sollte. Er sollte dann zehn Tage Zeit haben, um eine Anordnung zu bewerten und möglicherweise unter Berufung auf einen der Gründe für die Nichtanerkennung oder Nichtvollstreckung – auch aufgrund eines Verstoßes gegen die EU-Grundrechtecharta – zu widersprechen.

Darüber hinaus schlägt der Sippel-Bericht vor, dass die Justizbehörden des Staates, in dem die Person ansässig ist (der betroffene Staat), ebenfalls die Möglichkeit erhalten sollten, einzugreifen, wenn sich bereits in der Anfangsphase der Ermittlungen herausstellt, dass eine verdächtige Person weder in dem Mitgliedstaat, der den Datenzugriff beantragt (der Anordnungsstaat), noch in dem Vollstreckungsstaat, in dem der Dienstleister niedergelassen ist, ansässig ist.

Benachrichtigung als grundlegendes Element der justiziellen Zusammenarbeit in der EU

Die Argumentation hinter einem solchen Benachrichtigungssystem ist überzeugend: Eine einzige Behörde mit der vollständigen Prüfung der Rechtmäßigkeit und Verhältnismäßigkeit für zwei oder sogar drei verschiedene Gerichtsbarkeiten (den ausstellenden, den vollstreckenden und den betroffenen Staat) zu betrauen, ist bestenfalls fahrlässig. Ein nationaler Staatsanwalt oder Richter allein kann unmöglich alle nationalen Sicherheits- und Verteidigungsinteressen, Immunitäten und Privilegien und den Rechtsrahmen der anderen Mitgliedstaaten berücksichtigen, ebenso wenig wie die besonderen Schutzvorkehrungen, die eine verdächtige Person in ihrer Eigenschaft als Anwalt, Arzt oder Journalist haben kann. Dies ist insbesondere dann von Bedeutung, wenn die Vorschriften der anderen Mitgliedstaaten von den Vorschriften der eigenen staatsanwaltschaftlichen Ermittlungen abweichen oder sogar mit diesen unvereinbar sind. Die Prüfung durch eine zweite Justizbehörde mit einer echten Möglichkeit zur Überprüfung der Anordnung ist daher von größter Bedeutung, um ihre Rechtmäßigkeit zu gewährleisten.

Der LIBE-Ausschuss erörtert derzeit die Einzelheiten dieses Notifizierungsverfahrens. Einige Änderungsanträge, die eingereicht wurden, versuchen leider, den Schutz, den die Notifizierungspflicht mit sich bringen würde, zu untergraben. Beispielsweise versuchen einige, die Notifizierung nur auf Produktionsaufträge zu beschränken (wenn die Daten direkt übermittelt werden) und alle Erhaltungsaufträge auszuschließen (wenn die Daten gerade eingefroren sind und mit einem separaten Auftrag erfasst werden müssen). Andere versuchen, die Benachrichtigung auf Transaktionsdaten (alias Metadaten) oder Inhaltsdaten zu beschränken, mit der Behauptung, dass die Abonnentendaten irgendwie weniger sensibel sind und daher weniger Schutz benötigen. Schließlich schlagen einige vor, dass die Benachrichtigung keine aufschiebenden Auswirkungen auf die Verpflichtungen des Diensteanbieters hat, auf eine Bestellung zu reagieren, was bedeutet, dass es zu spät ist, wenn der benachrichtigte Staat gegen eine Bestellung Einspruch erhebt und der Diensteanbieter die Daten bereits herausgegeben hat.

Das Parlament sollte die Grundprinzipien der Menschenrechtsgesetzgebung aufrechterhalten

Wenn einige dieser Abänderungen angenommen werden, würden sie den Standpunkt des Parlaments gefährlich nahe an das äußerst problematische schwache Notifizierungsmodell des Rates heranbringen, das keine der notwendigen Garantien bietet, die es angeblich haben soll. Um die Menschenrechtskonformität des Verfahrens zu gewährleisten, sollte die Benachrichtigung des vollstreckenden und des betroffenen Staates für alle Arten von Daten und Anordnungen obligatorisch sein. Die Benachrichtigungen sollten gleichzeitig an die zuständige Justizbehörde und den Online-Dienstleister geschickt werden, und letzterer sollte vor der Ausführung der Verfügung eine positive Reaktion der ersteren abwarten. Der betroffene Staat sollte die gleichen Ablehnungsgründe haben wie der Vollstreckungsstaat, da er am besten in der Lage ist, seine Einwohner und deren Rechte zu schützen.

Es scheint einen allgemeinen Konsens im Europäischen Parlament über die Einbeziehung einer zweiten Justizbehörde in die Ausstellung von Anordnungen zu geben. Unterdessen knirscht die Kommission mit den Zähnen und tut weiterhin so, als ob das gegenseitige Vertrauen zwischen den EU-Mitgliedstaaten alles ist, was nötig ist, um die Menschen vor einer übermäßigen Strafverfolgung zu schützen. Bisher scheint sich die Kommission zu weigern, die enormen Risiken zu sehen, die ihr Vorschlag zum „E-Beweis“ mit sich bringt – insbesondere in einem Kontext, in dem einige Mitgliedstaaten Verfahren nach Artikel 7 durchlaufen, die zur Aussetzung einiger ihrer Rechte führen könnten, da die Mitgliedstaaten wegen gefährdeter Unabhängigkeit ihrer Justizsysteme und möglicher Verstöße gegen die Rechtsstaatlichkeit suspendiert werden. Gegenseitiges Vertrauen sollte nicht als Entschuldigung dafür dienen, das Grundrecht des Einzelnen auf Datenschutz und die Grundprinzipien der Menschenrechtsgesetzgebung zu untergraben.

Grenzüberschreitender Zugang zu Daten für die Strafverfolgung: Dokumenten-Pool

Cross-border access to data for law enforcement: Document pool

„E-Beweise“: Das Unreparable reparieren (14.11.2019)

“E-evidence”: Repairing the unrepairable

EU stürzt sich ohne gemeinsamen Standpunkt in E-Beweis-Verhandlungen (19.06.2019)

EU rushes into e-evidence negotiations without common position

Empfehlungen zum grenzüberschreitenden Datenzugang (25.04.2019)
https://edri.org/files/e-evidence/20190425-EDRi_PositionPaper_e-evidence_final.pdf

Beitrag von Chloé Berthélémy, EDRi

 

Datenschutzgarantien in Handelsabkommen zwischen der EU und Vietnam erforderlich

Von Vrijschrift

Am 12. Februar 2020 gab das Europäische Parlament seine Zustimmung zur Ratifizierung der Handels- und Investitionsabkommen zwischen der EU und Vietnam.

Das Handelsabkommen enthält zwei Verpflichtungen zum grenzüberschreitenden Datenfluss. Die damit verbundenen Datenschutzgarantien in diesem Abkommen ähneln denen des Abkommens zwischen der EU und Japan, das im Februar 2019 in Kraft getreten ist. Organisationen der Zivilgesellschaft und Wissenschafter hatten auf Mängel in diesen Garantien hingewiesen.

Das Investitionsabkommen zwischen der EU und Vietnam enthält eine Variante des umstrittenen Mechanismus zur Beilegung von Streitigkeiten zwischen Investoren und Staaten (ISDS). In der Stellungnahme 1/17 (ISDS in EU-Kanada CETA) befand der Gerichtshof der Europäischen Union diesen Mechanismus für mit den EU-Verträgen vereinbar. ISDS greift nicht in das Prinzip der Autonomie des EU-Rechts ein, da die EU und ihre Mitgliedstaaten die Zahlung von ISDS-Schadenersatzleistungen verweigern können, so der Gerichtshof. Die Verweigerung von Schadenersatzzahlungen an das ISDS ist jedoch mit ernsthaften Nachteilen verbunden.

Die fortgesetzte Anwendung schwacher Datenschutzgarantien ist umso enttäuschender, als die Europäische Kommission vor zwei Jahren, im Januar 2018, einen Vorschlag für stärkere Garantien in Handelsabkommen angenommen hat. Verbraucher- und Digitalrechtsorganisationen unterstützten diese Schutzmaßnahmen grundsätzlich. Die Kommission hat sie jedoch nie angewandt. Um das Grundrecht auf Datenschutz im Rahmen von Handelsabkommen angemessen zu schützen, sollte die neue von der Leyen-Kommission die vorgeschlagenen besseren Garantien annehmen und sie tatsächlich anwenden.

Weitere Informationen:

Vrijschrift
https://www.vrijschrift.org/

Freihandelsabkommen EU/Vietnam 2018/0356(NLE)
https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2018/0356(NLE)&l=de

Schwacher Datenschutz im Handelsabkommen EU-Vietnam (06.02.2020)
https://www.vrijschrift.org/serendipity/index.php?/archives/242-Weak-data-protection-in-EU-Vietnam-trade-agreement.html

Handelsabkommen zwischen der EU und Japan nicht mit EU-Datenschutz vereinbar (10.01.2018)

EU-Japan trade agreement not compatible with EU data protection

Die Europäische Kommission beschließt zu Recht, die Privatsphäre der Bürger in Handelsdiskussionen zu verteidigen (28.02.2018)

The European Commission rightly decides to defend citizens’ privacy in trade discussions

Start der Studie: Die EU kann datenschutzsichere Handelsabkommen erreichen (13.07.2016)

Study launch: The EU can achieve data protection-proof trade agreements

CETA-Urteil des EU-Gerichtshofs zeigt Scheitern der ISDS-Reform (06.05.2019)
https://www.vrijschrift.org/serendipity/index.php?/archives/237-EU-Court-CETA-ruling-shows-failure-of-ISDS-reform.html

Beitrag von Ante Wessels, EDRi-Mitglied Vrijschrift, Niederlande

 

PI und Liberty reichen eine neue Klage gegen MI5 ein

Von Privacy International

Am 1. Februar 2020 reichte das EDRi-Mitglied Privacy International (PI) und die Bürgerrechtsgruppe Liberty beim Investigatory Powers Tribunal, dem Justizorgan, das die Geheimdienste im Vereinigten Königreich beaufsichtigt, eine Beschwerde gegen den Sicherheitsdienst MI5 ein, in der es um die Art und Weise ging, wie dieser mit großen Mengen an persönlichen Daten umgeht.
Mitte 2019 gab der MI5 während eines von Liberty angestrengten Verfahrens zu, dass persönliche Daten in „unregierten Räumen“ aufbewahrt werden. Vieles über diese unregierten Räume und wie sie in Zukunft effektiv „regiert“ werden würden, blieb unklar. Zur Zeit werden sie als „technische Umgebung“ verstanden, in der persönliche Daten einer unbekannten Anzahl von Personen „behandelt“ wurden. Die Verwendung eines „technischen Umfelds“ suggeriert etwas mehr als nur die Zusammenstellung einiger weniger Datensätze oder Datenbanken.
Die seit langem bestehenden und schwerwiegenden Mängel des MI5 und anderer Geheimdienste in Bezug auf diese „unregierten Räume“ wurden erstmals in einem bereits bestehenden Fall von PI deutlich, der im November 2015 begann. Der Fall stellt die Verarbeitung großer Mengen persönlicher Datensätze und großer Kommunikationsdaten durch die britischen Sicherheits- und Geheimdienstbehörden in Frage.
Im Laufe dieses Verfahrens wurde aufgedeckt, dass die Daten von PI neben anderen Nachrichten- und Sicherheitsdiensten illegal vom MI5 aufbewahrt wurden. Der MI5 löschte die Daten von PI während der laufenden Untersuchung. Mit der neuen Beschwerde beantragte PI auch die Wiederaufnahme dieses Falles in Bezug auf die Handlungen des MI5.
In einem parallelen Verfahren, das Liberty gegen die im Gesetz über die Ermittlungsbefugnisse 2016 (IPA) enthaltenen Massenüberwachungsbefugnisse angestrengt hatte, gab MI5 zu, dass personenbezogene Daten in „unregierten Räumen“ aufbewahrt wurden, was ein bekanntes und anhaltendes Versäumnis darstellt, sowohl gesetzliche als auch nicht gesetzliche Schutzmaßnahmen in Bezug auf die Handhabung von Massendaten seit mindestens 2014 einzuhalten. Wichtig ist, dass die in diesem Rechtsstreit offengelegten und in der neuen gemeinsamen Beschwerde aufgeführten Dokumente zeigten, dass der MI5 auf der Grundlage irreführender Aussagen gegenüber den zuständigen Behörden Massenabhörgenehmigungen beantragt und erhalten hatte.
Aus den Dokumenten geht hervor, dass der MI5 nicht nur gegen das Gesetz verstoßen hat, sondern jahrelang das Büro des Ermittlungskommissars (IPCO), das für die Überwachung der britischen Überwachungspraktiken zuständig ist, in die Irre geführt hat.
In dieser neuen Beschwerde argumentieren PI und Liberty, dass die Vorkehrungen des MI5 zur Datenverarbeitung zu einer systematischen Verletzung der Rechte auf Privatsphäre und Meinungsfreiheit (wie sie durch Artikel 8 und 10 der Europäischen Menschenrechtskonvention geschützt sind) und des EU-Rechts führen. Darüber hinaus behaupten sie, dass die Entscheidungen zur Ausstellung von Haftbefehlen, die vom MI5 unter Umständen, in denen die erforderlichen Schutzmaßnahmen fehlten, beantragt wurden, unrechtmäßig und nichtig sind.

Weitere Informationen:

Datenschutz International
https://privacyinternational.org/

Herausforderung für unkontrollierte Räume des MI5
https://privacyinternational.org/legal-action/mi5-ungoverned-spaces-challenge

Herausforderung für große persönliche Datensätze und Massenkommunikationsdaten
https://privacyinternational.org/legal-action/bulk-personal-datasets-bulk-communications-data-challenge

Der Fall des Untersuchungsausschusses nein. IPT/15/110/CH
https://privacyinternational.org/sites/default/files/2019-08/IPT-Determination%20-%2026September2018.pdf

Massenüberwachung ablehnen
https://www.libertyhumanrights.org.uk/our-campaigns/reject-mass-surveillance

MI5-Gesetzverstoß löst Rechtsstreitigkeiten im Bereich Freiheit und Datenschutz aus (03.02.2020)
https://www.libertyhumanrights.org.uk/news/press-releases-and-statements/mi5-law-breaking-triggers-liberty-and-privacy-international-legal

Beitrag des EDRi-Mitglieds Privacy International

 

Absichtlich gefährlich: Eine warnende Geschichte über Gesichtserkennung

Von Ella Jakubowska

In dieser Serie wurde die Gesichtserkennung als Grundrecht, die Reaktion der EU, die Beweise für die Risiken und die Bedrohung durch die Ausbeutung öffentlicher und kommerzieller Daten untersucht. In diesem fünften Teil betrachten wir die Erfahrung aus einem Schaden, der durch eine grundsätzlich gewalttätige biometrische Überwachungstechnologie verursacht wurde.
Leo Colombo Viña ist der Gründer einer Software-Entwicklungsfirma und Professor für Informatik. Als bekennender Technikliebhaber sei es „ironisch“ gewesen, sagt er, dass ihm ein Fall von Verwechslung mit der polizeilichen Gesichtserkennung widerfahren sei. Was sich als nächstes entwickelte, zeichnet ein starkes Bild der inhärenten Risiken der biometrischen Überwachung. Während sich Leos Erfahrung in Buenos Aires, Argentinien, ereignete, wirft seine Geschichte ernste Fragen für den Einsatz der Gesichts- und biometrischen Erkennung auch in der EU auf.

„Ich bin nicht der Typ, den sie suchen“

Eines Tages im Jahr 2019 verließ Leo am Nachmittag die Bank, um mit der U-Bahn zurück in sein Büro zu fahren. Während er auf den Zug wartete, wurde er von einem Polizeibeamten angesprochen, der auf seinem Telefon eine Warnung erhalten hatte, dass Leo vor 17 Jahren wegen eines bewaffneten Raubüberfalls gesucht wurde. Die Warnung war durch das Gesichtserkennungs-Überwachungssystem der U-Bahn-Station ausgelöst worden, das kürzlich Gegenstand einer großen Medienkampagne war.

Seine erste Vermutung war: „Okay, da ist was im Busch, ich bin nicht der, den sie suchen“. Doch dann zeigte ihm die Polizei deutlich sein Bild und seine persönlichen Daten. „Okay“, dachte er, „was zum Teufel?“ Als sie ihm sagten, dass das Problem dort nicht sofort gelöst werden könne und er sie zur Polizeiwache begleiten müsse, wurde aus Leos anfänglicher Überraschung Besorgnis.

Unrechtmäßige Kriminalisierung

Es stellte sich heraus, dass das Bild und die ID-Nummer in der Ausschreibung zwar mit dem von Leo übereinstimmten, der Name und das Geburtsdatum jedoch seltsamerweise nicht. Da Leo nie ein Verbrechen begangen hat und auch nie als Verdächtiger untersucht wurde, weiß er immer noch nicht, wie sein Gesicht und seine ID-Nummer fälschlicherweise in eine Datenbank für Verdächtige aufgenommen wurden. Trotz späterer rechtlicher Anfragen aus der gesamten Zivilgesellschaft hat die Regierung keine Informationen über die Verarbeitung, Speicherung oder den Zugang zu den Daten von Personen zur Verfügung gestellt. Dies ist kein einmaliges Problem: In ganz Europa sind die Polizeitechnik und die Verarbeitung personenbezogener Daten erschreckend undurchsichtig.

Auf der Polizeiwache verbrachte Leo vier Stunden in der bizarren Situation, „beweisen zu müssen, dass ich bin, wer ich bin“. Er sagt, die Polizei habe ihn freundlich und respektvoll behandelt – obwohl er glaubt, dass die Tatsache, dass er ein kaukasischer Profi ist, bedeutete, dass sie ihn als Bedrohung abgetan haben. Der Beweis dafür kam später, als ein ähnlicher Fehlalarm einem anderen Mann passierte, der ebenfalls nicht vorbestraft war, aber eine dunklere Haut als Leo hatte und aus einer typisch ärmeren Gegend stammte. Er wurde zu Unrecht für sechs Tage ins Gefängnis gesteckt, weil die Alarmbereitschaft des Systems dazu benutzt wurde, seine Inhaftierung zu rechtfertigen – obwohl sein Name nicht passte.

Untergrabung der Polizeibehörde

Wenn der Zweck der Polizeiarbeit darin besteht, Kriminelle zu fangen und Menschen zu schützen, dann ist Leos Erfahrung ein großartiges Beispiel dafür, warum die Gesichtserkennung nicht funktioniert. Vier Beamte verbrachten insgesamt etwa 20 Stunden damit, sein Problem zu lösen (auf Kosten der Steuerzahler, wie er betont). Die Zeit, die die Staatsanwaltschaft anschließend damit verbrachte, herauszufinden, was schief gelaufen ist, ist darin nicht enthalten. Leo erinnert daran, dass die Polizei frustriert war, mit Bürokratie und Versuchen, die Entscheidung des Systems zu verstehen, während in der Zeit ihre eigentliche Arbeit liegen blieb und echte Kriminelle freigelassen wurden.

Die Polizei teilte Leo mit, dass der Kommissar einen Bonus erhält, der an die Nutzung des Gesichtserkennungssystems gebunden ist. Sie vertrauten ihm an, dass es sich um einen politischen Schritt zu handeln schien, nicht um eine Verbesserung der Polizeiarbeit oder der Sicherheit. Weit davon entfernt, ihnen bei der Aufklärung von Gewaltverbrechen zu helfen – einer der Gründe, die häufig für die Zulassung solcher aufdringlichen Systeme angeführt werden -, wurden meist gewaltfreie Probleme aufgezeigt, wie z.B. Zeugen, die nicht zur Verhandlung erschienen waren, weil sie keine Vorladung erhalten hatten, oder Eltern, die überfällige Unterhaltszahlungen für Kinder hatten.

Die Auswirkungen auf die Autonomie der Polizei sind krass. Leo weist darauf hin, dass die Polizei trotz der raschen Bestätigung, dass er nicht der Verdächtige war, weder die Fähigkeit noch die Befugnis hatte, die Warnung aufzuheben. Sie wurden als Geiseln eines Systems gehalten, das sie nicht richtig verstanden oder kontrollieren konnten, aber sie waren gezwungen, dessen Anweisungen und Entscheidungen zu befolgen, ohne zu wissen, wie oder warum sie diese getroffen hatten.

Die Technologie ist ein von Menschen gemachtes Werkzeug, keine Quelle der objektiven Wahrheit oder der rechtlichen Autorität. Im Fall von Leo ging die Polizei schon früh davon aus, dass die Übereinstimmung nicht legitim war, weil er nicht in ihre Wahrnehmung eines Kriminellen passte. Aber bei anderen, die ebenfalls fälschlicherweise identifiziert wurden, ging man davon aus, dass sie wie ein Krimineller aussahen, also ging man davon aus, dass das System korrekt funktionierte. Globale Anti-Rassismus-Aktivisten werden mit diesen schädlichen, nachteiligen Überzeugungen vertraut sein. Die Gesichtserkennung löst die menschliche Voreingenommenheit nicht auf, sondern unterstützt sie vielmehr, indem sie diskriminierenden menschlichen Annahmen ein falsches Gefühl der „wissenschaftlichen“ Legitimität verleiht.

Technologie kann ein kaputtes System nicht reparieren

Der Tatbestand, mit denen Leo und die Offiziere, die seine Situation lösen mussten, konfrontiert sind, spiegeln tiefere systemische Probleme wider, die nicht durch die Technik gelöst werden können. Voreingenommene oder ineffiziente Polizeiprozesse, Fehler bei der Dateneingabe und mangelnde Transparenz verschwinden nicht, wenn man die Polizeiarbeit automatisiert – sie werden noch schlimmer.
Leo hat andere Erfahrungen mit den Trugschlüssen der biometrischen Technologie gemacht.

Vor einigen Jahren experimentierten er und seine Kollegen mit der Entwicklung von Fingerabdruck-Software auf Anfrage eines Kunden, entschieden sich aber letztlich dagegen. „Wir haben erkannt, dass biometrische Systeme nicht gut genug sind“, sagt er. „Es fühlt sich gut genug an, es ist ein gutes Marketing, aber es ist nicht sicher.“ Er weist auf die Tatsache hin, dass er kürzlich sein Telefon mit einem Bild von sich selbst entsperren konnte. „Siehst du? Du bist nicht sicher.“

Leo teilte seine Geschichte – die sich schnell auf Twitter verbreitete – mit, weil er zeigen wollte, dass „es in der Technologie keine Magie gibt“. Als Software-Ingenieur sieht man ihn als „mittelalterlichen Zauberer“. In seinen Augen ist er jedoch jemand mit der Verantwortung und der Fähigkeit, den Menschen die Wahrheit hinter der Regierungspropaganda über die Gesichtserkennung zu zeigen, angefangen bei seiner eigenen Erfahrung.

Nachwirkungen

Ich fragte Leo, ob die Regierung die Erfahrungen der Betroffenen berücksichtigt habe. Er lachte sardonisch. „Nein, nein, absolut nicht, nein.“ Er fährt fort: „Ich sollte nicht in dieser Datenbank sein, denn ich habe kein Verbrechen begangen. Dennoch brauchte der Staatsanwalt vier Monate, um die Entfernung seiner Daten zu bestätigen, und das U-Bahn-Gesichtserkennungssystem ist auch heute noch im Einsatz. Leo glaubt, dass es ein erfolgreiches Marketing-Instrument für eine mächtige Stadtverwaltung ist, die die Sicherheitsbedenken der Bürger beruhigen will. Er ist der Meinung, dass die Menschen belogen wurden und dass eine grundsätzlich unsichere Technologie die Stadt nicht sicherer machen kann.

Ein perfekter Sturm von menschlichen Fehlern, systemischen Polizeiproblemen und Verletzungen der Privatsphäre führte dazu, dass Leo in die Datenbank aufgenommen wurde, aber dies ist keineswegs ein einzigartig argentinisches Problem. Die Niederlande beispielsweise haben Millionen von Menschen in eine Strafregisterdatenbank aufgenommen, obwohl sie nie eines Verbrechens angeklagt wurden. Leo reflektiert, dass „das System das Ganze ist, vom Anfang bis zum Ende, von der Eingabe bis zur Ausgabe. Die Menschen, die in der Technik arbeiten, schauen sich nur die Algorithmen, die Daten, die Bits an. Sie verlieren das Gesamtbild. Deshalb habe ich meine Geschichte erzählt … einfach so.“ Wir hoffen, dass die EU Notizen macht.

Ella Jakubowska nach den Worten von Leo Colombo

Weitere Informationen:

Abbau von KI-Mythen und Hype (04.12.2019)
Dismantling AI Myths and Hype

Datengesteuerte Polizeiarbeit: Die feste Verkabelung diskriminierender Polizeipraktiken in Europa (19.11.2019)

Data-driven policing: The hardwiring of discriminatory policing practices across Europe

Gesichtserkennung und Grundrechte 101 (04.12.2019)

Facial recognition and fundamental rights 101

Die vielen Gesichter der Gesichtserkennung in der EU (18.12.2019)

The many faces of facial recognition in the EU

In Ihrem Gesicht klingelt eine Glocke: Drei gängige Anwendungen der Gesichtserkennung (15.01.2020)

Your face rings a bell: Three common uses of facial recognition

Verfolgt von Ihrem digitalen Doppelgänger? (29.01.2020)

Stalked by your digital doppelganger?

Gesichtserkennungstechnologie: Grundrechtliche Erwägungen im Zusammenhang mit der Strafverfolgung (27.11.2019)
https://fra.europa.eu/sites/default/files/fra_uploads/fra-2019-facial-recognition-technology-focus-paper.pdf

Beitrag von Ella Jakubowska, EDRi

 
 
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny

0 Kommentare zu “EDRi-gram 18.3, 12. Februar 2020

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.