EDRi-gram EU Datenschutz

EDRi-gram 18.9, 13. Mai 2020

  1. Biometrische Massenüberwachung verbieten!
  2. COVID-Tech: COVID-Infodemie und die Verlockung der Zensur
  3. Member in the spotlight: D3 – Defesa dos Direitos Digitais
  4. Österreichs größter Privatsphären-Skandal: Wohnadressen öffentlich gemacht
  5. Xnet veröffentlicht zwei Beschwerden zur Verbesserung des Datenschutzes in Spanien

 

Biometrische Massenüberwachung verbieten!

Von EDRi

Überall in Europa werden hochgradig aufdringliche und rechtsverletzende Gesichtserkennungs- und biometrische Verarbeitungstechnologien in unseren öffentlichen Räumen still und leise allgegenwärtig. Während die Europäische Kommission die Öffentlichkeit dazu konsultiert, was zu tun ist, fordert EDRi die Kommission und die EU-Mitgliedstaaten auf, dafür zu sorgen, dass solche Technologien sowohl in der Gesetzgebung als auch in der Praxis umfassend verboten werden.

Gehen Sie weiter. Hier gibt es nichts zu sehen...
Gehen Sie weiter. Hier gibt es nichts zu sehen….

Bis Ende 2019 hatten mindestens 15 europäische Länder mit invasiven biometrischen Massenüberwachungstechnologien, wie etwa der Gesichtserkennung, experimentiert. Diese sind darauf ausgelegt, Menschen zu beobachten, zu verfolgen oder zu analysieren, sie zu bewerten und zu beurteilen, während sie ihrem täglichen Leben nachgehen.

Schlimmer noch, viele Regierungen haben dies in Zusammenarbeit mit geheimen Technologieunternehmen getan, ohne öffentliche Debatte und ohne nachgewiesen zu haben, dass die Systeme auch nur die grundlegendsten Schwellenwerte der Rechenschaftspflicht, Notwendigkeit, Verhältnismäßigkeit, Legitimität, Legalität oder Absicherung erfüllen.

Ein paar tausend Kameras, um sie alle zu beherrschen

Ohne Privatsphäre haben Sie nicht das Recht auf ein privates Gespräch mit Ihren Freunden, Ihrer Familie, Ihrem Chef oder sogar Ihrem Arzt. Ihr Aktivismus zur Rettung des Planeten geht jeden etwas an. Sie werden erwischt, wenn Sie Missbrauch und Korruption auffliegen lassen oder wenn Sie an einem politischen Marsch teilnehmen, an dem Ihre Regierung nicht möchte, dass Sie teilnehmen. Sie verlieren das Recht, zu einem Gottesdienst oder einem Gewerkschaftstreffen zu gehen, ohne dass jemand ein Auge auf Sie hat, Ihren Partner zu umarmen, ohne dass jemand schnüffelt, oder sich frei zu bewegen, ohne dass jemand denkt, Sie seien verdächtig.
Mit ständiger Massenüberwachung verlieren Sie die Möglichkeit, jemals wirklich allein zu sein. Stattdessen werden Sie ständig überwacht und kontrolliert.

COVID-1984?

Seit Beginn der Coronavirus-Pandemie wurden Apps und andere Vorschläge zur raschen Ausweitung von Körper- und Gesundheitsüberwachungssystemen unter dem Deckmantel der öffentlichen Gesundheit unterbreitet. Es besteht jedoch die reale Gefahr, dass der durch die Ausweitung der Überwachungsmaßnahmen verursachte Schaden noch lange nach dem Ende der Pandemie anhält. Werden die Arbeitgeber zum Beispiel nach der Pandemie die Kameras zur Temperaturkontrolle in den Büros entfernen?

Biometrische Massenüberwachungssysteme können strukturelle Ungleichheiten verschärfen, die unrechtmäßige Erstellung von Profilen beschleunigen, ihre Meinungs- und Versammlungsfreiheit einschränken und die Fähigkeit eines jeden zur Teilnahme an öffentlichen und sozialen Aktivitäten einschränken.
Fanny Hidvégi, Europe Policy Manager beim EDRi-Mitglied Access Now (AN), erklärt:

„Menschenrechte gelten in Notfällen und Gesundheitskrisen. Wir müssen uns nicht zwischen Privatsphäre und Gesundheit entscheiden: Der Schutz der digitalen Rechte fördert auch die öffentliche Gesundheit. Die Aussetzung der Datenschutzrechte in Ungarn zeigt, warum die EU den Schutz der Grundrechte verstärken muss.“

Biometrische Überwachung – eine Architektur der Unterdrückung

Als „Architektur der Unterdrückung“ dargestellt, ermöglicht es die ungezielte Erfassung oder Verarbeitung sensibler biometrischer Daten Regierungen und Unternehmen, unglaublich detaillierte permanente Aufzeichnungen darüber zu erstellen, wen man trifft, wohin man geht und was man tut. Mehr noch, sie erlaubt es diesen Akteuren, all diese Aufzeichnungen gegen Sie zu verwenden – sei es für die Strafverfolgung, für Behörden oder sogar für kommerzielle Zwecke. Indem man sie mit Gesichtern und Körpern verknüpft, werden diese permanenten Aufzeichnungen buchstäblich in Ihre Haut geritzt. Die zunehmende Fähigkeit der Staaten, Personen durch Gesichtserkennung und andere biometrische Verfahren zu verfolgen und zu identifizieren, wird sich wahrscheinlich unverhältnismäßig stark auf Bevölkerungsgruppen auswirken, die bereits in hohem Maße polizeilich überwacht, beobachtet und missbraucht werden, darunter Menschen mit Hautfarbe, Roma und muslimische Gemeinschaften, soziale Aktivisten, LGBTQ+-Personen und Menschen mit irregulärem Migrationsstatus. Dafür kann es in einer demokratischen, auf Rechten basierenden und die Rechtsstaatlichkeit respektierenden Gesellschaft keinen Platz geben.

Ioannis Kouvakas, Rechtsreferent beim EDRi-Mitglied Privacy International (PI) warnt davor:

„Die Einführung der Gesichtserkennung in den Städten ist eine radikale und dystopische Idee, die unsere Freiheiten erheblich bedroht und grundlegende Fragen über die Art von Gesellschaften aufwirft, in denen wir leben wollen. Als eine äußerst intrusive Überwachungstechnik kann sie den Behörden neue Möglichkeiten bieten, die Demokratie unter dem Deckmantel ihrer Verteidigung zu untergraben. Wir müssen ihre Einführung jetzt dauerhaft verbieten, bevor es zu spät ist.“

EDRi fordert daher ein sofortiges und unbefristetes Verbot der biometrischen Massenüberwachung in der gesamten Europäischen Union.

Biometrische Massenüberwachung ist ungesetzlich

Dieses Verbot gründet sich auf die Rechte und den Schutz, die in der Charta der Grundrechte der Europäischen Union, der Allgemeinen Datenschutzverordnung (GDPR) und der Strafverfolgungsrichtlinie (LED) verankert sind, die derzeit im Rampenlicht ihrer Überprüfungen zum zweijährigen Jubiläum stehen. Zusammen garantieren diese Instrumente, dass die Menschen in der EU ohne Furcht vor Willkür und Machtmissbrauch, mit Respekt vor ihrer Autonomie und Selbstentfaltung sowie in Sicherheit und Schutz leben können, indem sie strenge Standards für den Datenschutz und den Schutz der Privatsphäre festlegen. Biometrische Massenüberwachung stellt eine Verletzung des Wesens dieser Instrumente und einen Verstoß gegen den Kern der Grundrechte der EU dar.

Wenn erst einmal Systeme vorhanden sind, die die Überwachung aller Menschen rund um die Uhr und dauerhaft normalisieren und legitimieren, ist es ein rutschiger Hang zum Autoritarismus. Die EU muss daher mit legislativen und nicht-legislativen Mitteln sicherstellen, dass die biometrische Massenüberwachung sowohl in der Gesetzgebung als auch in der Praxis umfassend verboten wird.

Lotte Houwing, Politikberaterin des EDRi-Mitglieds Bits of Freedom (BoF) warnt davor:

„Mit den Maßnahmen, die wir heute ergreifen, gestalten wir die Welt von morgen. Es ist von größter Wichtigkeit, dass wir dies im Auge behalten. Wir dürfen uns durch die COVID-19-Krise nicht einschüchtern und in einen (Massen-)Überwachungsstaat verwandeln lassen. Überwachung ist keine Medizin.“

Die EU reguliert alles, von Medikamenten bis hin zu Kinderspielzeug. Es ist unvorstellbar, dass ein Medikament, dessen Wirksamkeit nicht nachgewiesen ist, oder ein Spielzeug, das erhebliche Risiken für das Wohlbefinden von Kindern birgt, auf den Markt gebracht werden darf. Wenn es jedoch um die Erfassung und Verarbeitung biometrischer Daten geht, insbesondere auf ungezielte Weise in öffentlichen Räumen (d.h. Massenüberwachung), ist die EU ein Hort für ungesetzliche biometrische Experimente und Überwachung. Dies geschah, obwohl eine Studie aus dem Jahr 2020 zeigte, dass über 80% der Europäer gegen die Weitergabe ihrer Gesichtsdaten an Behörden sind.

EDRi fordert die EU-Kommission, das Europäische Parlament und die Mitgliedstaaten auf, an ihren Werten festzuhalten und unsere Gesellschaften zu schützen, indem sie die biometrische Massenüberwachung verbieten. Geschieht dies nicht, steigt die Gefahr eines unkontrollierten und unkontrollierbaren Untergangs in eine digitale Dystopie.

Weitere Informationen:

EDRi-Papier: Biometrische Massenüberwachung verbieten (PDF, 13. 05. 2020)

EDRI-Hintergründe: Biometrische Massenüberwachung verbieten (PDF, 13. 05. 2020)

EDRi fordert grundrechtsorientierte Antworten auf COVID-19 (20. 03. 2020)

Notfallreaktionen auf COVID-19 dürfen nicht über die Krise hinausgehen (15. 04. 2020)

COVID-19 & Digitale Rechte: Dokumenten-Pool (04. 05. 2020)

 

COVID-Tech: COVID-Infodemie und die Verlockung der Zensur

Von Chloé Berthélémy

In der EDRi-Reihe über COVID-19, COVIDTech, werden wir die kritischen Prinzipien für den Schutz der Grundrechte bei gleichzeitiger Eindämmung der Verbreitung des Virus untersuchen, wie in der Erklärung des EDRi-Netzwerks zum Virus dargelegt. Jeder Beitrag in dieser Serie wird sich mit einem spezifischen Thema an der Schnittstelle zwischen digitalen Rechten und der globalen Pandemie befassen, um weitergehende Fragen zum Schutz der Grundrechte in Krisenzeiten zu untersuchen. In unserer Erklärung betonten wir das Prinzip, dass Staaten „die Meinungs- und Informationsfreiheit verteidigen“ müssen. In diesem zweiten Beitrag der Serie werfen wir einen Blick auf die Auswirkungen, die die Maßnahmen zur Bekämpfung der Verbreitung von Fehlinformationen auf die Meinungs- und Informationsfreiheit haben könnten. Automatisierte Werkzeuge, Algorithmen zur Inhaltsanalyse, staatlich geförderte Moderation von Inhalten, all das ist unter COVID-19 zur Normalität geworden, und es stellt eine Bedrohung für viele unserer wesentlichen Grundrechte dar.

Wir wussten bereits, dass Social-Media-Unternehmen ziemlich schlecht abschneiden, wenn es um die Moderation von Inhalten auf ihren Plattformen geht. Unabhängig von den Maßnahmen, die sie einsetzen (ob sie nun automatisierte Verfahren verwenden oder menschliche Moderatoren einsetzen), treffen sie diskriminierende und willkürliche Entscheidungen. Sie verstehen den Kontext sowie kulturelle und sprachliche Nuancen nicht. Und schließlich bieten sie keinen angemessenen effektiven Zugang zu Rechtsmitteln.

In Zeiten einer globalen Gesundheitskrise, in der der Zugang zu lebenswichtigen Gesundheitsinformationen, die Aufrechterhaltung sozialer Kontakte und der Aufbau von Solidaritätsnetzwerken so wichtig sind, ist die Online-Kommunikation, einschließlich sozialer Medien und anderer Dienste zur Bereitstellung von Inhalten, zu einem noch wichtigeren Instrument geworden. Leider bieten sie auch Möglichkeiten zur Desinformation und Fehlinformation, die sich in solchen Ausnahmesituationen häufen und die öffentliche Sicherheit und die Reaktionen der Regierung bedrohen. Allerdings sollten private Unternehmen – ob freiwillig oder auf Druck von Regierungen – keine zu strengen, vagen oder unvorhersehbaren Beschränkungen für die Gespräche von Menschen über wichtige Themen auferlegen.

Automatisierte Werkzeuge funktionieren nicht: Was für eine Überraschung!

Als die COVID-19-Krise ausbrach, zwangen die Gesundheitsnotstandsrichtlinien große Social-Media-Unternehmen, ihre Inhaltsmoderatoren nach Hause zu schicken. Facebook und ähnliche Unternehmen versprachen, die Erwartungen zu erfüllen, indem sie die tägliche Moderation von Inhalten auf ihre so genannte künstliche Intelligenz stützten. Es dauerte nur wenige Stunden, um Störungen im System zu beobachten.

Ihr „Anti-Spam“-System schlug qualitativ hochwertige COVID-19-Inhalte aus vertrauenswürdigen Quellen als Verstöße gegen die Gemeinschaftsrichtlinien der Plattformen nieder. Die Weitergabe von Zeitungsartikeln, Links zu offiziellen Regierungs-Websites oder die einfache Erwähnung des Begriffs „Coronavirus“ in einem Beitrag würde dazu führen, dass Ihre Inhalte präventiv blockiert werden.

Dieser ganze Trend zeigt deutlich, warum der Rückgriff auf automatisierte Prozesse der Meinungsfreiheit und der Freiheit, Informationen zu erhalten und weiterzugeben, nur abträglich sein kann. Der aktuelle Kontext veranlasste sogar das Alan-Turing-Institut, vorzuschlagen, dass Inhaltsmoderatoren im Zusammenhang mit der COVID-19-Pandemie als „Schlüsselmitarbeiter“ betrachtet werden sollten.

Inhaltsfilter weisen hohe Fehlermargen auf und neigen zur Überzensur. Dennoch verabschiedete das Europäische Parlament eine Entschließung über die Reaktion der EU auf die Pandemie, in der Unternehmen in sozialen Netzwerken aufgefordert werden, Desinformationen und Hassreden proaktiv zu überwachen und zu „stoppen“. In der Zwischenzeit setzt die Europäische Kommission ihren „freiwilligen Ansatz“ mit den sozialen Medienplattformen fort und erwägt die Möglichkeit, demnächst eine Verordnung vorzuschlagen.

Fehlinformation kriminalisieren: ein Schritt zu weit

Um rasch auf die Ausbreitung der Gesundheitskrise COVID-19 reagieren zu können, versuchen einige Mitgliedstaaten verzweifelt, den Informationsfluss über die Ausbreitung des Virus zu kontrollieren. Bei ihren Bemühungen werden sie durch die Verabschiedung übereilter Gesetze verführt, die Desinformation und Fehlinformation kriminalisieren, was letztlich zu staatlich geförderter Zensur und Unterdrückung des öffentlichen Diskurses führen kann. So hat Rumänien beispielsweise seiner Nationalen Behörde für Verwaltung und Regulierung im Kommunikationsbereich neue Befugnisse erteilt, um die Entfernung von Hinweisen für Websites mit „gefälschten Nachrichten“ anzuordnen. Ein Gesetzesentwurf im Nachbarland Bulgarien sah ursprünglich die Kriminalisierung der Verbreitung von „Internet-Fehlinformationen“ mit Geldstrafen von bis zu 1.000 Euro und sogar Haftstrafen von bis zu drei Jahren vor. In Ungarn umfassen neue Notfallmaßnahmen die strafrechtliche Verfolgung und mögliche Inhaftierung derjenigen, die „falsche“ Informationen verbreiten.

Die Risiken des Missbrauchs solcher Maßnahmen und ungerechtfertigter Eingriffe in das Recht auf freie Meinungsäußerung beeinträchtigen unmittelbar die Fähigkeit der Medien, die Öffentlichkeit objektiv und kritisch zu informieren, was in Zeiten nationaler Gesundheitskrisen für das Wohlergehen des Einzelnen von entscheidender Bedeutung ist. Auch wenn ausserordentliche Situationen definitiv ausserordentliche Massnahmen erfordern, müssen diese verhältnismässig, notwendig und legitim bleiben. Sowohl die EU als auch die Mitgliedstaaten müssen von unangemessener Einmischung und Zensur absehen und sich stattdessen auf Maßnahmen konzentrieren, die die Medienkompetenz fördern und verschiedene Medien sowohl online als auch offline schützen und unterstützen.

Keiner der bisher verfolgten Ansätze zeigt ein umfassendes Verständnis der Mechanismen, die die Schaffung, Verstärkung und Verbreitung von Desinformation als Ergebnis von Kurationsalgorithmen und Online-Werbemodellen ermöglichen. Für eine demokratische Gesellschaft ist es äußerst riskant, sich nur auf sehr wenige Kommunikationskanäle zu verlassen, die sich im Besitz privater Akteure befinden, deren Geschäftsmodell sich aus Sensationsgier und Schock speist.
Die Sofortmaßnahmen, die im Kampf gegen die Gesundheitskrise COVID-19 ergriffen werden, werden bestimmen, wie die europäischen Demokratien in der Folge aussehen werden. Der bevorstehende Digital Services Act (DSA) ist eine große Chance für die EU, sich mit der Monopolisierung unseres Online-Kommunikationsraums auseinanderzusetzen. Weitere Maßnahmen sollten speziell in Bezug auf die Micro-Targeting-Praktiken der Online-Werbeindustrie (Ad Tech) ergriffen werden. Diese Krise hat uns auch gezeigt, dass das DSA sinnvolle Transparenzverpflichtungen für ein besseres Verständnis des Einsatzes von Automatisierung und für zukünftige Forschungen schaffen muss – beginnend mit Transparenzberichten, die Informationen über die Sperrung und Entfernung von Inhalten enthalten.

Was wir für eine gesunde öffentliche Online-Debatte brauchen, sind keine Gatekeeper, die von den Regierungen das Recht haben, Inhalte als intransparent und willkürlich einzuschränken. Stattdessen brauchen wir breit gefächerte, von der Gemeinschaft geführte und die Nutzer befähigende Initiativen, die es jedem ermöglichen, einen Beitrag zu leisten und sich zu beteiligen.

Weitere Informationen:
Gemeinsamer Bericht von Access Now, Civil Liberties Union for Europe, European Digital Rights: Informing the „disinformation“ debate (PDF, 18.10.18)

Access Now: Bekämpfung von Fehlinformationen und Verteidigung der freien Meinungsäußerung während COVID-19: Empfehlungen für Staaten (PDF, 21.04.20)

Digitale Rechte als Sicherheitsziel: Kampf gegen Desinformation (05.12.18)

ENDitorial: Der Kampf gegen gefälschte Nachrichten (25.07.18)

Beitrag von Chloé Berthélémy, EDRi-Politikberaterin

 

Member in the spotlight: D3 – Defesa dos Direitos Digitais

Von EDRi

This is the eleventh article of the series “EDRi member in the Spotlight” in which our members introduce themselves and their work in an in-depth highlight in interview format.

Today we introduce our Portuguese member: D3 – Defesa dos Direitos Digitais.

1. Wer sind Sie und was ist das Ziel und der Auftrag Ihrer Organisation?
Wir sind ein ehrenamtlich geführter Verein, der sich für die Verteidigung der Grundrechte im digitalen Kontext einsetzt. Wir konzentrieren uns darauf, Autonomie und Wahlfreiheit zu gewährleisten, die Privatsphäre und den freien Zugang zu Informationen, Wissen und Kultur zu wahren und die digitalen Rechte als Stärkung der Grundsätze einer demokratischen Gesellschaft zu verteidigen.

2. Wie hat das alles angefangen, und wie hat Ihre Organisation ihre Arbeit entwickelt?
Viele Jahre lang gab es eine Kluft innerhalb der portugiesischen Zivilgesellschaft: Es gab keine Einheit, die sich mit Fragen der digitalen Rechte befasste. Einige Leute kämpften für sie in ihrer individuellen Eigenschaft, und einige wenige Organisationen deckten sie ab, wenn sie absolut notwendig waren, aber oft gingen sie damit über ihren ursprünglichen Aktionsradius hinaus (wie etwa Organisationen für freie Software).

Um 2016 kamen einige Leute zusammen und begannen zu diskutieren, wie wir eine solche Organisation gründen könnten. Das Ziel bestand darin, die bereits bestehenden zivilgesellschaftlichen Bemühungen auf organisierte und engagierte Weise zu koordinieren, und zwar mit einem ausreichend großen Aktionsradius, der es uns erlauben würde, jedes beliebige Thema in diesem Bereich abzudecken – nicht, weil wir alles abdecken wollten, sondern weil wir die Freiheit haben wollten, jedes beliebige Thema anzugehen. Dies geschah schließlich im März 2017, und seitdem sind wir aktiv.

3. Die größte Chance, die sich durch die Fortschritte in der Informations- und Kommunikationstechnologie ergibt, ist…
… einen weiteren universellen Zugang zu vielen Rechten zu ermöglichen, wie z.B. Bildung, Teilnahme am demokratischen Leben, Zugang zu mehr Informationen und Daten, Werkzeuge sowohl für das tägliche Leben als auch zur Unterstützung des Einzelnen und der Gesellschaft in außergewöhnlichen Momenten.

4. Die größte Bedrohung, die von den Fortschritten in der Informations- und Kommunikationstechnologie ausgeht, ist…
Mangelnde Übersicht und Missachtung der Gefahren, die mit der Technologie und ihrer Anwendung verbunden sind; übertriebener Optimismus hinsichtlich der Fähigkeit der Technologie, Probleme sowohl für den Einzelnen als auch für die Gesellschaft zu lösen; magisches Denken, das mit dem mangelnden Verständnis von Technologie und Wissenschaft im Allgemeinen einhergeht.

5. Welches sind die größten Siege/Erfolge/Errungenschaften Ihrer Organisation?
Es ist uns gelungen, die erste abweichende Stimme in Angelegenheiten zu werden, in denen es früher keine Instanz gab, die das öffentliche Interesse vertrat. Wir brachten neue Themen in die portugiesische öffentliche Debatte ein, wie Datenspeicherung, Urheberrecht, Netzneutralität, elektronische Abstimmungen, öffentliche Überwachung und mehr. Unser größter Erfolg war, dass unsere Beschwerde über die Vorratsdatenspeicherung beim Justizbürgerbeauftragten beim Verfassungsgericht eingegangen ist (die Entscheidung steht noch aus).

6. Wenn Ihre Organisation jetzt in Ihrem Land eine Sache ändern könnte, was wäre das?
Der Ausschluss nicht-politischer Einflüsse auf öffentliche politische Entscheidungen.

7. Was ist die größte Herausforderung, vor der Ihre Organisation in Ihrem Land derzeit steht?
Intern sind wir mit den üblichen Problemen konfrontiert, die mit der geringen Größe des Landes zusammenhängen; wir könnten zum Beispiel mehr Freiwillige einsetzen, die uns helfen.

Extern ist es im Moment unmöglich, dem Thema COVID-19 zu entkommen, das einige Menschent, die sich an den Praktiken nichtdemokratischer Länder orientieren, fragwürdigen Versprechungen des „Tech-Solutionismus“ zum Opfer fallen lässt.

8. Wie kann man sich mit Ihnen in Verbindung setzen, wenn man als Freiwilliger helfen oder spenden möchte, um Ihre Arbeit zu unterstützen?
Sie können uns unter geral@direitosdigitais.pt erreichen.

Wenn Sie Portugiesisch sprechen, finden Sie weitere Informationen auf unserer Website, einschließlich der Informationen über Freiwilligenarbeit und Spenden. Eine englischsprachige Version in kleinerem Maßstab ist ebenfalls in unseren Plänen.

Weitere Informationen:

EDRi-Mitglied im Rampenlicht-Serie

D3 Startseite

 

Österreichs größter Privatsphären-Skandal: Wohnadressen öffentlich gemacht

Von Epicenter.works

Niemand berücksichtigte den Datenschutz für das so genannte „Ergänzungsregister für sonstige Betroffene“. Das Wirtschaftsministerium und das Finanzministerium sind für eine Datenverletzung verantwortlich, an der die Wirtschaftskammern Österreichs mitschuldig waren.

Personenbezogene Daten von mindestens einer Million Menschen werden seit Jahren ohne jegliche Schutzmassnahmen öffentlich ins Internet gestellt, wie NEOS und epicenter.works in einer gemeinsamen Pressekonferenz am 8. Mai erklärten. Dies ist ein Geschenk der Republik an jeden Datenhändler und Identitätsdieb. „Die technischen und organisatorischen Maßnahmen zum Schutz der Rechte der Betroffenen nach GDPR fehlen völlig“, ergänzt epicenter.works-Geschäftsführer Thomas Lohninger. Im Gegensatz zum Zentralen Melderegister (ZMR) fehlen hier alle Schutzmechanismen, wie z.B. die Pflicht zur Identifizierung der abfragenden Person oder die Erhebung einer Gebühr für die Datenfreigabe oder die Möglichkeit, die eigenen Daten mit einer Informationsfreigabesperre zu schützen.

Private Wohnadressen sind besonders sensibel
„Wir wissen noch nicht genau, wie viele Menschen von diesem Datenskandal betroffen sind und welche Gruppen daran beteiligt sind“, so Lohninger weiter. „Nach unseren Schätzungen muss es etwa eine Million Betroffene geben“. Aus den Daten liesse sich auch ableiten, wann Steuererklärungen abgegeben wurden oder ob zum Beispiel staatliche Hilfe geleistet wurde. „Noch dramatischer ist, dass die privaten Wohnadressen dieser Personen im Internet öffentlich zugänglich sind und es keine Möglichkeit gibt, sich dagegen zu wehren. Vom Bundespräsidenten abwärts sind dort fast alle zu finden, die ein anderes Einkommen als aus nichtselbständiger Arbeit hatten und haben“, so der Datenschutzexperte weiter.

Kein Zweck, keine Informationssperre, keine Schutzmassnahmen
„Der Zweck dieses öffentlichen Registers ist nicht ersichtlich. Öffentliche Register bringen regelmässig Rechte und Pflichten mit sich, wie z.B. Eintragungen in das Zivilregister, Handelsregister oder Vereinsregister. Die verwaltungsinterne Bereitstellung von Quellennummern mag zwar der Grund für die Schaffung des Zusatzregisters sein, doch erklärt dies nicht, warum es seit Jahren öffentlich und barrierefrei zugänglich ist“, sagt die Juristin von epicenter.works, Lisa Seidl. In vielen Fällen geht der Umfang der zugänglichen Daten über die aus dem ZMR abrufbaren Daten hinaus, und im Gegensatz dazu gibt es keine Schutzmechanismen, die die Identifizierung der abfragenden Person, die Erhebung einer Gebühr für die Freigabe von Informationen oder die Möglichkeit der Einrichtung einer Informationsfreigabesperre verlangen. Auch wenn die Verordnung von 2009 eine Rechtsgrundlage für die Veröffentlichung des Registers biete, könne diese Verordnung eine Verletzung des Grundrechts auf Datenschutz darstellen, so Seidl.

Auf der Grundlage von zensierten Auszügen aus dieser Datenbank können wir zeigen, dass die Daten von Journalisten, Politikern und anderen Personen, denen die Vertraulichkeit ihrer privaten Daten besonders am Herzen liegt, aufgenommen wurden. So waren beispielsweise von 183 Abgeordneten 100 mit ihren Privatadressen sichtbar. Eine entsprechende Liste finden Sie hier. Darüber hinaus konnten viele Journalisten des öffentlich-rechtlichen Rundfunks (ORF) leicht gefunden werden.

Was ist der Unterschied zum Handelsregister?
Das Handelsregister ist leicht zugänglich, aber es kostet recht viel – 12,90€ pro Auszug – und ist unerlässlich (d.h. es hat einen wichtigen Zweck), denn Sie müssen und sollten über das wirtschaftliche Risiko Bescheid wissen, das Sie eingehen, wenn Sie Verträge mit anderen Unternehmen abschließen. In jedem Fall enthält er keine privaten Wohnadressen, sondern die Geschäftsadressen der Unternehmen.

Ist die Regelung möglicherweise sogar illegal oder verfassungswidrig?
Grundsätzlich muss der österreichische Staat die GDPR einhalten, ist aber von Strafen befreit. Befinden sich Daten im Register, die nicht bereits öffentlich zugänglich sind (z.B. Steuerdaten von Privatpersonen – nicht von Unternehmen!), bedarf es einer eigenen gesetzlichen Grundlage (in diesem Fall einer Verordnung), und erst dann dürfen die Daten nach dem GDPR verarbeitet werden. Dieser Erlass könnte aber immer noch verfassungswidrig sein (§1 des Datenschutzgesetzes (DSG) hat Verfassungsrang). Gerechtfertigte Grundrechtseinschränkungen erfordern immer ein legitimes Ziel, das notwendig und verhältnismässig ist. An dieser ersten Hürde scheitert das Register, da es sich bei der Zugänglichmachung von Steuerdaten für die Öffentlichkeit nicht um ein „legitimes Ziel“ handelt. Daher ist die Einschränkung von Grundrechten ungerechtfertigt und eine Verletzung des Grundrechts auf Datenschutz. Solange der österreichische Verfassungsgerichtshof die Verordnung nicht wegen Rechtswidrigkeit oder Verfassungswidrigkeit aufgehoben hat, ist sie anzuwenden.

Chronologie des Registers

  • Beschluss zur öffentlichen Einrichtung dieses Registers 2004/2009, Schüssel / Faymann
  • Register im Dezember 2018 fraglos an das österreichische Wirtschaftsministerium übertragen, keine Schutzmaßnahmen festgelegt, trotz Einführung der GDPR keine Durchsetzung der Rechte der Betroffenen
  • Österreichisches Finanzministerium sendet laufend Daten an Register, wobei unklar ist, aus welchen Quellen

Lesen Sie mehr dazu:

Größter Datenskandal der Republik: Über eine Million Wohnadressen öffentlich (08.05.2020)

Hacking-Gesetz der österreichischen Regierung ist verfassungswidrig (18.02.2019)

Österreichische Post in Datenskandal verwickelt (28.01.2019)

Beitrag von Thomas Lohninger, von EDRi-Mitglied epicenter.works

 

Xnet veröffentlicht zwei Beschwerden zur Verbesserung des Datenschutzes in Spanien

Von Xnet

Xnet zeigt Lücken in Spaniens Anpassung der allgemeinen EU-Datenschutzverordnung (GDPR) auf. Das spanische Mitglied von EDRi hat zwei Beschwerden bei der Europäischen Kommission eingereicht, die sich auf das Fehlen einer wirksamen Anpassung des Prinzips der Datenminimierung und die mangelnde Abstimmung zwischen dem Schutz personenbezogener Daten und der Meinungs- und Informationsfreiheit in der spanischen Gesetzgebung beziehen.

Die COVID-19-Krise hat den Umfang, in dem der Auszug und die Nutzung von persönlichen Daten der Bürgerinnen und Bürger reichen kann, mit Nachdruck zur Diskussion gestellt.

Diese Probleme wurden bereits in einem Bericht von Xnet vom Februar 2020 mit dem Titel „Privacy, Data Protection and Institutionalised Abuses“ (Privatsphäre, Datenschutz und institutionalisierter Missbrauch) und mit der Kampagne #DatosPorLiebre aufgedeckt und erläutert.

Xnet ist der Ansicht, dass die Verwendung von persönlichen Daten im allgemeinen Interesse notwendig ist. Sie sollte jedoch niemals im Widerspruch zur Achtung der Grundrechte auf Privatsphäre und Intimität stehen.
Die Verfahren, die Xnet jetzt einleitet, sind eine Folge des Berichts, aber das EDRi-Mitglied ist der Meinung, dass sie auch bei der Gestaltung von Richtlinien für die Zeit nach COVID-19 nützlich sein werden. Die Europäische Kommission hat eine Position veröffentlicht, die den Standpunkt von Xnet unterstützt. Dies könnte den neuen spanischen Generalsekretär für digitale Transformation positiv beeinflussen. Aus diesem Grund ist Xnet der Ansicht, dass dies ein guter Zeitpunkt ist, um mit diesen beiden Verfahren zu beginnen.

Wie Xnet in dem Bericht „Privacy, Data Protection and Institutionalised Abuses“ (Privatsphäre, Datenschutz und institutionalisierter Missbrauch) erklärte, sind sie der Ansicht, dass das „Organische Gesetz über Datenschutz und die Garantie digitaler Rechte“, das darauf abzielt, die GDPR an das spanische System anzupassen, Lücken enthält, die den Grundrechten widersprechen.

Der Bericht und die Verfahren erklären die Kollision zwischen dem Minimierungsprinzip, das in der GDPR grundlegend ist, und anderen geltenden Gesetzen, die ihre Durchsetzung und die Kontrolle der persönlichen Daten, ihrer Verwendung und Bestimmung durch Einzelpersonen verhindern.

Konkret sind die Identifizierungsanforderungen der Bürger, wenn sie irgendeine Art von Verfahren, wie einfach es auch sein mag, bei einer öffentlichen Verwaltung oder anderen Unternehmen durchführen wollen, missbräuchlich und unverhältnismäßig. Diese Identifizierungsanforderungen der spanischen Gesetzgebung sind in dem neuen durch die GDPR geschaffenen Rahmen nicht mehr gerechtfertigt. Der Grundsatz der Minimierung legt fest, dass niemand mehr Daten als nötig anfordern oder extrahieren darf. Die Privatsphäre muss absichtlich und standardmäßig geschützt werden.

Das zweite Verfahren hebt die mangelnde Umsetzung von Artikel 85 der Verordnung in nationales Recht hervor und verstößt damit gegen die darin festgelegte Verpflichtung, das Recht auf den Schutz personenbezogener Daten mit den Meinungs- und Informationsfreiheiten in Einklang zu bringen. Dies macht es schwierig, Fälle von Missbrauch oder Korruption aufzudecken, was in einer Situation wie dieser sehr notwendig ist.

 
Weitere Informationen:

[Auf Spanisch]: Xnet abre procedimientos ante la Comisión Europea para la mejora de la protección de datos en la legislación española (04.05.2020)

ApTI reicht Beschwerde über rumänische GDPR-Implementierung ein (27.02.2019):

Ein Jahr unter der GDPR. Ein Fortschrittsbericht über die Umsetzung:

 
Beitrag von Simona Levi, von EDRi-Mitglied Xnet

 

 

 
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny

0 Kommentare zu “EDRi-gram 18.9, 13. Mai 2020

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.