- COVID-Tech: Überwachung ist der Ausgangspunkt
- Wettbewerbsrecht: Big-Tech-Fusionen, ein Instrument der Marktbeherrschung
- Mehr als die Summe unserer Teile: eine Strategie für das EDRi-Netzwerk
- Ungarn: „Meinungspolizei“ reguliert Facebook-Kommentare
- Deutsches Bundesverfassungsgericht stoppt Massenüberwachung im Ausland
- Frankreich: Erster Sieg gegen Polizeidrohnen
- Offener Brief: EDRi drängt auf Durchsetzung und Maßnahmen zum 2-jährigen Jubiläum des GDPR
COVID-Tech: Überwachung ist der Ausgangspunkt
Von Gastautor
In der EDRi-Reihe über COVID-19, COVIDTech, werden wir die kritischen Prinzipien für den Schutz der Grundrechte bei gleichzeitiger Eindämmung der Verbreitung des Virus untersuchen, wie in der Erklärung des EDRi-Netzwerks zum Virus dargelegt. Jeder Beitrag in dieser Serie wird sich mit einem spezifischen Thema über digitale Rechte und die globale Pandemie befassen, um allgemeinere Fragen zum Schutz der Grundrechte in Krisenzeiten zu untersuchen. In unserer Erklärung betonten wir, dass „die ergriffenen Maßnahmen nicht zu irgendeiner Form von Diskriminierung führen dürfen, und die Regierungen gegenüber unverhältnismäßigen Schäden, denen Randgruppen ausgesetzt sein können, wachsam bleiben müssen“. In diesem dritten Beitrag der Reihe befassen wir uns mit der Überwachung – wobei wir die Maßnahmen in ihrem längerfristigen Verlauf – insbesondere von marginalisierten Gemeinschaften – einordnen.
Ein kleiner Höhepunkt in dieser ansonsten düsteren Krise der öffentlichen Gesundheit ist die Tatsache, dass die Privatsphäre im Trend liegt. Mehr denn je erreichen die Gespräche über die digitale Privatsphäre jetzt die breite Öffentlichkeit. Dies ist eine lebenswichtige Entwicklung, da Staaten und private Akteure in ihren Reaktionen auf COVID-19 immer größere Bedrohungen für unsere digitalen Rechte darstellen. Je mehr sie uns beobachten, desto mehr müssen wir sie beobachten.
Eine Sorge ist jedoch, dass diese Debatten diese neue Aufmerksamkeit für die Privatsphäre in einen hochtechnischen, digitalen Bereich abgleiten lassen. Die Debatte wird von der Mechanik der digitalen Überwachung beherrscht, davon, ob wir zentralisierte oder dezentralisierte Apps zur Kontaktverfolgung haben sollten, und davon, wie Zoom uns bei der Arbeit, beim Lernen und beim Yoga zu Hause verfolgt.
Dies ist zwar wichtig, aber es ist nur ein teilweiser Rahmen dafür, wie Privatsphäre und Überwachung während der Pandemie erlebt werden. Weniger im Vordergrund stehen die verschiedenen anderen Verletzungen der Privatsphäre, die als Folge von COVID-19 eingeführt wurden. Wir sollten nicht vergessen, dass Überwachung für viele Gemeinden kein COVID-19-Thema ist – sie war bereits vorhanden.
Die anderen Seiten der COVID-Überwachung
Sehr reale Bedenken hinsichtlich digitaler Maßnahmen, die als Reaktion auf eine Pandemie vorgeschlagen werden, sollten den breiteren Kontext der Massenüberwachung, die sich vor unseren Augen abzeichnet, nicht überschatten. Regierungen in ganz Europa führen in zunehmendem Maße Maßnahmen ein, um die Öffentlichkeit über Telekommunikations- und andere Daten physisch zu verfolgen, ohne ausdrücklich darauf hinzuweisen, wie dies die Verbreitung des Virus behindern wird oder wann die Nutzung und Speicherung dieser Daten beendet wird.
Wir sehen auch das Aufkommen der Bioüberwachung in der Verkleidung einer Reaktion des öffentlichen Gesundheitswesens. Von der Anwendung der polnischen Regierung, die die Verwendung von geo-lokalisierten Selfies vorschreibt, bis hin zu Gesprächen über die Verwendung der Gesichtsbiometrie zur Erstellung von Immunitätspässen, um die Rückkehr von Arbeitnehmern im Vereinigten Königreich zu erleichtern, haben die Regierungen die Pandemie als Tarnung benutzt und werden dies auch weiterhin tun, um in unsere Häuser und näher an uns heranzukommen.
Weniger beliebt in der Medienberichterstattung sind jedoch physische Überwachungstechniken. Solche Maßnahmen sind – in vielen europäischen Ländern – mit verstärkten Strafbefugnissen für die Strafverfolgung verbunden. In Frankreich, Belgien und Spanien hat die Polizei Drohnen eingesetzt, und Gemeinschaften in Städten in ganz Europa spüren den Druck einer verstärkten Polizeipräsenz in ihren Gemeinden. Erhöhte Maßnahmen der physischen Überwachung können nicht für bare Münze genommen oder ignoriert werden. Sie müssen vielmehr im Zusammenhang mit neuen digitalen Entwicklungen gesehen werden.
Wer kann sich Privatsphäre leisten?
Diese Maßnahmen sind neutral gesehen nicht schädlich. In ungleichen Gesellschaften wird die Überwachung immer auf rassisierte1 Menschen, Migranten und die Arbeiterklasse abzielen. Diese Menschen tragen die Last der verstärkten polizeilichen Befugnisse und der Strafverfolgung im Bereich der „öffentlichen Gesundheit“ – es ist wahrscheinlicher, dass sie das Haus zur Arbeit verlassen müssen, öffentliche Verkehrsmittel benutzen, in überwachter Nachbarschaft leben und im Allgemeinen als verdächtig und kriminell wahrgenommen werden, was eine Überwachung erforderlich macht.
Dies ist eine Frage der Privatsphäre ebenso wie eine Frage der Ungleichheit. Von einigen Ausnahmen abgesehen, bedeuten die Folgen einer verstärkten Überwachung im Rahmen von COVID-19 eine erhöhte Exposition gegenüber dem Virus durch direkten Kontakt mit der Polizei, eine verstärkte Überwachung ihrer sozialen Medien, die Angst vor ständigen Sirenen und im schlimmsten Fall die tatsächliche Körperverletzung durch Polizeibrutalität.
In den letzten Tagen meldeten Roma-Gemeinschaften in der Slowakei zahlreiche Fälle von Polizeibrutalität, einige davon gegen Kinder, die draußen spielen. Schwarze, braune und Arbeitergemeinschaften in ganz Europa erleben die physischen und psychischen Auswirkungen der Beobachtung noch stärker als normal. In Brüssel, wo EDRi seinen Sitz hat, ist ein junger Mann in Kontakt mit der Polizei bei einer Razzia ums Leben gekommen.
Diese Verwundbarkeit ist auch ökonomischer Natur – für viele ist die Privatsphäre ein spärliches Gut, das von denen gekauft wird, die in wohlhabenden Vierteln leben, von denen, die von zu Hause aus arbeiten. Diejenigen, die sich eine Privatsphäre in diesem grundlegenderen Sinne nicht leisten können, werden leider von den Debatten über die Ermittlung von Kontaktpersonen nicht berührt werden. Für viele bedeutet die digitale Ausgrenzung, dass Maßnahmen wie Apps zur Kontaktverfolgung völlig irrelevant sind. Schlimmer noch, wenn zukünftige Maßnahmen als Reaktion auf COVID-19 unter der Annahme konzipiert werden, dass wir alle Smartphones benutzen oder Ausweisdokumente haben, werden sie immens schädlich sein.
Diese Maßnahmen werden als „neu“ dargestellt, zumindest in unseren europäischen „liberalen“ Demokratien. Aber für viele ist die Überwachung nicht neu. Die Reaktionen der Regierung auf den Virus haben der breiten Öffentlichkeit lediglich eine Realität gebracht, die jahrzehntelang Menschen mit anderer Hautfarbe und anderen marginalisierten Gemeinschaften vorbehalten war. Vor COVID-19 haben die europäischen Regierungen Technologie und andere datengestützte Instrumente eingesetzt, um Gruppen am Rande der Gesellschaft zu identifizieren, „Risikobewertungen“ vorzunehmen und mit ihnen zu experimentieren, sei es durch die Vorhersage von Verbrechen, die Vorhersage von Sozialbetrug oder die Beurteilung, ob Asylbewerber durch ihre Gesichtsbewegungen die Wahrheit sagen oder nicht.
Wir müssen diese Überwachungserfahrungen in die allgemeine Debatte über die Privatsphäre integrieren. Diese Gespräche wurden beiseite geschoben oder mit der Logik der individuellen Verantwortung wegerklärt. So hat beispielsweise im vergangenen Jahr in einer öffentlichen Debatte über Technologie und Überwachung marginalisierter Gemeinschaften ein Teilnehmer das Gespräch rasch von der Erstellung von Polizeiprofilen weg und hin zu Kenntnissen der Privatsphäre geführt. Sie fragten im Raum der antirassistischen Aktivisten: „Benutzt hier jeder ein VPN?
Ohne ein ganzheitliches Bild davon, wie sich die Überwachung auf Menschen unterschiedlich auswirkt – die Schwachstellen von Gemeinschaften und die Machtungleichgewichte, die dies bewirken – werden wir leicht in die Falle tappen, dass Schnelllösungen unsere Privatsphäre garantieren können und dass Überwachung gerechtfertigt sein kann.
Ist Überwachung ein Preis, der es wert ist, bezahlt zu werden?
Wenn wir unsere Argumente nicht in den realen Überwachungserfahrungen der Menschen verwurzeln, entwerten wir nicht nur das Recht auf Privatsphäre für einige, sondern wir riskieren auch, das Argument an diejenigen zu verlieren, die glauben, dass Überwachung ein Preis ist, den es sich zu zahlen lohnt.
Dieses Narrativ ist eine direkte Folge einer abstrakten, technischen und neutralen Gestaltung der Überwachung und ihrer Schäden. Durch diese Linse sind Verletzungen der Privatsphäre geringfügige, notwendige Übel. Infolgedessen wird die Privatsphäre immer den falschen Kompromiss „Privatsphäre vs. Gesundheit“ verlieren. Wir sollten den Kompromiss selbst in Frage stellen und können daher auch fragen: Wer wird wirklich den Preis der Überwachung bezahlen? Wie erleben die Menschen die Verletzung der Privatsphäre?
Eine weitere Frage, die wir uns stellen müssen, lautet: Wer profitiert von der Überwachung? Zahlreiche Unternehmen haben ihre Bereitschaft gezeigt, öffentlich-private Allianzen einzugehen und COVID-19 als Gelegenheit zu nutzen, um auf der Überwachung basierende „Lösungen“ für Gesundheitsfragen (oft mit zweifelhaften Behauptungen) auf den Markt zu bringen. Auch dies ist nicht neu – Firmen wie Palantir, die von der britischen Regierung beauftragt wurden, während des COVID-19 vertrauliche Gesundheitsdaten zu verarbeiten, spielen schon viel länger eine Rolle bei der Überwachung von Migranten und Farbigen und bei der Erleichterung von Abschiebungen. Andere große Technologieunternehmen werden COVID-19 nutzen, um ihre Expansion in Bereiche wie „digitale Wohlfahrt“ fortzusetzen. Hier werden die zutiefst ungleichen Machtverhältnisse mit der Einführung digitalisierter Werkzeuge weiter zementiert werden, wodurch sie schwieriger hinterfragt werden können und immer größere Risiken für diejenigen darstellen, die sich auf den Staat verlassen. Wenn dieses Klima des Technologielösungswettlaufs unangefochten bleibt, wird es das Risiko der Erprobung neuer Technologien und der Datenextraktion aus Randgruppen zu Profitzwecken nur noch erhöhen.
Eine kollektive Privatsphäre
Es besteht die Gefahr, die Überwachung als außergewöhnlich anzusehen; ein Merkmal der COVID-19-Zeiten. Sie legt nahe, dass der Schutz der Privatsphäre nur dann berichtenswert ist, wenn es um „alle“ oder „die Gesellschaft als Ganzes“ geht. Das bedeutet jedoch, dass es uns eigentlich nichts ausmacht, wenn einige wenige keine Privatsphäre haben.
Überwachungsmaßnahmen und andere Bedrohungen der Privatsphäre sind unzählige Male aus Gründen des „öffentlichen Wohls“ gerechtfertigt gewesen. Die Privatsphäre – in abstrakten, technischen und individualistischen Begriffen gefasst – kann einfach nicht konkurrieren, und eine immer stärkere Überwachung wird gerechtfertigt sein. Diese Überwachung wird digital und physisch und alles dazwischen sein, und es werden Gewinne erzielt werden. Alternativ können wir für die Privatsphäre als kollektive Vision kämpfen – etwas, das jeder haben sollte. Kollektive Privatsphäre ist nicht exklusiv oder abstrakt – es bedeutet, weiter zu schauen als nur, wie der Einzelne seine Privatsphäre-Einstellungen anpassen kann oder wie die Privatsphäre in Anwendungen zur Kontaktverfolgung gewährleistet werden kann.
Eine kollektive Vision der Privatsphäre bedeutet, sich gegen eine verstärkte polizeiliche Überwachung, die Verwendung von Randgruppen als Versuchskaninchen für neue digitale Technologien und die Gewährleistung eines angemessenen Schutzes der Privatsphäre bei neuen Technologien auszusprechen. Es erfordert auch, dass wir darüber nachdenken, wer als Erster die Auswirkungen der Überwachung zu spüren bekommt. Wie können wir sie unterstützen? Um diese Fragen zu beantworten, müssen wir die Überwachung in all ihren Erscheinungsformen anerkennen, auch weit vor dem Ausbruch von COVID-19.
Weitere Informationen:
Telco-Daten und Covid-19: Ein Leitfaden (21.04.20)
Digitale Kluft ‚isoliert und gefährdet‘ Millionen der Ärmsten in Großbritannien (28.04.20)
Die EU finanziert dystopische Projekte zur künstlichen Intelligenz (22.01.20)
Ein Preis, der es wert ist, bezahlt zu werden: Technik, Privatsphäre und der Kampf gegen Covid-19 (24.04.20)
COVID-Tech: Notfallmaßnahmen zu COVID-19 dürfen nicht über die Krise hinausgehen (15.04.20)
COVID-Tech: COVID-Infodemie und die Verlockung der Zensur (13.04.2020)
Fußnoten
1Dieser Begriff bezieht sich auf rassische, ethnische und religiöse Minderheiten und betont, dass Rassisierung ein struktureller Prozess ist, der Menschen, Gruppen und Gemeinschaften zugefügt wird.
Beitrag von Sarah Chander, leitende Politikberaterin von EDRi
Wettbewerbsrecht: Big-Tech-Fusionen, ein Instrument der Marktbeherrschung
Von Laureline Lemoine
Dies ist der dritte Artikel in einer Reihe, die sich mit Wettbewerbsrecht und Big Tech befasst. Ziel der Serie ist es, zu untersuchen, was das Wettbewerbsrecht beim Schutz unserer digitalen Rechte erreicht hat, wo es seine Versprechen nicht eingehalten hat und wie man Abhilfe schaffen kann. Lesen Sie den ersten Artikel über die Auswirkungen des Wettbewerbsrechts auf Ihre digitalen Rechte hier (englisch) und den zweiten Artikel darüber, was man gegen den Missbrauch von Big Tech unternehmen kann, hier.
Eine Möglichkeit, wie Big Tech eine beherrschende Stellung in unserem Online-Leben erlangen konnte, sind Fusionen und Übernahmen. In den letzten Jahren haben die fünf größten Technologieunternehmen (Amazon, Apple, Alphabet – Muttergesellschaft von Google, Facebook und Microsoft) Milliarden ausgegeben, um ihre Position durch Übernahmen zu stärken, die unser digitales Umfeld geprägt haben. Zu den berüchtigten Übernahmen, die Schlagzeilen machten, gehören Facebook/WhatsApp, Facebook/Instagram, Microsoft/LinkedIn, Google/YouTube und in jüngster Zeit Amazon/Twitch.
Neben den berüchtigten Social-Media-Plattformen und Big-Deals übernehmen Big-Tech-Unternehmen auch weniger bekannte Firmen und Start-ups, die ebenfalls in hohem Maße zu ihrem Wachstum beitragen. Auch wenn Apple keine großen, berichtenswerten Übernahmen tätigt, so kauft das Unternehmen nach Angaben seines CEO dennoch „durchschnittlich alle zwei bis drei Wochen ein Unternehmen“. Seit 2001 hat Google-Alphabet über 250 Unternehmen und seit 2007 über 90 Unternehmen von Facebook übernommen. Die intensive Akquisitionspolitik von Big Tech gilt insbesondere für Start-ups mit künstlicher Intelligenz (KI). Dies ist beunruhigend, da eine Reduzierung der Konkurrenz auch eine Reduzierung der Vielfalt bedeutet und Big Tech die Verantwortung für die Entwicklung dieser Technologien überlässt, und dies in einer Zeit, in der KI-Technologien mehr und mehr bei Entscheidungen, die Einzelpersonen betreffen, eingesetzt werden und bekanntermaßen anfällig für Verzerrungen sind.
Die intensive Akquisitionspolitik der Big Tech kann verschiedene Ziele verfolgen, manchmal zur gleichen Zeit. Diese Unternehmen akquirieren Wettbewerber, die den Verbrauchern eine Alternative anbieten konnten oder wollten, um sie auszuschalten oder auf Eis zu legen („Killer-Akquisitionen“), um eine Position im selben Markt oder in einem benachbarten Markt zu festigen oder um ihre technischen oder menschlichen Fähigkeiten zu erwerben („Talent-Akquisitionen“). Siehe zum Beispiel diese Übersicht über die Übernahmen von Google und Facebook.
Und in Zeiten wirtschaftlicher Schwierigkeiten ist Big Tech sogar noch lauernder. In den USA will Senator Warren ein Moratorium für Akquisitionen aus der COVID-Ära einführen.
Die Fusionen von Big Tech sind weitgehend unreguliert
Obwohl Fusionen und Übernahmen Teil des Geschäftslebens sind, geht es darum, dass die meisten Übernahmen von Big Tech keiner Kontrolle unterliegen. Und die wenigen, die geprüft werden, sind ohne Bedingungen genehmigt worden. Dies führte zu Debatten über den Stand des Wettbewerbsrechts: Sind die derzeitigen Vorschriften für das heutige Zeitalter datengesteuerter Übernahmen und Technologieübernahmen geeignet?
Während einige bereits ein Verbot von Übernahmen durch bestimmte Unternehmen forderten, diskutieren andere über die im Wettbewerbsrecht festgelegten Schwellenwerte, um eine Überprüfung durch die zuständigen Behörden zu ermöglichen, aber auch über die Kriterien, die bei der Prüfung von Fusionen zugrunde gelegt werden.
Das Problem mit den Schwellenwerten besteht darin, dass sie vom monetären Umsatz abhängen, den viele Unternehmen und Start-ups nicht erreichen, entweder weil sie ihre Innovationen noch nicht monetarisiert haben oder weil ihr Wert sich nicht in ihrem Umsatz, sondern beispielsweise in ihrer Datenbasis widerspiegelt. Trotz niedriger Umsätze war Facebook bereit, 1 bzw. 19 Milliarden für Instagram und WhatsApp auszugeben. Diese datengesteuerten Zusammenschlüsse ermöglichten es, die Datensätze dieser Unternehmen zu aggregieren, was die (Markt-)Macht von Facebook erhöhte.
Die französische Wettbewerbsbehörde schlägt beispielsweise vor, eine Verpflichtung einzuführen, die EU und/oder die nationalen Wettbewerbsbehörden über alle Fusionen zu informieren, die in der EU durch die „Strukturierung“ von Unternehmen durchgeführt wurden. Diese „strukturierenden“ Unternehmen würden nach objektiven Kriterien klar definiert, und im Falle von Risiken würden die Behörden diese Akteure auffordern, die Fusionen zur Überprüfung anzumelden.
Obwohl die Übernahme von WhatsApp durch Facebook dank eines Schiedsrichters der nationalen Wettbewerbsbehörden von der Europäischen Kommission geprüft wurde, wurde der Vorgang dennoch genehmigt. Dies wirft ein weiteres Problem auf: den Platz des Datenschutzes und der Privatsphäre in der Fusionskontrolle. Die Wettbewerbsbehörden gehen davon aus, dass, da es einen Datenschutzrahmen gibt, die Datenschutzrechte respektiert werden und der Einzelne von seinen Rechten und Wahlmöglichkeiten Gebrauch macht. Diese Annahme berücksichtigt jedoch nicht die Realität des Machtungleichgewichts zwischen Nutzern und Big Tech. In diesem Zusammenhang schlagen einige Akademiker, wie z.B. Orla Lynskey, Lösungen vor , wie z.B. die verstärkte Zusammenarbeit zwischen Wettbewerbs-, Verbraucher- und Datenschutzbehörden, um die tatsächlichen Hindernisse für die Wahlmöglichkeiten der Verbraucher in datengesteuerten Märkten zu verstehen und zu untersuchen. Wenn sich herausstellt, dass die Verbraucher den Datenschutz als eine Dimension der Qualität schätzen, sollte die wettbewerbliche Beurteilung darüber hinaus reflektieren, ob ein bestimmter Vorgang diese Qualität verschlechtern würde.
Ein frischer Wind könnte bereits aus den USA wehen, da die Federal Trade Commission im Februar letzten Jahres „Special Orders“ an die fünf Big-Tech-Firmen herausgegeben hat, „die von ihnen verlangen, Informationen über frühere Übernahmen, die den Kartellbehörden nicht gemeldet wurden, zur Verfügung zu stellen“, einschließlich der Art und Weise, wie die übernommenen Daten behandelt wurden.
Google/Fitbit: die Suche nach unseren sensiblen Daten
Die Debatte ist kürzlich wieder aufgeflammt, als Googles vorgeschlagene Übernahme von Fitbit angekündigt wurde. Sofort wurde eine Reihe von Bedenken sowohl in Bezug auf den Wettbewerb als auch auf den Datenschutz geäußert (siehe z.B. die Europäische Verbraucherorganisation BEUC und die Bedenken der Electronic Frontier Foundation (EFF)). Aus grundrechtlicher Sicht besteht die größte Besorgnis darin, dass Google die Gesundheitsdaten von Fitbit erwerben würde. Wie Privacy International warnt, „könnte eine Kombination aus den potenziell umfangreichen und wachsenden Datenbanken von Google / Alphabet, den Nutzerprofilen und den dominierenden Tracking-Funktionen von Google / Alphabet mit den einzigartig sensiblen Gesundheitsdaten von Fitbit in Zukunft allgegenwärtige Auswirkungen auf die Privatsphäre, Würde und Gleichbehandlung von Einzelpersonen in ihrer Online- und Offline-Existenz haben“.
Solche Bedenken werden auch über die Zivilgesellschaft hinaus geteilt, da die Ankündigung den Europäischen Datenschutzrat veranlasste, eine Erklärung abzugeben, in der er davor warnte, dass „die mögliche weitere Kombination und Anhäufung sensibler persönlicher Daten über Menschen in Europa durch ein großes Technologieunternehmen ein hohes Risiko für die Grundrechte auf Privatsphäre und den Schutz persönlicher Daten mit sich bringen könnte“.
Es ist eine Tatsache, dass man Google mit unseren persönlichen Daten nicht trauen kann. Neben einer langen Geschichte von Wettbewerbs- und Datenschutzverletzungen versucht Google fragwürdigerweise auch, in den Gesundheitsmarkt einzutreten, und bricht bereits jetzt das Vertrauen der Patienten.
Abgesehen von den Bedenken wird diese Aktion für die Europäische Kommission die Gelegenheit sein, nach dem Facebook/WhatsApp-Debakel einen neuen Ansatz zu verfolgen. Google erwirbt Fitbit für seine Daten, und daher sollte die wettbewerbsrechtliche Beurteilung dies widerspiegeln. Darüber hinaus sollte die Kommission diesen Fall zum Anlass nehmen, sich mit den Verbraucher- und Datenschutzbehörden zu beraten.
Weitere Informationen:
Google will Fitbit übernehmen, und das sollten wir nicht zulassen! (13.11.19)
GOOGLE-FITBIT MERGER: Wettbewerbsbedenken und Schaden für die Verbraucher (PDF, 07.07.20)
Berücksichtigung des Datenschutzes in Fusionskontrollverfahren (PDF, 06.06.18)
Wettbewerbsrecht: Was ist gegen den Missbrauch von Big Tech zu tun? (01.04.2020)
Die Auswirkungen des Wettbewerbsrechts auf Ihre digitalen Rechte (19.02.2020)
Beitrag von Laureline Lemoine, leitende Politikberaterin der EDRi
Mehr als die Summe unserer Teile: eine Strategie für das EDRi-Netzwerk
Von Claire Fernandez
Es dauerte über ein Jahr. Von einer EDRi-Mitgliederbefragung Anfang 2019 bis zur Abstimmung durch die (Online-) Mitgliederversammlung Ende April 2020. In diesen Monaten hielten wir Workshops, Webinare, Aufrufe, mehrere Runden mit Kommentaren, Entwurfsiterationen und etwa 50 Konsultationen ab. Wir wollen nicht lügen, es war ein langwieriger, herausfordernder und ressourcenaufwändiger Prozess. Aber es hat sich gelohnt: Wir können jetzt mit Stolz und Begeisterung die Annahme der Strategie des EDRi-Netzwerks 2020-2024 ankündigen (Link zur Zusammenfassung).
Während des Prozesses haben wir viel über den Kontext gelernt, in dem EDRi operiert, und darüber, wie das Netzwerk in den europäischen Gesellschaften angesiedelt ist. Wir erfuhren auch, wie strategische Planungsprozesse größere Fragen über die Identität und den Zustand von Netzwerken und darüber, was Menschen zusammenbringt, aufdecken können.
Werte vs. Praktiken
Es gibt viele verschiedene Visionen über EDRi und darüber, was eine Strategie ist. Das EDRi-Netzwerk besteht aus einer Vielzahl von Konstellationen unterschiedlicher Stimmen. Es gibt keine „Einheitsgröße für alle“, die einige der komplexesten Themen abdeckt. Einige, wie Richard D. Bartlett, würden argumentieren, dass sich die Menschen lieber auf eine Gemeinschaft von Praktiken als auf gemeinsame „Werte“ verständigen würden. Im Fall von EDRi, welche Praktiken bringen uns zusammen? Die „EDRis“ teilen die Leidenschaft für die Arbeit in einer Gemeinschaft, die auf Fachwissen, Vertrauen und harter Arbeit basiert. Deshalb arbeiteten wir an einem Gleichgewicht und entwarfen eine Strategie, die einen übergreifenden gemeinsamen Sinn für Zweck und Richtung vermittelt und gleichzeitig genügend Raum für die Menschen lässt, ihre Arbeit fortzusetzen.
Die Strategie
Es fühlt sich gewagt und riskant an, unsere Vision und Annahmen zu Papier zu bringen und auf das zu reduzieren, worum es bei EDRi geht. Die Strategie beginnt damit, die Probleme, mit denen EDRi konfrontiert ist, hervorzuheben und einen Sinn für die Dringlichkeit von Maßnahmen zu zeigen. Während die Technologien Chancen bieten, stellt die nahezu vollständige Digitalisierung und permanente Aufzeichnung unseres Lebens ein erhebliches Risiko für unsere Autonomie und unsere Demokratien dar.
Ein wichtiger Teil der Strategie ist die Machtanalyse, die den Kontext beschreibt, in dem EDRi tätig ist. Unsere Welt ist geprägt von Machtasymmetrien zwischen staatlichen und privaten Akteuren auf der einen Seite und den Menschen auf der anderen Seite. Diese Machtungleichgewichte bedrohen die Demokratie und das Verhalten der Menschen. Es gibt viel zu tun, um die Machtstrukturen zu verändern, die Ungerechtigkeiten und Menschenrechtsverletzungen im digitalen Zeitalter zulassen. Und deshalb wird EDRi allein nicht erfolgreich sein. Wir leisten einen Beitrag auf der Grundlage unseres Auftrags, unserer Identität und unserer Stärken als Netzwerk für digitale Rechte. Wir werden uns für eine Welt einsetzen, in der die Menschen in Würde und Lebensqualität leben, und wir werden eine faire und offene digitale Umgebung schaffen, die es jedem Einzelnen ermöglicht, sich zu entfalten und sein Potenzial voll auszuschöpfen. Dies ist Teil vieler anderer Anliegen der sozialen Gerechtigkeit, da Mobilisierung und demokratischer Wandel in hohem Maße von Technologien abhängig sind.
Für EDRi bedeutet das, dass wir in den nächsten fünf Jahren daran arbeiten werden, die Entscheidungsträger dahingehend zu beeinflussen, dass sie überwachungsbasierte Praktiken regulieren und ändern.
Wie geht es weiter?
Nun, da unsere gemeinsame Vision und unser gemeinsamer Zweck für ein breites Publikum artikuliert sind, kann die Umsetzungsarbeit beginnen. In den kommenden Monaten konzentriert sich unsere Arbeit als Netzwerk auf menschenrechtsbasierte Reaktionen auf die Covid-19-Pandemie, auf eine sinnvolle Regulierung der Plattform und auf die Forderung nach einem Verbot invasiver und riskanter biometrischer Technologien.
Eine Strategie ist ein Rahmen, der Beginn eines Prozesses und kein Dokument. Wir werden daher unsere Annahmen testen, nachdenken, iterieren und Vertrauen aufbauen müssen, um digitale Rechte für alle voranzubringen. Die Mission von EDRi ist ehrgeizig. Um erfolgreich zu sein, brauchen wir ein gesundes Netzwerk, engagierte EDRi-Mitgliedsorganisationen und befähigte Menschen. Unser Vehikel für Veränderungen ist ein nachhaltiger und widerstandsfähiger Bereich, der Burn-Out und Toxizität bekämpft und sich sowohl auf persönliche Beziehungen als auch auf berufliche Prozesse stützt.
Die Pandemie ist ein absoluter Wendepunkt, der den Beginn einer anderen Ära markiert, sie kann uns verletzlich machen und Angst um uns selbst und unsere Lieben hinterlassen, aber sie erinnert uns auch daran, dass wir Teil einer größeren Gemeinschaft sind. Gibt es einen besseren Zeitpunkt als diese Krise für einen Neuanfang für EDRi und die Gesellschaften, in denen wir leben, um eine Welt der Würde im digitalen Zeitalter zu schaffen?
Weitere Informationen:
Zusammenfassung der Strategie (PDF)
EDRi fordert grundrechtsorientierte Antworten auf COVID-19 (20.03.20)
DSA: Plattformregulierung richtig gemacht (09.04.20)
Biometrische Massenüberwachung verbieten! (13.05.20)
Ungarn: „Meinungspolizei“ reguliert Facebook-Kommentare
Von Gastautor
Es gab eine Reihe kritischer Nachrichtenberichte aus der ganzen Welt, in denen es hieß, dass Ungarns Notstandsgesetz COVID-19 „einen kühlenden Effekt erzeugt“. Solche Schlagzeilen verfehlen ein wenig das Ziel, denn die abschreckende Wirkung ist alles andere als neu. Einzelpersonen, die sich mit öffentlichen und privaten Kritikbekundungen über Regierungsbehörden und deren Verbündete und Unterstützer hinweg setzen, verlieren seit über einem Jahrzehnt ihre Positionen; und die abschreckende Wirkung, die die aufeinander folgenden Regierungen auf das Verhalten der Bürger hatten, war schon lange vor dem derzeitigen Regime offensichtlich.
Was als Nachrichten bezeichnet werden kann, ist die anhaltende Aufmerksamkeit der Medien, die der abschreckende Effekt in Ungarn in den letzten zwei Wochen erhalten hat. Das ungarische Notstandsgesetz COVID-19 hat auf nationaler und globaler Ebene eine intensive Prüfung erfahren.
Auslöser für den Medienrummel war die Festnahme von zwei Personen durch die örtlichen Polizeibehörden aufgrund von auf Facebook geposteten Aussagen, die angeblich die Gefahr einer „Alarmierung der Bevölkerung“ oder „Beeinträchtigung des öffentlichen Schutzes“ während der Krise darstellten.
Rechtliche Vergeltungsmaßnahmen
Der erste Fall betraf eine Person in Ostungarn, die stundenlang inhaftiert war, weil sie „falsche Fakten auf einer Social-Media-Website veröffentlicht“ hatte. Der „alarmierende Inhalt“ bestand in der Missbilligung der Abriegelungspolitik mit zusätzlichen Bemerkungen, die vermutlich an den Ministerpräsidenten gerichtet waren („Sie sind ein gnadenloser Tyrann, aber bedenken Sie, dass Diktatoren unweigerlich fallen“). Der Mann erinnert sich an ein halbes Dutzend Gesetzeshüter, die am 12. Mai in seinem Haus eintrafen. Die Anklage wurde fallen gelassen, aber der YouTube-Kanal der ungarischen Strafverfolgungsbehörden veröffentlichte ein Video, das weithin gesehen wurde, wie der Mann aus seiner Wohnung entfernt und in ein Polizeifahrzeug gesetzt wurde.
Am folgenden Tag wurde die Wohnung eines Oppositionsparteimitglieds im Süden des Landes im Morgengrauen unter starker Polizeipräsenz durchsucht; seine Kommunikationsgeräte wurden beschlagnahmt, und der Mann wurde vier Stunden lang auf dem Polizeipräsidium festgehalten, weil er einen Beitrag eines Oppositionsabgeordneten in einer geschlossenen Facebook-Gruppe geteilt hatte; in dem Beitrag wurde eine umstrittene Entscheidung der Regierung kritisiert, Tausende von Krankenhausbetten im ganzen Land zu leeren, um sie für potenzielle Coronavirus-Patienten freizugeben. Er bemerkte, dass in der Stadt Gyula „ebenfalls 1.170 [Krankenhaus-]Betten freigegeben wurden“. Diese Tatsache wurde nicht bestritten. Der Facebook-Nutzer aus Gyula wurde nicht wegen einer Straftat angeklagt.
In einem Blog, der sich mit den stark verbreiteten Fällen befasst, behauptet die Ungarische Bürgerrechtsunion (HCLU), die bestehende Gesetzgebung hätte genutzt werden können, um das Problem der Veröffentlichung und Verbreitung falscher Informationen anzugehen. Die Schlagzeile des Blogs, „Die Meinungspolizei steht vor der Tür“, spielt auf den legendären Terror der sozialistischen Ära an, als mitten in der Nacht eine Türklingel ertönte.
Nutzer sozialer Medien warnten vor „ständiger Überwachung“
Eine Ankündigung, die von den Behörden in einem östlichen Bezirk Ungarns online veröffentlicht wurde, machte die Nutzer sozialer Medien offen darauf aufmerksam, dass die Polizei „das Internet ständig überwacht“, berichtet Politico. Laut der nationalen Website der Strafverfolgungsbehörden wurden im Zusammenhang mit der COVID-19-Maßnahme 87 Personen zur Zielscheibe von strafrechtlichen Ermittlungen. Von diesen Fällen haben nur 6 die Phase der Strafverfolgung erreicht.
Was ist im öffentlichen Interesse?
Als das ungarische Parlament Ende März einen Gesetzentwurf zur Einführung von Notstandsbefugnissen ohne Verfallsklausel verabschiedete, stieß dieser Schritt auf überraschend viel Aufmerksamkeit und Kritik. Besonders besorgniserregend war eine Änderung des Strafgesetzbuches, mit der Gefängnisstrafen von bis zu fünf Jahren für Personen eingeführt wurden, die wegen „Verfälschung der Wahrheit“ oder „Verbreitung von Unwahrheiten“ im Zusammenhang mit der Coronavirus-Pandemie verurteilt worden waren; wie in vielen Ländern weltweit war es das Ziel der Gesetzgebung, die Öffentlichkeit während der Pandemie zu schützen, aber anekdotische Berichte legen nahe, dass oft nicht die Öffentlichkeit, sondern die Behörden selbst von einem besonderen Schutz profitieren.
Die ungarische Tageszeitung Népszava berichtete, dass das Parlament am 19. Mai einen 160-seitigen Gesetzentwurf verabschiedet hat, der den nationalen Sicherheitsdiensten ein Mandat erteilt, das große Risiken für die Datensicherheit mit sich bringen könnte. Der NSS wird befugt sein, „den Inhalt elektronischer Kommunikationsnetze zu überwachen“, und zwar auf lokaler und föderaler Regierungsebene, um Cyberangriffe zu verhindern.
Auf der Newswebsite 444 wird vorgeschlagen, dass mit der Verabschiedung dieses Gesetzes ein staatliches Überwachungssystem eingerichtet wird. Tatsächlich wird der Geheimdienst Zugang zu allen öffentlichen Daten erhalten, einschließlich der Steuer-, Sozialversicherungs-, Gesundheits- und Strafregisterdaten.
Ein weiterer umstrittener Aspekt des Gesetzespakets ist, dass die Kontaktdaten von Personen, die im Rahmen einer strafrechtlichen Untersuchung verhört werden, von den Behörden bis zu zwanzig Jahre lang aufbewahrt werden könnten, selbst wenn der Verdächtige für unschuldig befunden wird.
Datenschutzexperten sagen, dass die Gesetzgebung keine ausreichenden Datenschutzgarantien bietet. Der Leiter der Nationalen Behörde für Datenschutz und Informationsfreiheit (NAIH), Attila Péterfalvi, hat sich in einem Schreiben an den Staatssekretär des Innenministeriums besorgt darüber geäußert, dass „eine unbegrenzte Überwachung (…) keinen besonderen Schutz personenbezogener Daten ermöglicht“.
Vom Ausnahmezustand zum Überwachungsstaat?
In einer Ende April vom Europäischen Parlament verabschiedeten Resolution wurde Ungarn wegen seiner COVID-19-Maßnahmen scharf kritisiert; Einschränkungen der Meinungsfreiheit im Rahmen eines unbefristeten Ausnahmezustands seien „völlig unvereinbar mit europäischen Werten“. Der Justizminister kündigte an, dass ein Gesetzentwurf zur Aufhebung der Notstandsbefugnisse voraussichtlich am 20. Juni verabschiedet werden soll. Während die Regierung bereits einen Sieg an der Öffentlichkeitsfront verkündet und „Entschuldigungen“ aus Brüssel fordert, ist der Inhalt des Gesetzentwurfs noch unbekannt. Beobachter vermuten, dass die Regierung den „Ausnahmezustand“ aufheben wird, während viele der Notstandsbefugnisse erhalten bleiben.
Weitere Informationen:
Die Auswirkungen der Maßnahmen von Covid-19 auf Demokratie, Rechtsstaatlichkeit und Grundrechte in der EU (PDF, 23.04.20)
Jourová: Kommission befasst sich mit Ungarns dringenden Änderungen des Arbeitsgesetzes und des BIPR (15.05.20)
Ungarns Regierung nutzt Pandemie-Notstandsbefugnisse, um Kritiker zum Schweigen zu bringen (18.05.20)
(auf Ungarisch) Mindent is megtudhatnak ezután a nemzetbiztonsági szolgálatok az emberekről (19.05.2020)
Offener Brief: Kommission hat klare rechtliche Gründe, Ungarn zum Schutz der Redefreiheit und der Privatsphäre zu verfolgen (15.05.2020)
Beitrag von Christiana Mauro, EDRi-Beobachterin
Deutsches Bundesverfassungsgericht stoppt Massenüberwachung im Ausland
Von Gesellschaft für Freiheitsrechte
Der Bundesnachrichtendienst (BND) konnte bisher ausländische Staatsangehörige im Ausland massenhaft und ursachenlos ausspionieren – auch sensible Gruppen wie Journalisten. Daraufhin reichte das EDRi-Mitglied Gesellschaft für Freiheitsrechte (GFF) zusammen mit fünf Medienorganisationen eine Verfassungsbeschwerde gegen das BND-Gesetz ein, das diese Überwachung ermöglichte. Am 19. Mai 2020 stellte das Bundesverfassungsgericht klar, dass der BND keine Massenüberwachung im Ausland durchführen darf und auch in Bezug auf ausländische Staatsangehörige und grenzüberschreitende Kommunikation an das Grundgesetz der Bundesrepublik Deutschland gebunden ist.
Deutsche Behörden – wie der BND – sind bei ihrer Tätigkeit vor Ort selbstverständlich an das Grundgesetz, die Verfassung der Bundesrepublik Deutschland, gebunden. Bei seinen Aktivitäten im Ausland kann der BND jedoch aufgrund einer Gesetzesänderung im Jahr 2017 mit scheinbar unbegrenzter Macht agieren; der BND kann die Telekommunikation von Ausländern im Ausland unbegrenzt und ohne besondere Einschränkungen überwachen. Innerhalb seiner eigenen Grenzen stellt eine solche Überwachung einen klaren Verstoß gegen Artikel 10 des Grundgesetzes dar, der die Kommunikationsfreiheit schützt. Das BND-Gesetz von 2017 ging jedoch davon aus, dass der Geheimdienst, wenn er außerhalb des deutschen Hoheitsgebiets tätig wird, nicht an das Grundgesetz gebunden ist.
Damit schuf das BND-Gesetz erhebliche Risiken für ausländische Journalisten, die bei der Kommunikation mit ihren Quellen auf Vertrauen und Vertraulichkeit angewiesen sind. Als Reaktion auf die erheblichen Gefährdungen verfassungsrechtlicher Rechte durch das BND-Gesetz reichten mehrere Journalisten – unterstützt durch den GFF und Partnerorganisationen – eine Beschwerde beim Bundesverfassungsgericht ein. Diese Beschwerde führte zu einer richtungsweisenden Entscheidung zum Schutz der Grundrechte und der Pressefreiheit.
Neue Maßstäbe für die Arbeit des BND
Das Urteil des Bundesverfassungsgerichts ist von grundlegender Bedeutung: Es stellt endgültig fest, dass die deutschen Behörden verpflichtet sind, die im Grundgesetz enthaltenen Grundrechte im Ausland zu schützen.
„Diese Aussage war längst überfällig und ist ein großer Erfolg, der weit über diesen konkreten Fall hinausgeht“, sagt Ulf Buermeyer, Vorsitzender des GFF. „Dass deutsche Behörden auch im Ausland an das Grundgesetz gebunden sind, stärkt die Menschenrechte weltweit erheblich – und damit auch die Glaubwürdigkeit Deutschlands in der Welt“.
Nach der Auslegung des Grundgesetzes durch das Bundesverfassungsgericht ist die grundlose Überwachung des Nachrichtenverkehrs im Ausland nur unter sehr eingeschränkten Voraussetzungen zulässig. Zudem müssen schutzbedürftige Personengruppen wie Journalisten besonders geschützt werden. Die gezielte Überwachung von Einzelpersonen muss strengeren Beschränkungen unterworfen werden. Das Gericht wies auch darauf hin, dass die Überwachungspraktiken des BND von finanziell unabhängigen Beratern überwacht werden sollten.
Diese Entscheidung setzt ein internationales Signal
Zum ersten Mal seit über 20 Jahren hat das Bundesverfassungsgericht eine Entscheidung zur BND-Überwachung erlassen. Das Urteil des Gerichts ist ein wegweisendes Urteil von internationaler Bedeutung. Die Enthüllungen von Edward Snowden durch die NSA im Jahr 2013 zeigten ein globales System der Massenüberwachung auf, an dem Deutschland – insbesondere der BND – beteiligt war. Jetzt, mehr als sieben Jahre nach den Enthüllungen über die NSA, hat das höchste deutsche Gericht entschieden, dass auch die internationale Überwachung im Einklang mit dem deutschen Grundgesetz stehen muss. Dieses Urteil ist ein internationales Signal und könnte die Überwachungstätigkeit der Nachrichtendienste anderer Länder beeinflussen.
Weitere Informationen:
Wir haben eine Klage gegen das BND-Gesetz eingereicht – No Trust No News
BND-Gesetz (06.11.16)
Beitrag der Gesellschaft für Freiheitsrechte, EDRi-Mitglied aus Deutschland
Frankreich: Erster Sieg gegen Polizeidrohnen
Von La Quadrature du Net
Seit Beginn der COVID-19-Krise setzt die französische Polizei Drohnen ein, um die Menschen zu beobachten und sicherzustellen, dass sie den Lockdown einhalten. Drohnen waren zuvor von der Polizei zur Überwachung von Protesten eingesetzt worden, doch die COVID-19-Krise stellte eine Veränderung des Ausmaßes dar: In ganz Frankreich wurden Hunderte von Drohnen eingesetzt, um einen Audiobeitrag über Hygieneanweisungen auszustrahlen, aber auch, um Bilder von Menschen auf der Straße zu überwachen und zu erfassen, die sich möglicherweise nicht an die Regeln der Abriegelung halten.
Am 4. Mai haben der EDRi-Beobachter La Quadrature Du Net (LQDN) und ihr Verbündeter La Ligue des Droits de l’Homme einige von der Zeitung Mediapart veröffentlichte Informationen genutzt, um eine Klage gegen die Pariser Polizei einzureichen und sie zu zwingen, den Einsatz von Drohnen für Überwachungsaktivitäten einzustellen. Sie begründeten ihre Klage insbesondere damit, dass es keinen rechtlichen Rahmen für die Verwendung der von diesen Drohnen aufgenommenen Bilder gebe.
Am 18. Mai 2020 fällte der Conseil d’État, das höchste französische Verwaltungsgericht, seine Entscheidung in diesem Fall. Darin wird jede Drohne, die mit einer Kamera ausgestattet ist und tief genug fliegt, als illegal eingestuft, da eine solche Drohne es der Polizei ermöglichen würde, Personen anhand ihrer Kleidung oder eines charakteristischen Zeichens zu erkennen. Diese Entscheidung ist ein großer Sieg gegen die Drohnenüberwachung.
Nach Ansicht des Conseil d’État könnte nur ein von der CNIL (Nationale Kommission für Informatik und Freiheit) überprüfter Ministerialerlass der Polizei den Einsatz solcher Drohnen erlauben. Solange ein solcher Erlass nicht erlassen wurde, wird die französische Polizei ihre Drohnen nicht mehr einsetzen können. In der Tat geht es bei der Entscheidung um die Gesundheitskrise COVID-19, ein viel wichtigerer Zweck als der, den die Polizei üblicherweise mit dem Einsatz von Drohnen verfolgt.
Diese Aktion war Teil der Technopolice-Kampagne, die von La Quadrature Du Net entwickelt wurde. Andere Geräte werden nach wie vor ohne rechtlichen Rahmen eingesetzt: automatisierte Videoüberwachung, Geräuschsensoren, vorausschauende Prävention… Mit Technopolice zielt das LQDN darauf ab, den Einsatz neuer Polizeitechnologien ohne die notwendigen rechtlichen Schutzmaßnahmen kollektiv hervorzuheben und zu bekämpfen. Diese Entscheidung beweist, dass sie auf dem richtigen Weg sind.
Weitere Informationen:
Öffentlicher Brief von La Quadrature Du Net und La Ligue des Droits de l’Homme (PDF, 18.05.20)
Französische Covid-19-Drohnen nach Datenschutzbeschwerde am Boden (18.05.2020)
Warum COVID-19 eine Krise für digitale Rechte ist (29.04.20)
Strategischer Rechtsstreit gegen Bürgerrechtsverletzungen im Polizeirecht (24.04.19)
Datenspeicherung: „Nationale Sicherheit“ ist kein Blankoscheck (29.01.20)
Beitrag von Martin Drago, La Quadrature Du Net
Offener Brief: EDRi drängt auf Durchsetzung und Maßnahmen zum 2-jährigen Jubiläum des GDPR
Von EDRi
Am 25. Mai 2020, anlässlich des zweijährigen Jubiläums der Allgemeinen Datenschutzverordnung (GDPR), sandte EDRi einen Brief an Exekutiv-Vizepräsident Jourová und Kommissar Reynders, um auf die große Durchsetzungslücke der GDPR hinzuweisen und auf Maßnahmen zur Beseitigung dieser Lücke zu drängen.
EDRi und seine Mitglieder begrüßten weitgehend die verstärkten Schutzmaßnahmen und Rechte, die in der GDPR verankert sind. Zwei Jahre später fordern wir dringenden Maßnahmen von der EU-Kommission, des Europäischen Datenschutzrates (European Data Protection Board, EDPB) und der nationalen Datenschutzbehörden (DPA), um eine strenge Durchsetzung und Umsetzung der GDPR zu gewährleisten und diese Rechte Wirklichkeit werden zu lassen.
EDRi ist besonders besorgt über die Art und Weise, wie viele Mitgliedstaaten die GDPR umgesetzt haben, und über den Missbrauch der GDPR durch einige Datenschutzbehörden. Abschließend fordern wir die Europäische Kommission zwar dringend auf, die GDPR nicht wieder zu öffnen, betonen aber die Notwendigkeit ergänzender und unterstützender Rechtsvorschriften, z.B. durch den bevorstehenden Digital Service Act (DSA) und durch eine starke und klare ePrivacy-Verordnung.
Sie können den Brief hier (PDF) und nachfolgend lesen:
Sehr geehrte Exekutiv-Vizepräsidentin Jourová,
Sehr geehrter Herr Kommissar Reynders,
European Digital Rights (EDRi) ist eine Dachorganisation von 44 NGO-Mitgliedern mit Vertretungen in 19 Ländern, die die Grundrechte im digitalen Umfeld fördert und verteidigt.
Anlässlich des zweiten Jahrestages des Inkrafttretens der GDPR möchten wir die große Lücke bei der Durchsetzung der Rechte hervorheben und zu Maßnahmen drängen. Die GDPR wurde entwickelt, um Informations- und Machtasymmetrien zwischen Einzelpersonen und Unternehmen, die ihre Daten verarbeiten, anzugehen und die Menschen in die Lage zu versetzen, diese zu kontrollieren. Zwei Jahre nach seiner Einführung ist dies leider immer noch nicht der Fall. Wirksamkeit und Durchsetzung sind zwei Säulen der EU-Datenschutzgesetzgebung, bei denen den nationalen Datenschutzbehörden (DSB) eine entscheidende Rolle zukommt.
„Business as usual“ sollte dringend beendet werden
In unserer Erfahrung als EDRi-Netzwerk haben wir zahlreiche Verstöße gegen die eigentlichen Grundsätze des GDPR beobachtet, aber die Kontrolleure werden nicht ausreichend zur Rechenschaft gezogen. Zu den auffälligsten Verstößen gehören:
- Missbrauch der Zustimmung
Die Zustimmung zur Verarbeitung von Daten zu Marketingzwecken wird notorisch durch trügerisches Design („dunkle Muster“)1 eingeholt, zu Nutzungsbedingungen gebündelt oder Personen unter wirtschaftlichem Druck aufgezwungen und dazu verwendet, unnötige und invasive Formen der Datenverarbeitung, einschließlich der Profilerstellung auf der Grundlage ihrer sensiblen Daten, zu „legitimieren“. Zwei Jahre nach Inkrafttreten des GDPR führen Internet-Plattformen und andere Unternehmen, die auf die Monetarisierung von Informationen über Personen angewiesen sind, immer noch „business as usual“, und die Schwächen und Verletzungsmöglichkeiten der Nutzer werden weiterhin ausgenutzt. In dieser Hinsicht stellten unsere Mitglieder auch fest, dass das Minimierungsprinzip in den Mitgliedstaaten oft nicht vollständig durchgesetzt wird, was zu Missbräuchen bei der Erhebung personenbezogener Daten sowohl durch private als auch durch öffentliche Einrichtungen führt.2
- Fehlender Zugang zu Verhaltensprofilen
Während Internet-Plattformen immer mehr Nutzen aus der Monetarisierung von Wissen über das Verhalten von Menschen ziehen, ignorieren sie notorisch die Tatsache, dass Beobachtungen und Rückschlüsse über die Nutzer ebenfalls personenbezogene Daten sind und allen Schutzbestimmungen der GDPR unterliegen. Dennoch haben Einzelpersonen immer noch keinen Zugang zu ihren vollständigen Verhaltensprofilen oder wirksame Mittel zu deren Kontrolle. Verstöße verschärfen nicht nur die Undurchsichtigkeit, die das Online-Daten-Ökosystem umgibt, sondern stellen auch ein großes Hindernis für die wirksame Ausübung der Rechte der betroffenen Personen dar, wodurch der durch die Verordnung gewährte Schutz und das Vertrauen der Bürger in die EU zum Schutz ihrer Grundrechte effektiv untergraben wird.
Bitte lesen Sie die folgenden Artikel, um dieses Problem näher zu erläutern:
„Das Ökosystem der verborgenen Daten aufdecken“ von Privacy International;
„Ihre digitale Identität hat drei Schichten, und Sie können nur eine davon schützen“ von der Stiftung Panoptykon.
Dringende Maßnahmen der Datenschutzbehörden sind erforderlich, um den Schutz der GDPR zu verwirklichen.
Viele nationale Datenschutzbehörden verfügen nicht über die finanziellen und technischen Kapazitäten, um Fälle gegen große Online-Unternehmen wirksam anzugehen. Sie sollten daher angemessen mit Ressourcen, Personal, technischem Wissen und IT-Spezialisten ausgestattet sein, und sie müssen diese nutzen, um Maßnahmen zu ergreifen. In diesem Zusammenhang fordern wir die Europäische Kommission dringend auf, Vertragsverletzungsverfahren gegen Mitgliedstaaten einzuleiten, die den Datenschutzbehörden nicht genügend Ressourcen zur Verfügung stellen.
Darüber hinaus veranschaulicht unsere Erfahrung als Netzwerk durch GDPR- und AdTech-Beschwerden3 die dringende Notwendigkeit der Durchsetzung sowie Probleme mit mangelnder Koordination, einem langsamen Tempo und manchmal einem ausweichenden Vorgehen nationaler Datenschutzbehörden.
Bitte sehen Sie sich die folgenden Materialien zur weiteren Ausarbeitung dieses Problems an: Antwort auf den Fahrplan des Berichts der Europäischen Kommission zum GDPR (PDF) von Open Rights Group, Panoptykon Foundation und Liberties EU und „Zwei Jahre unter der GDPR“ von Access Now.
Die Rolle der EU-Kommission und des European Data Protection Board (EDPB) bei der Anwendung der Kooperations- und Konsistenzmechanismen ist entscheidend. Das EDPB ist ein wichtiges Forum für die Datenschutzbehörden zum Austausch relevanter Informationen über die Durchsetzung der GDPR. Auch wenn wir verstehen, dass nicht jeder Aspekt des One-Stop-Shop-Mechanismus auf der Ebene des EDPB abgewickelt wird, ist die Zusammenarbeit zwischen den Datenschutzbehörden von wesentlicher Bedeutung, um die Verfahren abzuschließen und Beschwerden angemessen und zügig zu bearbeiten, sowie dem Einzelnen einen wirksamen Rechtsbehelf, insbesondere in grenzüberschreitenden Fällen, zu bieten.
Darüber hinaus sollte dem Beschwerdeführer volle Transparenz gewährt werden, einschließlich Informationen über die von den Datenschutzbehörden durchgeführten Untersuchungen, Kopien der Berichte und die Möglichkeit, sich gegebenenfalls an dem Verfahren zu beteiligen.
Bei Bedarf fordern wir die Datenschutzbehörden dringend auf, eine Berufung auf Artikel 66 der GDPR in Erwägung zu ziehen und das Dringlichkeitsverfahren einzuleiten, um vorübergehende Maßnahmen zu ergreifen oder andere Behörden zum Handeln zu zwingen, wenn dies dringend erforderlich ist. Wir bedauern, dass eine solche Möglichkeit noch nicht geprüft worden ist.
Ausnahmeregelungen durch Mitgliedstaaten und Datenschutzbehörden
EDRi ist zutiefst besorgt über die Art und Weise, wie die meisten Mitgliedstaaten die Ausnahmeregelungen umgesetzt haben, die den GDPR-Schutz untergraben und über den Missbrauch der GDPR durch einige Datenschutzbehörden.
Weitere Einzelheiten entnehmen Sie bitte dem Bericht von Access Now aus dem Jahr 2019 „Ein Jahr unter dem GDPR„.
Unsere Bedenken beziehen sich auf die Einführung weitreichender und übergreifender Ausnahmeregelungen nach Artikel 23, die den Schutz der GDPR für riesige Verarbeitungsmengen mit Folgen für die Rechte der Menschen unterlaufen.4 Darüber hinaus haben die Mitgliedstaaten die Auslegung der in Artikel 6 festgelegten Bedingungen ausgedehnt und weitreichende Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 eingeführt, die ausgenutzt werden können, darunter beispielsweise Schlupflöcher, die von politischen Parteien missbraucht werden können.5
Die Mehrheit der Mitgliedstaaten beschloss auch, die Bestimmung in Artikel 80 Absatz 2 der GDPR, die kollektive Beschwerden zulässt, nicht umzusetzen. Viele der Verstöße, die wir sehen, sind systemisch, von großem Ausmaß und komplex, doch ohne Artikel 80 Absatz 2 gibt es keinen wirksamen Rechtsbehelf, da nur Einzelpersonen Beschwerden einreichen können, nicht aber unabhängige Verbände.
Darüber hinaus gibt es in einigen Ländern ernsthafte Bedenken hinsichtlich der politischen Unabhängigkeit der Datenschutzbehörden. In der Slowakei6, Ungarn7 und Rumänien8 missbrauchen die Datenschutzbehörden das Gesetz, um Journalisten und/oder NGOs zu verfolgen. In Polen hat die Datenschutzbehörde Auslegungen der GDPR vorgelegt, die die Agenda der Regierung unterstützen9. Eine solche Interpretation ist nicht nur falsch, sondern birgt auch die Gefahr, politisch zu sein und die GDPR zu untergraben, da sie den falschen Eindruck erweckt, das Gesetz verletze die Meinungs- und Medienfreiheit. Unterschiede in Bezug auf die (mangelnde) Umsetzung von Artikel 85 bestehen ebenfalls10.
Bedarf an ergänzenden und unterstützenden Gesetzen
Die GDPR arbeitet nicht und kann nicht in einem Silo arbeiten. Genauso wie das Recht auf Datenschutz mit anderen Rechten interagiert, ist es unerlässlich, dass andere Rechtsrahmen den Schutz der GDPR verstärken. Wir fordern die Kommission dringend auf, die GDPR nicht wieder zu öffnen, betonen aber die Notwendigkeit ergänzender und unterstützender Rechtsvorschriften11.
Die Verwendung von Algorithmen oder KI in Entscheidungen, die Einzelpersonen betreffen, die nicht vollständig automatisiert sind oder nicht auf personenbezogenen Daten beruhen, fallen nicht unter Artikel 22 GDPR, obwohl sie potenziell schädlich sind. Um diese Unzulänglichkeit zu beheben, betonen einige unserer Mitglieder die Notwendigkeit einer ergänzenden und umfassenden Gesetzgebung für solche Entscheidungen.
Darüber hinaus bietet der bevorstehende Digital Services Act (DSA) der Europäischen Union die Gelegenheit, die notwendigen Änderungen vorzunehmen, um einige der schlimmsten Folgen der werbegetriebenen und in die Privatsphäre eindringenden Wirtschaft zu beheben, einschließlich der mangelnden Transparenz der Marketingprofile der Nutzer und der mangelnden Kontrolle der Nutzer über ihre Daten im Zusammenhang mit der Erstellung von Profilen und gezielter Werbung.
Schließlich erklärten EDRi und unsere Mitglieder wiederholt12 , dass wir der Meinung sind, dass eine starke und klare ePrivacy-Verordnung dringend erforderlich ist, um Europas globale Führungsrolle bei der Schaffung einer sicheren digitalen Umgebung weiter voranzutreiben, die den Bürgern, ihren Grundrechten und unseren gesellschaftlichen Werten einen starken Schutz bietet.
Im Mai 2018 haben EDRi und unsere Mitglieder, die in GDPR verankerten, verstärkten Schutzmaßnahmen und Rechte umfassend und herzlich begrüßt. Jetzt und zwei Jahre später fordern wir die EU-Kommission, den EDPB und die Datenschutzbehörden auf, die Durchsetzung und Umsetzung der GDPR voranzutreiben, um diese Rechte Wirklichkeit werden zu lassen.
Fußnoten
1 Beispiele für diese Praxis finden Sie im Bericht „Deceived by design“ des Norwegischen Verbraucherrats.
2 Siehe z.B. den Bericht von Xnet über den Schutz der Privatsphäre und den Datenschutz gegen institutionalisierten Missbrauch in Spanien.
3 Siehe die Beschwerden unserer Mitglieder: https://privacyinternational.org/legal-action/challenge-hidden-data-ecosystem; https://noyb.eu/en/projects; https://en.panoptykon.org/complaints-google-iab; https://www.openrightsgroup.org/campaigns/adtech-data-protection-complaint
4 Ein zutiefst beunruhigendes Beispiel ist die im britischen Datenschutzgesetz 2018 eingeführte Einwanderungsbefreiung. Siehe auch die Beschwerde des Homo Digitalis gegen das griechische Gesetz 4624/2019: https://www.homodigitalis.gr/en/posts/4603
5 Siehe zum Beispiel https://edri.org/apti-submits-complaint-on-romanian-gdpr-implementation/
6 Siehe https://www.europarl.europa.eu/doceo/document/E-9-2020-001520_EN.html
7 Siehe https://ipi.media/court-orders-recall-of-forbes-hungary-following-gdpr-complaint/
8 Siehe https://www.gdprtoday.org/gdpr-misuse-in-romania-independence-of-dpa-and-transparency-keywords-or-buzzwords/
9 Siehe https://edpb.europa.eu/news/news/2020/edpb-adopts-letter-polish-presidential-elections-data-disclosure-discusses-recent_sv
10 Siehe zum Beispiel https://xnet-x.net/en/complaints-ec-data-protection-spanish-legislation/
11 Siehe Teil III des Berichts „Wer (wirklich) zielt auf Sie ab? Facebook im polnischen Wahlkampf“ der Stiftung Panoptykon (https://panoptykon.org/political-ads-report) für spezifische Empfehlungen zu Änderungen, die in das Gesetz über digitale Dienste aufgenommen werden sollten
12 Siehe https://edri.org/open-letter-to-eu-member-states-deliver-eprivacy-now/
Deutsche Übersetzung der englischsprachigen Originalbeiträge von EDRi von Lutz Martiny
0 Kommentare zu “EDRi-gram 18.10, 27. Mai 2020”