netzpolitik.org

Inhalt abgleichen netzpolitik.org
Plattform für digitale Freiheitsrechte
Aktualisiert: vor 19 Minuten 21 Sekunden

Was vom Tage übrig blieb: Steuern, Scharlatane und Shutdown

8 Juli, 2020 - 18:34

Seattle will, indeed, ‘Tax Amazon’ as $200M+ JumpStart tax on big businesses approved (Capitol Hill Seattle Blog)
In Seattle haben Aktivist:innen der „Tax Amazon“-Bewegung es trotz Pandemie, Lockdown und vor allem unermüdlicher Lobby-Bemühungen des milliardenschweren Konzerns geschafft durchzusetzen, dass Amazon dort mehr Steuern zahlen muss. Stadträtin Kshama Sawant bezeichnet das als einen „historischen Sieg für die Arbeiter:innen“. Mit den Einnahmen will die Stadt die finanziellen Löcher stopfen, die durch die Corona-Krise entstanden sind.

Right-Wing Media Outlets Duped by a Middle East Propaganda Campaign (Daily Beast)
Konservative Nachrichtenseiten in den USA haben „Expert:innen“ aus dem Nahen Osten zitiert, die es gar nicht gibt. Damit sind sie reihenweise auf Fake-Profile hereingefallen: Mindestens 19 falsche Expert:innen sollen im vergangenen Jahr mehr als 90 Meinungsstücke in 46 Publikationen untergebracht haben. Ihre Biografien waren frei erfunden, Porträts gestohlen oder mit künstlicher Intelligenz generiert.

Myanmar: Indiscriminate airstrikes kill civilians as Rakhine conflict worsens (Amnesty International)
Amnesty International berichtet von neuen Beweisen, dass in Myanmar Zivilist:innen und Kinder durch wahllose militärische Luftangriffe getötet wurden. Doch nicht nur der bewaffnete Konflikt verschärft sich – die Menschen dort bekommen auch praktisch keine Informationen zum Covid-19-Virus, weil die Behörden vor einem Jahr das Internet abgeschaltet haben. Amnesty International schreibt, dass sich nur etwa fünf Prozent der Menschen der Gefahr durch das Virus bewusst sind.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Pandemie: Projekt beobachtet weltweit Grundrechtseinschränkungen wegen Corona-Krise

8 Juli, 2020 - 16:02

Welches Land hat welche Maßnahmen gegen Corona ergriffen? Wie wirken sich diese auf das Versammlungsrecht aus? Seit wann gilt der Notstand dort und was passiert mit demokratischen Prozessen während der Corona-Krise? All diese Fragen beantwortet ein Grundrechte-Monitor in Form einer interaktiven Karte, in der die Corona-Maßnahmen von 162 Ländern im Hinblick auf Grundrechtseingriffe und Demokratiegefährdung untersucht werden. Sie wurde am Dienstag veröffentlicht.

Unterteilt werden die Maßnahmen in „beunruhigende Entwicklungen“ und „zu beobachtende Entwicklungen“. Zu den beunruhigenden Entwicklungen werden alle COVID-19-bezogenen Maßnahmen gezählt, welche „die Menschenrechte oder demokratische Maßstäbe verletzen, weil sie entweder unverhältnismäßig, unnötig, illegal oder unbefristet“ sind. Zu beobachten seien all jene Maßnahmen, die zu einer Verletzung der Menschenrechte führen könnten, insbesondere wenn sie über die Krise hinaus beibehalten würden.

Beindruckende Informationstiefe

Beeindruckend ist die Tiefe der Informationen in den einzelnen Themengebieten, die von sozialen Auswirkungen über Zugang zu Gerichten bis hin zur Frage reicht, ob das Land eine App gegen Corona eingeführt hat.

Veröffentlicht wird die Karte vom Institut IDEA, einer zwischenstaatlichen Organisation demokratischer Staaten mit Sitz in Schweden, der etwa 30 Länder auf der ganzen Welt angehören. Finanziert wurde das Projekt von der Europäischen Union, die Methodik (PDF) lässt sich hier nachlesen. Der Beobachtungszeitraum beginnt im Februar dieses Jahres.

Nach Aussage von IDEA soll die Karte ein benutzerfreundliches Instrument für politische Entscheidungsträger:innen, zivilgesellschaftliche Organisationen, Journalist:innen und die breite Öffentlichkeit sein, mit dem alle demokratie- und menschenrechtsbezogenen Informationen über COVID-19-Maßnahmen nach Ländern, Regionen und weltweit an einem Ort leicht zugänglich seien.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Zehnjähriges Projekt: Interpol erneuert seine Informationssysteme

8 Juli, 2020 - 11:32

In einem „Policing Capability Enhancement Programme“ (I-CORE) will Interpol seine Informationstechnologie komplett erneuern und vorhandene Daten besser vernetzen. Insgesamt soll der Einsatz biometrischer Daten und „Big Data“-Anwendungen ausgeweitet werden. Zugleich entsteht eine einheitliche Informationsarchitektur, mit der sich zunehmend verknüpfte Datenbanken einfach abfragen lassen sollen.

„I-CORE“ soll bis 2030 in mehreren Etappen realisiert werden und umgerechnet rund 80 Millionen Euro kosten. Jetzt sucht die internationale Polizeiorganisation mit Sitz in Lyon Sponsoren für einzelne Vorhaben. Interpol verfügt über einen sehr knappen Haushalt, der von den Mitgliedern bestritten wird und für Modernisierungen wie „I-CORE“ keinen Platz bietet. Das Programm wurde von den 194 Mitgliedstaaten auf der Interpol-Generalversammlung im Oktober 2019 in Santiago de Chile einstimmig beschlossen.

Biometrische Daten für Polizei „an vorderster Front“

Für den Umbau der bestehenden Datenbanken und die Anschaffung digitaler Technologien gibt Interpol sieben Ziele aus: An oberster Stelle stehen die Bekämpfung des Terrorismus und der irregulären Migration, es folgen die allgemeine Kriminalität und Sicherheit im Cyberspace, die Bekämpfung von Korruption und Menschenhandel sowie Umweltkriminalität. Insgesamt will Interpol 12 neue Projekte realisieren, eine erste Phase soll bis 2022 drei Bereiche abdecken.

Zu den Prioritäten von „I-CORE“ gehört die verbesserte Nutzung biometrischer Daten für polizeiliche und grenzpolizeiliche Zwecke. Interpol führt eine Datenbank mit Fingerabdrücken gesuchter StraftäterInnen, inzwischen können dort auch Gesichter gespeichert und durchsucht werden. Die Informationen sollen nun auch PolizistInnen „an vorderster Front“ zugänglich gemacht werden. Gemeint sind Abfragen bei Personenkontrollen, wozu die BeamtInnen mit mobilen Systemen zur Abnahme von Fingerabdrücken und Gesichtsbildern ausgerüstet sein müssen.

Einheitliche Informationsarchitektur

Nach eigenen Angaben betreibt Interpol 18 Datenbanken, darunter zu Fahndungen mit Haftbefehl, aber auch zu Straftaten im Bereich der Umwelt-, Cyber- oder organisierten Kriminalität. Dort sollen 100 Millionen Datensätze gespeichert sein, Polizeien und andere Behörden führen darin weltweit 4,6 Milliarden Abfragen pro Jahr (oder 146 Abfragen pro Sekunde) durch.

Diese Systeme sind Interpol zufolge nicht untereinander vernetzt. In vielen Mitgliedstaaten werden außerdem unterschiedliche Datenformate genutzt, was eine zentrale Speicherung in Lyon erschwert. Bis 2022 will Interpol deshalb mit „I-CORE“ eine einheitliche Informationsarchitektur einführen. Dann soll es möglich sein, alle Datenbanken mit einer einzigen Suchfunktion abzufragen.

Rasterfahndung in Massendaten

Interpol will die Informationen in den verschiedenen Datenbanken außerdem mit neuer Technik erschließen. Anwendungen zur Verarbeitung von Massendaten („Big Data“) sollen neue Zusammenhänge finden und damit Ermittlungsansätze liefern. Diese intelligente Analyse vorhandener Datensätze ist in westlichen Ländern längst Standard. Oft erlaubt es aber der Datenschutz nicht, verschiedene Informationssysteme miteinander abzugleichen, hierfür müssten zunächst Gesetze geändert werden. Juristisch ist Interpol keine staatliche Organisation, sondern ein in Frankreich eingetragener Verein. Es ist unklar, ob dies die polizeiliche Rasterfahndung in den Interpol-Datenbanken erleichtert oder erschwert.

Obwohl es um digitale Modernisierung geht, klingt die Projektbeschreibung von „I-CORE“ an vielen Stellen verstaubt. Interpol schreibt, die Polizei in aller Welt sehe sich mit einem „Daten-Tsunami“ konfrontiert, der in eine „wertvolle Quelle verwertbarer Informationen“ verwandelt werden soll. Diese Formulierung hatten vor zwölf Jahren die EU-InnenministerInnen in einer „Zukunftsgruppe“ benutzt, die nach der deutschen Ratspräsidentschaft 2007 den Startschuss zur Erneuerung der polizeilichen EU-Informationssysteme und digitalen Ermittlungsmethoden gegeben hatten.

Früher gut vernetzter BKA-Vize

Die digitale Spätzündung bei Interpol geht vielleicht auf den seit 2014 amtierenden Interpol-Generalsekretär Jürgen Stock zurück. Seinerzeit war Stock Vizepräsident des Bundeskriminalamtes (BKA) und dort für die informationstechnische Modernisierung zuständig. Zu den Vorhaben in seiner Amtszeit gehörten die europaweite Vernetzung biometrischer Datenbanken oder Tests mit Gesichtserkennung. Auf EU-Ebene hatte Stock in den Nullerjahren maßgeblichen Einfluss auf die Sicherheitsforschung und verfügte über gute Kontakte zu europäischen Rüstungskonzernen. Als BKA-Vize war er damals auch gern gesehener Gast bei Polizeimessen und -konferenzen.

Auch heute gibt das BKA in der Europäischen Union bei vielen IT-Projekten den Ton an. Die Wiesbadener Behörde hat für die Einführung einheitlicher Datenformate gesorgt und ist im EU-Projekt „Interoperabilität“ mit dem umfassenden Ausbau des Informationsaustauschs befasst. Zu den Pilotprojekten gehört auch die Einführung eines EU-weiten Registers für Akten aus polizeilichen Ermittlungen. Die BKA-Datei mit Lichtbildern wächst jedes Jahr beträchtlich, noch in diesem Jahr will die Behörde ein neues Gesichtserkennungssystem beschaffen.

Schützenhilfe aus Deutschland

Gut möglich also, dass das BKA seinem ehemaligen Vize und jetzigem Interpol-Generalsekretär Schützenhilfe im Projekt „I-CORE“ leistet. Viele der Maßnahmen lassen auch Ähnlichkeiten zum EU-Projekt „Interoperabilität“ erkennen, etwa die einheitliche Suchmaschine für verschiedene Datenbanken oder ein „Datensilo“ für biometrische Informationen.

So nimmt es nicht wunder, dass sich das Bundesinnenministerium auch an der Finanzierung von „I-CORE“ beteiligt. Die neue Ausstattung im Bereich der Informationstechnologie wird in der ersten Phase mit fünf Millionen Euro unterstützt, immerhin rund ein Drittel aller entstehenden Kosten. Unterzeichnet wurde die Finanzierungsvereinbarung von Jürgen Stock und seinem Nachfolger, dem jetzigen BKA-Vizepräsident Michael Kretschmer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Polizei-Daten aus den USA: BlueLeaks-Server bei Zwickau beschlagnahmt (Update)

7 Juli, 2020 - 22:13

Dieser Artikel enthält mehrere Updates, die unten angefügt sind.

Die Polizei Zwickau hat einen Server beschlagnahmt, auf dem unter dem Namen BlueLeaks bekanntgewordene Daten von US-Polizeien zum Download bereitlagen. Das verkündete die dem Leaking-Kollektiv Distributed Denial of Secrets (DDoS) zugeordnete Person mit dem Namen Emma Best via Twitter. Es handele sich bei dem Server um den „primären öffentlichen Download-Server“, durch die Beschlagnahme seien keine Quellen in Gefahr.

In einem weiteren Tweet ist ein Ausschnitt aus einer E-Mail des Providers beigefügt, in dem dieser das Aktenzeichen angibt und schreibt, er hätte die Betroffenen erst jetzt informieren dürfen. Es sei ihm nicht erlaubt, mehr zu dem Fall zu sagen. Bei diesem Provider handelt es sich offenbar um die Firma Hetzner, die ein Datencenter in der Nähe von Zwickau unterhält. Auf Hetzner verweist auch eine genutzte IP-Adresse von DDoS.

Eine kurzfristige Anfrage von netzpolitik.org am Dienstagabend, auf welcher Grundlage der Server beschlagnahmt wurde und was den Betreibern vorgeworfen wird, hat die Staatsanwaltschaft Zwickau bislang nicht beantwortet.

Einblick in das Handeln von US-Polizeien

Die knapp 270 Gigabyte an Daten sind hunderttausende Dokumente, die über viele Jahre zurückreichen und mehr als 200 Polizeireviere in den Vereinigten Staaten betreffen. DDoS selbst sieht sich als Veröffentlichungsplattform, die eine freie Übermittlung von Daten im öffentlichen Interesse ermöglichen will, sie jedoch nicht selbst durch Hacker-Angriffe erlangt hat. Dabei will das Kollektiv nach Eigenaussage jegliche politische, unternehmerische oder persönliche Neigung vermeiden und bezieht sich kritisch auf Leaking-Organisationen, deren Zustand sich durch Egos und Interessen verschlechtert habe.

Durch BlueLeaks kam unter anderem heraus, wie Polizeien in sozialen Medien Proteste überwachen, indem sie Facebook-Events oder die Slack-Channels von Aktivist:innen beobachten.

Schon zur Veröffentlichung von BlueLeaks hatte Twitter den Account von DDoS gesperrt und Links auf die Webseite des Kollektives als „unsicher“ markiert. Twitter bezieht sich hierbei auf eine Moderationsrichtlinie, die seit März 2019 die Verteilung durch Hacker-Angriffe erlangten Materials verbietet, wenn dieses private Informationen enthält. DDoS bestreitet dies jedoch.

Update:

DDoS betont gegenüber netzpolitik.org seine Rolle in der Zusammenarbeit mit Journalist:innen, darunter die Henri-Nannen-Schule in Deutschland, mit der es ein gemeinsames Projekt gab.

Whistleblowing und die Weitergabe von geschützten oder geheimen Informationen sind eine Säule des Journalismus. Geschützt wird diese Praxis durch die Pressefreiheit, vor allem dann, wenn es ein öffentliches Interesse gibt. Leaking ist aber immer ein Abwägungsprozess wie Anna Biselli treffend schreibt. Vor diesem Hintergrund muss sich DDoS auch fragen lassen, warum man neben zahlreichen Dokumenten von öffentlichem Interesse auf der Webseite – wenn auch nur „auf Anfrage“ – zum Beispiel den so genannten Doxing-Adventskalender, eine Sammlung privater Daten deutscher Politiker:innen und Prominenter, anbietet.

Update 8.7.2021 – 14.15 Uhr

Die Staatsanwaltschaft Zwickau hat folgende Presseerklärung herausgegeben:

Aufgrund eines US-amerikanischen Vorabsicherungsersuchen im Rahmen der internationalen Rechtshilfe in Strafsachen hat die Staatsanwaltschaft Zwickau am 3. Juli 2020 einen Server in einem Rechenzentrum in Falkenstein (Vogtland) sichergestellt, bei dem davon auszugehen ist, dass er von Personen, die im Internet unter dem Namen „Distributed Denial of Secrets (DDosecrets)“ auftreten, genutzt wurde.

Zum Inhalt des US-amerikanischen Verfahrens werden von hier aus keine Auskünfte erteilt. Bei der Sicherstellung handelt es sich um eine vorläufige Maßnahme im Rahmen der internationalen Rechtshilfe in Strafsachen. Nach Eingang des offiziellen US-amerikanischen Rechtshilfeersuchens wird eine Prüfung erfolgen, ob und in welchem Umfang eine gerichtliche Beschlagnahme von Daten mit dem Zweck der Herausgabe als Beweismittel an die US-Behörden in Betracht kommt.

Für die Bewilligung der Rechtshilfe, das heißt für die Entscheidung, ob tatsächlich Beweismittel an die USA herausgegeben werden, ist das Bundesamt für Justiz zuständig.

Die Beschlagnahme geht damit offenbar auf Ermittlungen des FBI zurück.

Update 8.7.2020 – 15:00:

Lorax B. Horne von DDoSecrets kommentiert die aktuelle Situation gegenüber netzpolitik.org: „Ich bin äußerst besorgt, dass die Behörden in Deutschland diesen Akt der Zensur unseres öffentlich zugänglichen Datenservers auch ohne ein abschließendes Amtshilfeersuchen der USA durchführen.“ Es rieche nach trumpianischer Verachtung für die freie Presse und einem Mangel an einem ordentlichen Verfahren in Deutschland.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Uploadfilter, Unethik und Unbehagen mit TikTok

7 Juli, 2020 - 18:00

Was sind Uploadfilter? Neue Broschüre der Digitalen Gesellschaft klärt auf (Digitale Gesellschaft)
In einer einfach verständlichen Broschüre erklärt die DigiGes, was Uploadfilter sind, wie sie funktionieren, wofür sie bereits eingesetzt werden und was für Probleme sie bereiten.

White Hat und Black Hat: Rassismusdebatte um Bezeichnungen für Hacker (Heise)
Die Diskussion ist nicht neu, bekommt aber durch Black Lives Matter derzeit wieder Schub: Wie geht die Infosec- und Tech-Community mit rassistisch konnotierten Begriffen um? Jetzt hat Googles Android-Sicherheitschef David Kleidermacher seinen Auftritt bei der Sicherheitskonferenz Black Hat USA abgesagt und eine Änderung der Sprache gefordert: Statt Black und Whitehat könne man von ethischem und unethischem Hacking sprechen, statt Man-in-the-Middle ließe sich Person-in-the-Middle sagen. Derweil suchen unter anderem Twitter, GitHub, aber auch die Community der Linux-Kernel-Entwicklung nach besseren Umschreibungen, während das Open-SSL-Projekt jüngst gegen Begriffsersetzungen gestimmt hat.

Amerika prüft Verbot chinesischer Apps wie Tiktok (FAZ)
Die Lage für TikTok spitzt sich zu. Gestern bestätigte die chinesische Mutterfirma ByteDance, dass sie sich aus Hongkong zurückzieht – als Reaktion auf das neue Gesetz zum Schutz der nationalen Sicherheit. Finanziell dürfte das allerdings kaum ein Problem darstellen. Laut einem Insider nutzen dort eh nicht besonders viele Menschen die App. Traumatisch wäre hingegen, wenn die USA TikTok verbieten und aus den App-Stores schmeißen würden, wie Außenminister Mike Pompeo jetzt in Aussicht stellte. Dann wäre TikTok nach Indien auch seinen anderen größten Markt los. Die Saga geht weiter.

Cookies: Was klicke ich da überhaupt? (Süddeutsche Zeitung)
Im Mai hatte der Bundesgerichtshof entschieden, dass Cookie-Einwilligungen nicht vorausgefüllt werden dürfen. Matthias Eberl hat sich für die SZ angesehen, wie sich das Urteil auf die Cookie-Praxis der Anbieter auswirkt und was es für Nutzer:innen bedeutet, auf OK zu klicken.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Corona-Kontaktlisten: Wenn die Polizei dich nach dem Restaurantbesuch anruft

7 Juli, 2020 - 17:10

Wer derzeit ein Restaurant besucht, muss seine Kontaktdaten hinterlegen: Name, Telefonnummer und Adresse. Die Liste soll eigentlich dazu dienen, Gäste bei einer möglichen Ansteckung mit dem Coronavirus schnell kontaktieren zu können. Stattdessen ist sie nun in einer Ermittlungsakte der Hamburger Polizei gelandet. Bekannt wurde der Fall, da einer der Gäste den unerwarteten Anruf der Polizei auf Twitter schilderte.

Die Polizist:innen ermitteln wegen versuchter Körperverletzung, berichtet ein Sprecher der Polizei Hamburg. Ein Mann soll vor zwei Wochen Passant:innen mit einem Messer bedroht haben. Noch vor Ort stellten die Beamt:innen die Corona-Liste des nahe gelegenen Lokals sicher. Im Zuge ihrer Nachforschungen kontaktierten sie anschließend mindestens sieben Gäste telefonisch und eine Person per E-Mail.

Polizei darf Corona-Liste als Beweismittel sicherstellen

In den meisten Restaurants, Kneipen und Sportstätten werden Gäste seit Mai gebeten ihre Namen, Kontaktdaten und den Zeitpunkt des Besuchs zu hinterlegen. Die Betreiber:innen sichern dabei oft zu, die Daten ausschließlich zum Zweck der Nachverfolgung von Corona-Infektionsketten zu verwenden und anschließend nach vier Wochen zu löschen. Dass die Corona-Listen im Fall einer Ermittlung an die Polizei weitergegeben werden müssen, dürfte vielen nicht bewusst sein.

Gegenüber der taz bezeichnet die Polizei das Vorgehen der Ermittler:innen als „gesunder Menschenverstand“ und beruft sich auf die rechtliche Grundlage in der Strafprozessordnung (StPO). Aus ihrer Sicht ist die Corona-Kontaktliste ein willkommenes Beweismittel, wenn es darum geht Augenzeug:innen zu finden, die möglicherweise vor Gericht aussagen können.

Nur so viele Daten wie nötig erheben

Dass die Kontaktliste bei der Polizei gelandet ist und für einen gänzlich anderen Zweck verwendet wurde, trägt sicher nicht dazu bei, das Vertrauen der Bevölkerung in diese Maßnahmen zur Eindämmung der Pandemie zu steigern. Der Hamburger Datenschutzbeauftragte Johannes Caspar ruft deshalb die Polizei dazu auf „äußerst zurückhaltend“ von ihrer Befugnis der Zweckänderung Gebrauch zu machen.

Gaststätten-Betreiber sollten sich darüber hinaus auf die Erhebung der unbedingt erforderlichen Daten beschränken, rät Caspar. Das sind in Hamburg seit Juli der Name, die Wohnanschrift und eine Telefonnummer. Caspar gibt außerdem zu Bedenken, ob es nicht ausreichen würde, die postalische Adresse oder die Telefonnummer oder die E-Mail-Adresse zu erheben statt alle drei.

In anderen Bereichen ist solche sogenannte Datensparsamkeit schon lange Praxis. Viele Streetworker:innen verzichten etwa bewusst auf Aktenführung, damit sensible Daten im Fall einer Durchsuchung nicht an die Polizei geraten.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Deutsche Ratspräsidentschaft: EU-Staaten diskutieren Nachverfolgung von Corona-Infektionen mit Passagierdaten

7 Juli, 2020 - 11:00

Im Juli hat Deutschland turnusgemäß die EU-Ratspräsidentschaft übernommen. Als eine der ersten Initiativen zur inneren Sicherheit regt das deutsche Innenministerium an, von Fluggesellschaften gesammelte Passagierdaten (Passenger Name Records, PNR) zur Nachverfolgung von Covid-19-Infektionen zu verwenden. Hierzu hat die Bundesregierung einen Fragebogen an alle übrigen EU-Mitgliedstaaten versandt.

Zu den PNR-Daten gehören alle Angaben, die Reisende beim Buchen und Einchecken bei einer Fluggesellschaft hinterlassen, darunter Namen und Kontaktangaben, Kreditkartennummern, IP- und Mailadressen, gebuchte Hotels, Mitreisende und Essensvorlieben. Sie werden von den Airlines zwei Mal an die zuständigen Behörden des Ziellandes übermittelt: bei der Buchung sowie beim Boarding der Maschine.

Limitierter Anwendungsbereich der EU-PNR-Richtlinie

Mit dem Fragebogen will das Bundesinnenministerium zunächst einen Überblick über die die Verwendung von PNR-Daten für „öffentliche Gesundheitszwecke“ in den Mitgliedstaaten gewinnen. Von Interesse sind die früheren Reisebewegungen von Personen, bei denen später eine Infektion festgestellt wird. Mit den PNR-Daten könnten Mitreisende dann als Kontaktpersonen benachrichtigt werden.

Derzeit dürfen die Daten gemäß der Richtlinie nur zur „Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität“ genutzt werden. Zur Bekämpfung der Corona-Pandemie müsste womöglich der Anwendungsbereich der EU-PNR-Richtlinie geändert werden. Aus diesem Grund sollen die Mitgliedstaaten angeben, unter welchen Bedingungen die nationalen Datenschutzbehörden einer etwaigen Übermittlung der PNR-Daten an Gesundheitsämter zugestimmt haben. Die Regierungen sollen auch mitteilen, inwiefern die Angaben für Gesundheitszwecke mit anderen Mitgliedstaaten geteilt werden dürfen.

Gefragt wird außerdem, ob die zuständigen Behörden mit der Qualität der PNR-Daten zufrieden sind. Dies ist nicht nur im Hinblick auf die Verarbeitung für Zwecke der öffentlichen Gesundheit von Bedeutung. Häufig fehlen in den Datensätzen Kontaktdaten der Passagiere, darunter Telefonnummern. Für die Nachverfolgung einer Corona-Infektion sind diese jedoch von zentraler Bedeutung. Ebenfalls von Interesse ist das PNR-Datenformat, das mit den IT-Systemen der Gesundheitsämter kompatibel sein muss.

Ungenutzte „Aussteigerkarten“

Schließlich sollen die Mitgliedstaaten auch Angaben zur Verwendung von „Ausreisekarten“ („Exit Cards“) machen. Auf Anordnung der Bundespolizei mussten Passagiere solche „Aussteigerkarten“ seit März bei der Ankunft per Flugzeug und auch per Bahn in Deutschland verpflichtend ausfüllen, diese wurden aber in der Praxis kaum genutzt. Allein am Frankfurter Flughafen sollen sich Ende März 280.000 ungenutzte „Aussteigerkarten“ gestapelt haben.

Die deutsche Umfrage zur Verwendung von PNR-Daten für Zwecke der öffentlichen Gesundheit dürfte auch die geplante Änderung der PNR-Richtlinie beeinflussen. Die österreichische Ratspräsidentschaft hatte noch vor der Coronakrise letztes Jahr vorgeschlagen, den Anwendungsbereich auf Reisewege an Land zu erweitern.

Dagegen steht womöglich eine Klage der Gesellschaft für Freiheitsrechte mit der österreichischen Organisation epicenter.works gegen die massenhafte Speicherung und intransparente Verarbeitung von Fluggastdaten durch Kriminalämter. Inzwischen befasst sich der Europäische Gerichtshof mit der Frage, ob dieser Eingriff das Privatleben und die Grundrechte verletzt.

Neu gegründete Ratsarbeitsgruppe „Informationsaustausch“

Neben den PNR-Daten könnte auch die sogenannte „Advanced Passenger Information“ (API) für die Bekämpfung von Covid-19-Erkrankungen genutzt werden. Diese erweiterten Fluggastdaten enthalten mit Namen, Meldeadresse, Abflug- und Ankunftszeit und Reiseroute nur sehr wenige Informationen über die Reisenden. Die Bundespolizei verlangt diese API-Daten seit 2008 von bestimmten Abflugländern, darunter solchen, in denen es häufig islamistisch motivierte Anschläge gibt. Auch die API-Richtlinie der Europäischen Union wird derzeit evaluiert und überarbeitet.

Die Ideen zur Verwendung von Passagierdaten im Gesundheitsbereich werden am 16. Juli in der neu gegründeten Ratsarbeitsgruppe „Informationsaustausch“ (IXIM) weiter behandelt. Unter anderem soll Belgien dort einen Vortrag halten. Belgische Behörden verlangen PNR-Daten mittlerweile auch von Bus- und Bahnreisenden aus Großbritannien.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Soziale Medien: Warum Polizeibehörden nicht beliebig twittern dürfen

7 Juli, 2020 - 10:25

Friedrich Schmitt ist Jurist und wissenschaftlicher Mitarbeiter am Institut für Öffentliches Recht der Universität Freiburg. Dieser Artikel basiert auf einer im Jahrbuch Informationsfreiheit und Informationsrecht 2019 erschienen Untersuchung zur polizeilichen Öffentlichkeitsarbeit auf Twitter.

Friedrich Schmitt zum Auftreten der Behörden in Sozialen Netzwerken Alle Rechte vorbehalten Theresa Dilg

Wer im Internet nach der Polizei sucht, merkt schnell: Viele Polizeibehörden haben die sozialen Medien für sich und ihre Öffentlichkeitsarbeit entdeckt. Sie bedienen sich auf Twitter, Facebook und Instagram oft eines informellen Umgangstons und kommunizieren scheinbar auf Augenhöhe mit privaten Nutzer:innen. Aus der Perspektive des Verfassungsrechts hat polizeiliche Öffentlichkeitsarbeit aber nicht in erster Linie „locker“ oder „lustig“ zu sein. Polizeiliche Kommunikation muss vor allem rechtsstaatlichen Mindeststandards genügen, die Grundrechte achten und mit der Freiheit der öffentlichen Meinungsbildung vereinbar sein.

Polizeibehörden haben keine Meinungsfreiheit

Unter der Ordnung des Grundgesetzes ist der Einzelne grundsätzlich frei, seine Freiheit wird nur punktuell durch Ge- und Verbote beschränkt. Der Staat ist dagegen nie im eigentlichen Sinne „frei“, seine Befugnisse richten sich nach rechtlich festgelegten Kompetenzen und außerhalb dieser Kompetenzen dürfen staatliche Stellen – das heißt auch die Polizei – nicht tätig werden.

Im Gegensatz zu Individuen sind staatliche Stellen deshalb keine Träger von Grundrechten und haben insbesondere keine Meinungsfreiheit. Im Gegenteil: Der Staat ist an die Grundrechte gebunden, das heißt, er muss die Grundrechte der Bürger:innen achten und schützen. Polizeibehörden können sich in der Konsequenz nicht auf „ihre“ Meinungsfreiheit oder andere Grundrechte berufen, wenn sie sich im Rahmen ihrer Öffentlichkeitsarbeit beispielsweise auf Twitter äußern.

Öffentlichkeitsarbeit ist nur in den Grenzen der Kompetenzordnung zulässig

Nach der Rechtsprechung des Bundesverfassungsgerichts ist die staatliche Öffentlichkeitsarbeit gleichwohl „in Grenzen nicht nur verfassungsrechtlich zulässig, sondern auch notwendig“. Die Öffentlichkeitsarbeit – und dies schließt die Öffentlichkeitsarbeit in den sozialen Medien ein – ist deshalb das Recht und die Pflicht aller staatlichen Stellen, auch der Polizeibehörden.

Dieses Recht gilt allerdings nur in den Grenzen der gesetzlichen Kompetenzordnung: Das heißt, Polizeibehörden dürfen nur im Rahmen ihrer gesetzlichen Aufgabe, Gefahren für die öffentliche Sicherheit und Ordnung abzuwehren, Öffentlichkeitsarbeit betreiben. Außerhalb dieses – ohnehin weiten – Aufgabenkreises dürfen Polizeibehörden nicht handeln und folglich auch nicht kommunizieren. Praktisch bedeutet dies, dass sich Polizeibehörden keineswegs beliebig zu jedem Thema einlassen dürfen: Fotos von niedlichen Tieren gehören grundsätzlich nicht zum polizeilichen Aufgabenkreis.

Polizeibehörden müssen neutral, sachlich und richtig kommunizieren

Die polizeiliche Öffentlichkeitsarbeit unterliegt außerdem der staatlichen Pflicht zu neutraler, sachlicher und richtiger Kommunikation. Damit sind Grenzen für die polizeiliche Öffentlichkeitsarbeit verbunden.

Das Gebot staatlicher Neutralität wird in der Rechtsprechung des Bundesverfassungsgerichts vor allem als Gebot politischer Neutralität ausgelegt. Für Berufsbeamt:innen gilt grundsätzlich: „Beamtinnen und Beamte dienen dem ganzen Volk, nicht einer Partei. Sie haben ihre Aufgaben unparteiisch und gerecht zu erfüllen und ihr Amt zum Wohl der Allgemeinheit zu führen.“

Wenn also polizeiliche Twitter-Profile den Accounts politischer Parteien, von ausgewählten Glaubensgemeinschaften oder sonst eindeutig partikular engagierten Organisationen folgen, so verstößt dieses Verhalten gegen den Grundsatz der staatlichen Neutralität. Polizeibehörden dürfen sich im Rahmen ihrer Öffentlichkeitsarbeit – egal ob offline oder online – weder politisch noch religiös positionieren.

Nach dem Gebot der Sachlichkeit sind staatliche Informationen mit angemessener Zurückhaltung mitzuteilen. Nicht vereinbar mit diesem Grundsatz sind diffamierende oder verfälschende Darstellungen. Wenn sich die Polizei München unter dem Hashtag #WiesnWache dennoch eines lockeren Plaudertons und Kraftausdrücken bedient oder sich neuerdings über Menschen lustig macht, die sich nach der Reichweite von Beschränkungen aufgrund der Corona-Pandemie erkundigen, verstößt die Behörde deshalb gegen das Sachlichkeitsgebot.

Die Praxis polizeilicher Öffentlichkeitsarbeit zeigt, dass Social-Media-Aktivitäten für Verstöße gegen das Gebot der Richtigkeit anfällig sind. Polizeiliche Fehlinformationen bergen dabei Gefahren für den Prozess der freien und öffentlichen Meinungsbildung, der auf eine zutreffende Tatsachengrundlage angewiesen ist. Vertieft werden diese Gefahren durch den Umstand, dass die Öffentlichkeit staatlichen Informationen regelmäßig besondere Glaubwürdigkeit zuschreibt und deshalb ihr Vertrauen schenkt.

Konkrete Beispiele für polizeiliche Verstöße gegen das Gebot der Richtigkeit sind vor diesem Hintergrund eine (Falsch-)Meldung zu Molotowcocktails, die nie flogen, ein Tweet zu einem elektrischen Türknauf, der nicht mit dem Stromnetz verbunden war, oder die nur mutmaßende Zurechnung einer Straftat zu einer Demonstration. Kommt es zu polizeilichen Fehlinformationen, sind diese richtig zu stellen.

Polizeiliche Öffentlichkeitsarbeit darf nicht in Grundrechte eingreifen

Polizeibehörden müssen bei ihrer Öffentlichkeitsarbeit darüber hinaus die Grundrechte von möglicherweise betroffenen Personen achten. Insofern werden die Grundrechte vor allem praktisch relevant, wenn die Polizei in ihrer Öffentlichkeitsarbeit Versammlungen thematisiert oder kommentiert: Am Beispiel einer polizeilichen Fotoveröffentlichung, die eine Versammlung und dabei erkennbar einzelne Teilnehmer:innen abbildete, hat die jüngere Rechtsprechung zum einen erkannt, dass die damit verbundenen Grundrechtseingriffe rechtswidrig sind: Es gibt keine Befugnisnorm, die die Polizei zu Grundrechtseingriffen im Rahmen ihrer Öffentlichkeitsarbeit ermächtigt.

Zum anderen führt der Zweck „Öffentlichkeitsarbeit“ keineswegs zu einer Besserstellung der Polizei: Der mit den Veröffentlichungen verbundene „Abschreckungs- und Einschüchterungseffekt“ bleibt davon nicht nur unberührt, die Versammlungsteilnehmer:innen müssen in den Worten des Gerichts vielmehr „mit einem erheblich gesteigerten Verbreitungsgrad der Lichtbilder und einem entsprechend breiten […] Bekanntwerden ihrer Versammlungsteilnahme rechnen“.

Im Klartext bedeutet dies: Polizeibehörden dürfen Bildnisse von Versammlungsteilnehmern nicht für ihre Öffentlichkeitsarbeit bei Twitter (oder anderen sozialen Medien) veröffentlichen.

Missliebige Äußerungen erlauben keine Blockierungen

Enge Grenzen ziehen die Grundrechte im Übrigen, wenn Polizeibehörden einzelne Twitter-Profile blockieren. Zwar sind polizeiliche Stellen unstreitig dazu befugt, auf Grundlage ihres „virtuellen Hausrechts“ andere Nutzer:innen von ihren Profilen auszuschließen. Die Rechtsprechung hat aber mit Blick auf die Social-Media-Präsenzen öffentlich-rechtlicher Rundfunkanstalten Voraussetzungen für die Ausübung des „virtuellen Hausrechts“ entwickelt, die auch für Polizeibehörden gelten (dürften).

Die wesentliche Bedingung für Blockierungen sind danach „Störungen der Aufgabenwahrnehmung“. Welches Verhalten aber „stört“, richtet sich nicht maßgeblich nach der jeweiligen Netiquette, sondern ist in Übereinstimmung mit den Grundrechten zu bestimmen: Äußerungen, die von der Meinungsfreiheit geschützt werden, sind grundsätzlich keine „Störungen“, sondern die Ausübung verfassungsrechtlich gesicherter Freiheit. Dies gilt auch für überspitzte und missliebige Äußerungen – denn gerade die Kritik an staatlichen Stellen steht nach der gefestigten Rechtsprechung des Bundesverfassungsgerichts unter dem besonderen Schutz des Grundgesetzes.

Die Deutungshoheit über polizeiliches Handeln liegt bei der Gesellschaft

Die Öffentlichkeitsarbeit ist zwar das Recht und die Pflicht aller staatlichen Stellen. Es ist deshalb im Grundsatz nicht zu beanstanden, dass viele Polizeibehörden Gebrauch von den Möglichkeiten sozialer Medien machen. Dabei darf aber nicht aus dem Blick geraten, dass es sich bei der polizeilichen Öffentlichkeitsarbeit um die Ausübung hoheitlicher Gewalt handelt, die nur in den Grenzen des (Verfassungs-)Rechts zulässig ist und sich deshalb nicht „frei“ auf Twitter und Co. entfalten kann.

Wenn die scheinbar „auf Augenhöhe“ – tatsächlich aber von einer mit Hoheits- und Zwangsbefugnissen ausgestatteten Behörde – praktizierte Öffentlichkeitsarbeit der Polizei dabei auf die Erlangung der Deutungshoheit über polizeiliches Handeln zielt, so ist schließlich mit dem Bundesverfassungsgericht darauf hinzuweisen: In einer Demokratie muss sich die Willensbildung „vom Volk zu den Staatsorganen, nicht umgekehrt von den Staatsorganen zum Volk hin, vollziehen“. Mit anderen Worten: Die Berichterstattung und der Diskurs über polizeiliches Handeln sind gesellschaftliche Vorgänge, die die Polizei weder an sich ziehen noch steuern darf.

Die Polizeibehörden sollten sich deshalb auf die Erfüllung ihrer gesetzlichen Aufgaben beschränken und nicht zum Akteur im Prozess der öffentlichen Meinungsbildung aufschwingen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Sicherheitsgesetz: Twitter und Facebook unterbrechen Datenweitergabe an Hongkonger Behörden

7 Juli, 2020 - 09:06

Letzte Woche hatte China in Hongkong ein neues Sicherheitsgesetz eingeführt, das den Menschen in der ehemaligen britischen Kolonie bedeutende Grundrechte beschneidet. Als Reaktion darauf wollen mehrere große Tech-Unternehmen wie Twitter und Facebook zunächst die Zusammenarbeit mit Hongkonger Strafverfolgungsbehörden beenden.

Das erklärten die Unternehmen gegenüber dem Wall Street Journal. WhatsApp will die Zusammenarbeit „bis zu einer weiteren Bewertung der Auswirkungen des Nationalen Sicherheitsgesetzes“ pausieren und sich darüber hinaus mit Menschenrechtsexperten beratschlagen, sagte eine Sprecherin von WhatsApp am Montag gegenüber dem Wall Street Journal. Dem schloss sich auch der Mutterkonzern Facebook an.

In einer Stellungnahme von Twitter heißt es, dass man direkt zur Einführung des Nationalen Sicherheitsgesetzes alle Daten- und Informationsanfragen der Hongkonger Behörden sofort pausiert habe.

Der Messenger Telegram hatte schon am Sonntag gegenüber Hong Kong Free Press gesagt, dass Telegram nicht beabsichtige, Datenanfragen bezüglich seiner Hongkonger Nutzer zu bearbeiten, bis ein internationaler Konsens in Bezug auf die laufenden politischen Veränderungen in der Stadt erreicht sei. Im Gegensatz zu vielen europäischen Regierungen lassen die Social-Media-Unternehmen Worten auch Taten folgen.

Sicherheitsgesetz beendet Freiheiten in der Stadt

Das neue Sicherheitsgesetz (PDF) hat 66 Artikel und sieht für die Straftatbestände Sezession, Subversion, Terrorismus und Mitwirkung bei einer Einmischung von außen lange Haftstrafen vor. Darüber hinaus darf Peking eine eigene Strafverfolgungsbehörde eröffnen, die nicht von Hongkong kontrolliert wird. Diese und viele weitere Punkte des Gesetzes werden dazu führen, dass das Gesetz schwerwiegende Auswirkungen auf die Meinungsfreiheit und die persönliche Sicherheit politischer Aktivist:innen hat.

Schon jetzt gab es erste Festnahmen nach den neuen Paragrafen. Bekannte Demokratie-Aktivist:innen haben ihre Organisationen aufgelöst und sind teilweise aus Hongkong geflohen. Die Regierung hat den zentralen Protest-Slogan „Liberate Hongkong. Revolution of our Times“ im Rahmen des Gesetzes für illegal erklärt, die Polizei verwarnt Cafés und Bars, wenn sie politische Statements in ihren Räumen ausstellen. Die Menschen gehen wie in Festland-China dazu über, verbotene Slogans und Aussagen in Codes wiederzugeben.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Teenage-Gurus, TikTok und Trivial Pursuit

6 Juli, 2020 - 18:00

Dubiose Internet-Gurus: Wenn 14-Jährige das große Geld versprechen (RND)
Ein Jugendlicher im Anzug und mit Businessblick verspricht Erfolg, Reichtum und sonstige im Kapitalismus erstrebenswerte Ideale. Für ihre Workshops nehmen die Minderjährigen jede Menge Geld und locken mit der Aussicht darauf, zum „Closer“ zu werden. Einen Einblick in diese skurrile Welt und einen amüsanten Christian-Lindner-Vergleich hat Matthias Schwarzer zur jungen Online-Coach-Szene aufgeschrieben.

ZDF-Ferienprogramm: „Trivial Pursuit“ auf dem C64 (YouTube)
Nichts Aktuelles, aber zum Ferienstart in einigen Bundesländern schon passend. In einer alten Sendung aus dem ZDF-Ferienprogramm präsentiert Heinrich Lenhardt ein Trivial-Pursuit-Programm für den C64. Der Mehrwert der digitalen Ausgabe erschließt sich nicht ganz, das Zuschauen beim Test ist vermutlich unterhaltsamer als das eigentliche Spiel. Vor allem mit einigen Jahren Abstand.

Corona-Warn-App: App trifft Amt (Zeit Online)
Die Download-Zahlen sind hoch, die App meist gelobt. Aber was passiert, wenn eine Meldung durch die Corona-Warn-App mit der analogen Welt zusammentrifft? Meike Laaff hat bei Gesundheitsämtern nachgefragt.

Wird Tiktok zum neuen Huawei? (FAZ)
Nachdem Indien vergangene Woche TikTok verboten und aus den nationalen App-Stores von Apple und Google geschmissen hat, versucht der neue Vorstandschef Kevin Mayer, mit einem Brief an die Regierung das Ruder herumzureißen. „Ich kann bestätigen, dass die chinesische Regierung uns niemals nach Daten indischer Tiktok-Nutzer gefragt hat“, schreibt Mayer. Er wolle außerdem ein Datenzentrum in Indien bauen lassen. Dass der Bann aufgehoben wird, ist dennoch unwahrscheinlich, schreibt Korrespondent Christoph Hein in der FAZ, und er könnte erst der Anfang sein.

New Trump Appointee Puts Global Internet Freedom at Risk, Critics Say (NY Times)
Kürzlich berichteten wir über den politischen Kahlschlag beim Open Technology Fund, einem wichtigen Geldgeber für offene und freie Anti-Zensur-Tools wie Signal oder Tor. Nun stellt sich heraus, dass offenbar die antikommunistische und Verschwörungsmythen verbreitende Sekte Falun Gong einen guten Teil dazu beigetragen hat, die bisherige Führung mit religiösen Hardlinern zu ersetzen – unter anderem, um die von einem Sektenmitglied programmierte Software Ultrasurf zu finanzieren.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Biometrie: Spanische Supermarktkette setzt Gesichtserkennung gegen Kunden ein

6 Juli, 2020 - 17:37

Die spanische Supermarktkette Mercadona bringt seit Neuestem automatisierte Gesichtserkennungssysteme mit der Begründung zum Einsatz, Diebstahl eindämmen zu wollen. Die Software soll in vierzig der über 1.600 Einkaufsmärkte im Testbetrieb laufen und Menschen aufspüren, die ein gerichtliches Zutrittsverbot im Supermarkt haben.

Die Mercadona-Kette, die besonders in Barcelona, Madrid, Alicante, Castellón, Saragossa, Mallorca und Valencia verbreitet ist und in Spanien einen Marktanteil von über zwanzig Prozent hat, setzt auf ein System von AnyVision Interactive Technologies, an dem auch die deutsche Firma Bosch beteiligt ist. Das israelische Unternehmen bietet neben Gesichtserkennung auch weitere biometrische Systeme zur Vermessung von Körpermerkmalen an, die dem Hype folgend als Künstliche-Intelligenz-Systeme vermarktet werden.

Die Gesichtserkennung soll dem Diebstahl in den Filialen entgegenwirken. Nach eigenen Angaben belaufen sich die Verluste durch Diebstähle in Mercadona-Supermärkten auf etwa 250 Millionen Euro pro Jahr, was rund ein Prozent des Umsatzes des Konzerns ausmacht.

Die Software des Pilotversuchs soll allerdings nicht nach gewöhnlichen Ladendieben im Markt Ausschau halten, sondern nach den Gesichtern von rechtskräftig Verurteilten suchen, denen ein Zutrittsverbot ausgesprochen wurde. Die Referenz-Bilder stammen entsprechend aus den Gerichtsverfahren.

Screenshot aus AnyVision-Werbevideo. Was passiert mit den Daten der Gerasterten?

Angesichts der derzeit verbreiteten Maskennutzung aufgrund der Covid19-Pandemie, die das Vermessen von Gesichtern erschwert, scheint der Zeitpunkt des Biometrietests ungewöhnlich. Allerdings werben einige Anbieter damit, Gesichter trotz Masken erkennen zu können. Das behauptet AnyVision zwar nicht, betreibt in Israel aber Systeme zur Erkennung von Masken in Krankenhäusern. Das könnte auch für Supermärkte interessant sein, die eine Maskenpflicht durchsetzen wollen oder müssen. Dazu gehören die Mercadona-Supermärkte aber bisher nicht.

Gegenüber El Confidencial betont Mercadona, dass keine Daten der gerasterten Passanten aufgehoben würden. Man gebe nur die Ergebnisse an die Behörden weiter:

Permite detectar la infracción y, tras contrastar científicamente que se trata de esta persona, se notifica a las fuerzas y cuerpos de seguridad, responsables de hacer cumplir la medida en vigor adoptada por el juzgado correspondiente.

Es gehe also darum, Übertretungen von gerichtlichen Anordnungen zu detektieren, nachdem ein Gesicht verglichen und einem Rechtsverletzer zugeordnet wurde. In diesem Fall würden die entsprechenden Sicherheitsbehörden benachrichtigt, das System würde dann die Bilder selbständig löschen.

Kritiker sind damit nicht zufrieden. Dazu gehört Professor Borja Adsuara Varela, der die Supermarktkette öffentlich nach Details fragte und via Twitter auch eine Diskussion auslöste, indem er die Frage aufwarf, ob es denn verhältnismäßig sein könne, ein solches Gesichtserkennungssystem in Betrieb zu nehmen und dabei alle Kunden zu erfassen, wenn es doch eine sehr überschaubare Zahl von Personen geben dürfte, die gerichtlich festgestellt ein Zutrittsverbot zu den Läden von Mercadona hätten oder sich einem Mitarbeiter nicht nähern dürften.

Gesichtserkennung in anderen Supermärkten zurückgenommen

In den letzten Jahren hatten Supermarktketten in Europa mehrfach Pilotprojekte mit automatisierter Gesichtserkennung gestartet. In Deutschland waren im Jahr 2017 solche Gesichtserkennungssysteme beispielsweise in vierzig Filialen der Kette Real erprobt worden. Nach Protesten ließ man von der Fortführung des Tests aber ab. Populär ist biometrische Gesichtsvermessung ohnehin nicht: In Deutschland sprachen sich laut einer repräsentativen Umfrage mehr als drei Viertel der Menschen gegen eine Aufzeichnung und Auswertung von Gesichtern beim Einkaufen aus.

Mit gutem Grund ist Skepsis gegenüber automatisierter Gesichtserkennung angebracht, denn es geht schließlich um die anlasslose Vermessung und Auswertung von Körperdaten der Vorbeilaufenden. Die Erkennung von Gesichtern ist zwar über die Jahre qualitativ erheblich besser geworden, so dass die Fehlerquoten nicht mehr so drastisch sind. Damit reduzieren sich die Falscherkennungen, wenn also fälschlicherweise Passanten von der Software als Gesuchte ausgegeben werden und ihnen damit das Leben schwergemacht wird. Allerdings ist mit der Verbesserung der biometrischen Technologien auch ein enormes Missbrauchspotential entstanden. So werden heute etwa die Ethnien der Menschen besser erkannt, was zu automatisierter Diskriminierung führen kann.

Der Einsatz von Technologien zur Körpervermessung in privaten Räumen wie Einkaufsmärkten ist zudem oft wenig reguliert. Eine Auszeichnung ist in Europa zwar zwingend, allerdings müssen kommerzielle Unternehmen keine detaillierten Informationen zur Technik an ihre Kunden und andere Betroffene herausgeben.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Interview zu Social-Media-Accounts von Amtsträgern und Behörden: Die Willkür muss ein Ende haben

6 Juli, 2020 - 12:27

Die Juristin Jacqueline Neumann erklärt im Interview, dass der Gesetzgeber die Grundrechte auch im digitalen Raum stärken müsse. Dabei geht es nicht um die sonst häufig diskutierten Fragen der Einschränkung der Informations- und Meinungsfreiheit durch die Löschpraktiken von Facebook, die Regeln von Twitter oder durch das Netzwerkdurchsetzungsgesetz (NetzDG), sondern um eine effektivere Bindung der von deutschen Behörden und Amtsträgern betriebenen Social-Media-Accounts an Recht und Gesetz.

Warum die Regierung ihre Kritiker nicht auf Facebook oder Twitter sperren darf

netzpolitik.org: Frau Neumann, Sie haben sich mit der Frage auseinandergesetzt, wie Sperrungen bei Twitter durch Amtsträger, Behörden oder andere staatliche Stellen rechtlich zu bewerten sind. Können Sie kurz erklären, worin sich der Twitter-Account etwa eines Amtsträgers oder einer Behörde von dem einer Privatperson unterscheidet, vor allem wenn es darum geht, andere Accounts zu sperren?

Jacqueline Neumann: Aus rechtlicher Sicht ist die Unterscheidung zwischen amtlichen und privaten Twitter-Accounts zentral. Es sind zwei unterschiedliche Kategorien.

In Kategorie eins fallen Accounts von Ministerien oder Behörden, beispielsweise von Polizeibehörden. Als amtliche Accounts unterliegt ihr Betrieb der Grundrechtsbindung. Damit ist gemeint, dass der zuständige Behördenmitarbeiter die im Grundgesetz garantierten Rechte der Bürger beachten muss, wie zum Beispiel das Recht auf Informationsfreiheit und Meinungsfreiheit, und nicht nach Gutdünken Kommentare löschen oder Nutzer blockieren darf.

Dann gibt es neben den Behörden-Accounts noch zahlreiche Accounts von Amtsträgern, die wie Außenminister Heiko Maas (SPD) und Gesundheitsminister Jens Spahn (CDU) auf ihrem Twitter-Profil ausdrücklich ihre Regierungsämter nennen. Hier hat man es auch mit eindeutig amtlichen Accounts zu tun. Solche Accounts kann man in der Regel immer dann in die Kategorie eins sortieren, wenn auf dem Twitter-Account das Staatsamt des Betreibers genannt wird, Staatssymbole wie Flaggen oder Wappen dargestellt werden, amtliche Informationen verbreitet werden, der betreffende Account in amtliche Öffentlichkeitsarbeit eingebunden ist oder Personen aus der Pressestelle der Behörde eingesetzt und somit öffentliche Mittel für den Betrieb des Accounts verwendet werden.

netzpolitik.org: Was ist die zweite Kategorie?

Jacqueline Neumann: Der Kategorie zwei sind all die Accounts von Politikern zuzuordnen, die entweder kein Staatsamt haben oder den Account ausschließlich für nicht amtsbezogene Nachrichten nutzen. Hierunter fällt die Kommentierung des letzten Katzenvideos wie auch die Tätigkeit von Amtsträgern für Parteien, Vereine und alle Arten von Nichtregierungsorganisationen.

Zusammengefasst: Der Betreiber eines Accounts aus der ersten Kategorie muss sich bei seinem Umgang mit anderen Accounts an die genannten Grundrechte halten. Dagegen kann der Betreiber eines Accounts aus der zweiten Kategorie andere Accounts blockieren, quasi wie es beliebt.

netzpolitik.org: Ist das Bedienen eines Twitter-Accounts eines Amtsträgers aus Ihrer Sicht eine Amtshandlung, und wenn ja, was folgt daraus?

Jacqueline Neumann: Ja, und zwar nicht nur aus meiner Sicht. Rechtlich betrachtet ist jeder Social-Media-Account eines Amtsträgers oder einer Behörde eine öffentliche Einrichtung virtueller Natur. Zu dieser virtuellen öffentlichen Einrichtung haben grundsätzlich alle Bürger gleiche Zugangsrechte.

Manche Behörden meinen, das Blockieren von Nutzern bedürfe keiner gesonderten Rechtsgrundlage. Unumstritten ist, dass das Blockieren einen Grundrechtseingriff darstellt, wie ein Gutachten der Wissenschaftlichen Dienste des Bundestages ausgeführt hat. Der Staat ist auch im digitalen Raum an die Grundrechte gebunden.

Der thüringische Ministerpräsident Ramelow und die Twitter-Sperre

netzpolitik.org: Ist denn immer klar, ob ein Twitter-Account amtlich oder privat betrieben wird?

Jacqueline Neumann: Nein, das ist es nicht. Es gibt so gesehen in Ergänzung zu den zwei genannten Kategorien noch eine weitere Kategorie – ich nenne sie mal Null-Kategorie, wenn der Betreiber meint oder vorgibt, seinen Account privat zu betreiben, ihn jedoch amtlich und dienstlich nutzt. Zu jedem Account muss letztlich geklärt werden – im Zweifel vor Gericht –, ob der Account in Kategorie eins oder zwei fällt. Daraus leiten sich dann ganz unterschiedliche rechtliche Konsequenzen ab. Unterliegt der Betreiber der Grundrechtsbindung, weil amtlich, oder unterliegt er ihr nicht, weil privat? Einen solchen Fall hatten wir 2019 gegen den thüringischen Ministerpräsidenten Bodo Ramelow vor Gericht gebracht. Er hatte zuvor den Account unseres Rechtsinstitutes gesperrt.

Screenshot des Twitter-Profils des thüringischen Ministerpräsidenten Bodo Ramelow.

netzpolitik.org: Sie hatten den thüringischen Ministerpräsidenten Ramelow wegen der Twitter-Sperre verklagt. Auf seinem Twitter-Profil sieht man jedoch, dass er sich dort nicht als Ministerpräsident mit amtlichem Account vorstellt, sondern ganz privat als „Mensch“. Warum ist er dort trotzdem nicht nur Privatperson?

Jacqueline Neumann: Eine Selbstbezeichnung als „Mensch“ ist keinesfalls ausreichend für die Einstufung als privater Account. Damit kann man nicht die rechtlichen Konsequenzen eines amtlichen Accounts unterlaufen.

Ein Beispiel: Stellen Sie sich vor, die Steuerfahndung erhält einen dicken Stapel Beweise, dass es sich bei jemandem, nennen wir ihn Herrn Ramelow, um einen Steuerhinterzieher handelt. Die Staatsanwaltschaft beabsichtigt die Einleitung von Ermittlungen und eine Hausdurchsuchung, was der Richter jedoch ablehnt, weil Herr Ramelow auf seiner Tür einen Aufkleber angebracht hat: „Ich bin Steuerzahler“. Ebenso wenig kann sich ein Amtsträger Recht und Gesetz entziehen, wenn er auf seinem Twitter-Account den virtuellen Aufkleber „Hier bin ich privat“ oder hier bin ich „Mensch“ anbringt.

Amtsträger können sich ihrer Grundrechtsbindung nicht schlicht dadurch entledigen, dass sie vorgeben, ihr Twitter-Konto privat zu betreiben und nicht in amtlicher Funktion.

In der Anlage zu unserer Klage gegen den Ministerpräsidenten hatten wir entsprechende Belege für eine amtliche Nutzung des Twitter-Accounts beigefügt. Damit hätte eine mögliche Verteidigung von Ramelow, dass er seinen Account bereits im Februar 2009 – vor dem Amtsantritt als Ministerpräsident – eingerichtet hatte und nur privat nutze, nicht gegriffen.

Netzpolitischer Präzedenzfall?

netzpolitik.org: Warum hatte Ramelow Sie gesperrt?

Jacqueline Neumann: Den genauen Grund kenne ich nicht. Als der Ministerpräsident unseren Instituts-Account gesperrt hat, lag offenkundig und nachweisbar kein Verstoß gegen eine Netiquette oder gar gegen Strafgesetze oder das Grundgesetz vor. Im Gegenteil, wir hatten ja den Ministerpräsidenten auf einen Verfassungsbruch durch seine Regierung aufmerksam gemacht. Konkret hatten wir anlässlich des hundertjährigen Jubiläums der Weimarer Verfassung versucht, ihn an seine Amtspflicht zu erinnern, die grundgesetzwidrigen Dauerzahlungen an die Kirchen in Form der Staatsleistungen zu beenden – also rein sachliche Kritik. Die Details kann man gern in der aktuellen Ausgabe der „Vorgänge – Zeitschrift für Bürgerrechte und Gesellschaftspolitik“ nachlesen.

netzpolitik.org: Wie hat Ramelow sein Sperrverhalten begründet? Und wie ging die Klage aus?

Jacqueline Neumann: Der Ministerpräsident begründete weder die Sperrung noch hob er sie trotz mehrfacher Nachfrage und öffentlicher Kritik auf. Ein außergerichtlicher Einigungsversuch scheiterte trotz gegenteiliger Ankündigung seiner Staatskanzlei noch am Fristtag. In einem ähnlich gelagerten Fall hatte der Staatsminister im Außenministerium, Niels Annen, seine Blockade gegen einen Journalisten der Jerusalem Post in diesem Stadium wieder aufgehoben. Nicht so der Ministerpräsident.

Abgesehen von der Durchsetzung unserer Interessen sahen wir daher die Möglichkeit, einen netzpolitischen Präzedenzfall zu schaffen, und reichten Klage ein. Diese lag dann einige Monate in Thüringen vor Gericht. Sodann erklärte sich das aus unserer Sicht für die Angelegenheiten des thüringischen Ministerpräsidenten Bodo Ramelow zuständige Verwaltungsgericht Weimar jedoch für unzuständig und verwies den Rechtsstreit an ein für die Privatperson Bodo Ramelow zuständiges Amtsgericht, womit zunächst weitere Wochen ins Land gingen. Bevor es jedoch zu einer Gerichtsentscheidung kam, entsperrte der Ministerpräsident unseren Account wieder. Damit war unser Schutzbedürfnis entfallen und einer abschließenden gerichtlichen Klärung die Grundlage entzogen. Die Klage musste beendet werden.

Ramelow selbst teilte lediglich zwischenzeitlich über Twitter mit, dass das Verwaltungsgericht den Rechtsstreit an das Amtsgericht verwiesen habe, weil der Ministerpräsident auf seinem Account auf staatliche Insignien verzichte und sich dort als „Mensch“ bezeichne. Inhaltlich oder zu seinem Verhalten äußerte er sich nicht.

(Update: Der Ministerpräsident äußert sich in den Kommentaren mit einer anderen Darstellung.)

netzpolitik.org: Immerhin hatte er die Sperre zurückgenommen, vielleicht gar aus Einsicht?

Jacqueline Neumann: Man könnte ihm zugutehalten, dass er es zunächst juristisch vielleicht nicht besser wusste oder aus einem Impuls heraus unseren Account sperrte. Andere Nutzer, die ebenfalls von Ramelow gesperrt worden waren, nachdem sie unseren Tweet retweetet hatten, gaben aber an, von ihm nicht wieder entsperrt worden zu sein. Daran sieht man: Die Meinungsfreiheit stirbt scheibchenweise.

Mit Blick auf die Art und Weise, wie er die Sperre zunächst aufrechterhielt, und dass er als erfahrener twitternder Politiker die Plattform seit über zehn Jahren gezielt politisch nutzt, liegt wohl eher ein rechtsstaatlich äußerst bedenkliches Verhalten des Ministerpräsidenten vor, das eine gerichtliche Bewertung verdient gehabt hätte.

netzpolitik.org: Aber durch das Aufheben der Sperre konnte der Rechtsweg nicht beschritten werden?

Jacqueline Neumann: Ja, und ein solches Politikerverhalten kann derzeit leider noch reüssieren. Man kann, wie Ramelow oder Annen den Exit nehmen und entsperren, bevor vom Betroffenen ein Gerichtsurteil erwirkt werden kann. Mit der Entsperrung ist dem Betroffenen das Rechtsschutzbedürfnis entzogen. Es ist machbar, nach ein paar Tagen den missliebigen Account erneut zu blockieren und den Schweinezyklus erneut zu starten. Nicht jeder Bürger kann juristisch und finanziell so dagegenhalten wie unser Rechtsinstitut. Und auch uns war es am Ende nicht möglich, zu einer Gerichtsentscheidung zu kommen.

Der Fall Ramelow zeigt, dass es für manche Politiker attraktiv zu sein scheint, einen Graubereich zu schaffen. Die für unsere Grundrechte toxische Kombination besteht darin, unter dem Deckmantel eines privaten Accounts einen amtlichen Account zu führen und andere Accounts nach eigenem Belieben willkürlich und ohne Rechtsschutz sperren zu können.

Ich finde, dieser Graubereich sollte gesetzlich geschlossen werden. Es geht um die großen Grundrechtsfragen der Informationsfreiheit, Meinungsfreiheit und Pressefreiheit und die Vereinbarung der Spielregeln im Verhältnis von Bürger und Regierung auf den wichtigen Social-Media-Plattformen.

Verlässliche Daten über die Anzahl von Sperren sind bislang Mangelware

netzpolitik.org: Die letzte Auskunft der Bundesregierung dazu, wie viele Ministerien und Bundesbehörden auf Twitter andere Accounts sperren, ist bereits zwei Jahre alt und gibt 268 blockierte Accounts an. Können Sie einen Trend ausmachen, ob diese Sperrungen zu- oder abnehmen?

Jacqueline Neumann: Eine systematische und aktuelle Erfassung des Sperrverhaltens der Bundesregierung ist nicht bekannt. Die Bundesregierung antwortete jedenfalls auf die Anfrage der Opposition, dass die Bundesressorts selbständig über die Kriterien für Sperrungen entscheiden. Als allgemeine Kriterien nannte die Regierung die Verhinderung der Verbreitung strafrechtlich relevanter Inhalte oder einen Verstoß gegen die Netiquette. Letzteres deutet auf Gutdünken hin, ist also rechtsstaatlich inakzeptabel.

Denn es ist so: Private Unternehmen dürfen sich im Rahmen der Privatautonomie eigene Regeln und AGBs geben. Staatliche Behörden haben keine Privatautonomie und dürfen das nicht. Der Staat und seine Repräsentanten dürfen ihre Verpflichtung auf die Grundrechte nicht durch Netiquette-AGBs einschränken. Noch dazu sind die Theorie und Praxis sogar innerhalb der Bundesregierung sehr unterschiedlich. Manche Behörden zeigen große Transparenz, andere wiederum kaum. Zudem sollte man auch die Behörden in den Ländern und Kommunen in den Blick nehmen. Denken wir nur an all die Accounts, die von Polizeibehörden unterhalten werden. Aktuelle verlässliche Daten über die Anzahl von Sperren und Trends sind bislang also Mangelware.

netzpolitik.org: Sollte die Bundesregierung die Daten zu Sperrungen offenlegen?

Jacqueline Neumann: Jede Behörde weiß, wie viele und welche Accounts sie auf Twitter gesperrt und welche Kommentare sie auf Facebook gelöscht hat. Zwar haben richtigerweise die Speicherung und Auswertung von Daten der Twitter-Follower enge Grenzen. Aber Daten darüber, wie viele Accounts und aus welchen Gründen sie gesperrt wurden, sollte die Öffentlichkeit erfahren und in einer freiheitlichen Demokratie diskutieren dürfen.

Als Bürger oder private Organisation ist man auf die Mitwirkung und Offenheit der Behörden angewiesen – und auf effektive parlamentarische Kontrolle und Anfragen nach dem Informationsfreiheitsgesetz. So hatte der Regierende Bürgermeister Berlins im letzten Jahr laut einer Informationsfreiheitsgesetz-Anfrage von seinen 11.400 Twitter-Followern knapp neunzig Accounts blockiert. Es handelt sich dabei nicht notwendigerweise um neunzig Bürger, sondern es sind wahrscheinlich auch Bots oder Mehrfach-Accounts darunter. Unklar ist, warum die Sperrungen erfolgten.

Aus dem Bereich der Polizeibehörden hatte allein die Hamburger Polizei nach eigenen Angaben über fünfhundert Twitter-Accounts blockiert. Diese Zahl ist allerdings schon über zwei Jahre alt und nicht weiter qualifiziert.

Das BSI betreibt vier Twitter-Accounts, darunter die Allianz für Cyber-Sicherheit.

Es wäre auch sinnvoll, die internen Richtlinien zum Betrieb der Social-Media-Accounts systematisch auszuwerten und mit einer einheitlichen Rechtsgrundlage zu versehen. In Einzelfällen hat das Informationsfreiheitsgesetz bereits Licht ins Dunkel gebracht. So kann man die Richtlinien für die Twitter-Nutzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) bei FragDenStaat nachlesen. Inhaltlich sind diese BSI-Richtlinien übrigens ein positives Beispiel. Eigentlich wäre aber eine umfassende und regelmäßige Berichterstattung eine Aufgabe von Bund und Ländern.

netzpolitik.org: Wie werden Sperrungen typischerweise begründet?

Jacqueline Neumann: Im Fall Ramelow erhielten wir wie gesagt keine Begründung. Grundsätzlich kann es rein logisch nur vier Begründungskategorien geben, dass eine Behörde einen anderen Facebook-Kommentar löscht oder einen anderen Twitter-Account blockiert. Erstens ein Gesetzesverstoß, zweitens ein Verstoß gegen Netiquette, drittens einen wie auch immer motivierten Willen und Wunsch des Betreibers, sich eine Bubble zu schaffen, beispielsweise wenn die Behörde sich gestört fühlt oder nicht mit unliebsamer Kritik konfrontiert sein möchte, und schließlich viertens ein menschliches oder technisches Versagen.

Klar ist: Nur ein Gesetzesverstoß rechtfertigt einen dauerhaften Eingriff in das Grundrecht der Informations- und Meinungsfreiheit. Problematisch ist die verbreitete Praxis, dass staatliche Stellen eigene Netiquette und interne Richtlinien entwerfen. Hier stellen sie eigene hausgemachte Regeln auf, teilweise in Orientierung an den Inhalten der AGB der genutzten sozialen Netzwerke, in denen sie Straftatbestände wie „Beleidigung“ mit rechtlich unbestimmten Begriffen wie „Hass“ und „Provokation“ vermischen und diese Gemengelage zum Maßstab für Grundrechtseingriffe machen.

Wenn Behörden die „Provokation“ als Kriterium für eine Sperrung und damit den Eingriff in die Grundrechte eines Nutzers heranziehen, missachten sie die Rechtsprechung des Bundesverfassungsgerichts. Denn Meinungsäußerungen dürfen zweifelsfrei provozieren. Problematisch ist nicht zuletzt, dass die Nennung der Gründe für Grundrechtseingriffe vorenthalten werden kann und die Behörden nicht systematisch dem zuständigen Parlament oder der Öffentlichkeit Rechenschaft ablegen.

„Im Zweifel für die Meinungsfreiheit“

netzpolitik.org: Eine Sperrung bedeutet ja noch keinen Ausschluss von der Möglichkeit, Twitter-Inhalte zu lesen, wohl aber von der Möglichkeit des Kommentierens durch den von der Sperrung betroffenen Account. Sollten offizielle Accounts von Bundesbehörden und Amtsträgern jede Art von Kommentierung zulassen?

Jacqueline Neumann: Nein, jede Art von Kommentierung sollte nicht zugelassen werden und ist es auch nicht. Die zulässige Grenze des Meinungsaustausches und damit auch der Kommentierung ergibt sich aus der Verfassung und den Gesetzen. Um es klar zu sagen: Die Meinungsfreiheit hat ihre Grenze in Normen des Strafrechts und im allgemeinen Persönlichkeitsrecht anderer Nutzer, und es ist gut, wenn Strafverstöße wie Beleidigung, üble Nachrede oder Verleumdung unterbunden werden.

Insgesamt scheint mir, dass auf dem „Neuland“ des Internets in der Politik und der Justiz noch das Verständnis dafür wachsen muss, dass es vor dem Grundgesetz gleichgestellt sein muss, ob sich ein Bürger in einer analogen Diskussion mit einem Amtsinhaber oder einer Behörde oder in einer virtuellen Diskussion auf einem Twitter-Kanal befindet.

Für eine kritische Meinungsäußerung wurden wir zwar von Ministerpräsident Ramelow auf Twitter gesperrt. Es wäre jedoch kaum denkbar, dass ein Mitglied unseres Instituts für dieselbe Meinungsäußerung vom Ministerpräsidenten oder den Saaldienern bei einer Podiumsdiskussion aus dem Veranstaltungsraum geworfen worden wäre. Um dieses Verständnis zu fördern und im Sinne der Bürger abzusichern, halte ich die Überlegung für interessant, dass ergänzend zu den strafrechtlichen Verboten die gesetzlichen Regelungen zur Erteilung eines Hausverbots in analogen Einrichtungen auf virtuelle Einrichtungen übertragen werden. Dann könnte der Ministerpräsident oder eine Behörde einen Account nur dann sperren und ein digitales Hausverbot erteilen, wenn sie darlegen, dass ansonsten die Öffentlichkeitsarbeit nachhaltig gestört würde und eine Gefahr wiederholter Beeinträchtigungen bestünde.

netzpolitik.org: Wo sehen Sie konkret die Grenzen der Meinungsfreiheit?

Jacqueline Neumann: Im Zweifel für die Meinungsfreiheit. Das Bundesverfassungsgericht hat dieses Grundrecht immer sehr hochgehalten und gesagt, dass bei Staatsschutznormen besonders sorgfältig zwischen einer Polemik und einer böswilligen Verächtlichmachung unterschieden werden muss. Hintergrund ist, dass das Grundrecht der Meinungsfreiheit in der Geschichte hart erkämpft werden musste, um das Recht der Kritik der Bürger an den Regierenden und den Mächtigen zu schützen.

In jedem Fall darf es keine Rolle spielen, ob der Tweet von der Behörde oder dem twitternden Amtsträger als begründet oder grundlos, emotional oder rational, wertvoll oder wertlos, gefährlich oder harmlos eingeschätzt wird. Alle Äußerungen, mit denen wertend Stellung bezogen wird und die kein Strafgesetz verletzen, sind vom Schutzbereich der Meinungsfreiheit umfasst. Äußerungen verlieren diesen Schutz auch dann nicht, wenn sie aus Sicht des Adressaten scharf und überzogen vorgetragen werden.

Da die Meinungsfreiheit konstitutiv für unsere freiheitliche Demokratie ist, müssen Beschränkungen auch verhältnismäßig sein. Eine Blockade auf Twitter kann deshalb nur die ultima ratio sein.

Mal abgesehen von dem gänzlich indiskutablen Sperrverhalten eines Ministerpräsidenten Ramelow scheint es mir, dass insbesondere aus dem Gebiet der Behörden-Netiquette ein unguter Mischmasch aus rechtlich relevanten und rechtlich irrelevanten Kriterien für Sperrungen angeführt wird. Darin kann die Meinungsfreiheit untergehen.

netzpolitik.org: Wie würden Sie das Problem auflösen, dass sich Behörden jeweils ihre eigenen Standards basteln?

Jacqueline Neumann: Durch ordentliche Verfahrensregeln. Die deutsche Justiz hat sich von den Verwaltungsgerichten bis hoch zum Bundesverfassungsgericht wiederholt zu inhaltlichen Fragen der Öffentlichkeitsarbeit von Behörden im Internetzeitalter geäußert. So darf eine Behörde via Twitter informieren, sofern sie dies inhaltlich richtig, sachlich und neutral tut.

Jedoch liegen noch keine verlässlichen und transparenten Verfahrensregeln für die Behörden vor. Eine wie auch immer von den amtlichen Account-Betreibern ausgestaltete Netiquette reicht nicht aus. Geeignete gesetzliche Vorgaben wären von den Landtagen für die Landesbehörden und vom Bundestag für die Bundesbehörden zu erlassen. Darin sollte geregelt sein, wer unter welchen Voraussetzungen von wem wie lange gesperrt werden darf, wann eine Überprüfung der Sperrung stattzufinden hat und welche Rechtsschutzmöglichkeiten dem Betroffenen zur Verfügung stehen. Auch stellt sich die Frage einer Anhörungs- und Begründungspflicht durch die Behörde, wenn gesperrt werden soll. In einem Rechtsstaat bedürfen die Eingriffe der Exekutiven in die Grundrechte der Bürger einer gesetzlichen Ermächtigungsgrundlage. Das hat das Bundesverfassungsgericht immer wieder betont.

netzpolitik.org: Sehen Sie neben solchen Verfahrensregeln zur Stärkung der Informations- und Meinungsfreiheit noch weitere Ansatzpunkte zur Verbesserung?

Jacqueline Neumann: Ich finde es spannend, dass in der Charta der Grundrechte der Europäischen Union das Grundrecht auf eine gute Verwaltung verankert ist. Die EU-Verwaltung ist verpflichtet, schriftliche Anfragen der EU-Bürger zu beantworten. Dasselbe gilt für juristische Personen wie Nichtregierungsorganisationen, Verbände und Unternehmen. Dieses EU-Recht umfasst aber nicht die deutsche Verwaltung – leider. Dergleichen kann man sich in Deutschland bislang nur wünschen.

Übertragen auf die amtliche Nutzung von Kommunikationskanälen auf Facebook und Twitter könnte es sogar eine gute Praxis für deutsche Behörden werden, die über diese Kanäle eingehenden Anfragen auch zu beantworten. Ich weiß, dass viele Behörden großartige, bürgernahe Öffentlichkeitsarbeit leisten. Es ist nicht nur informativ, sondern macht geradezu Freude, bestimmten Accounts zu folgen, und zu sehen, wie schnell und wie sachlich kompetent sie antworten.

Jedoch hat selbst ein Verfassungsressort wie das Bundesjustizministerium hier viel aufzuholen. Als Beispiel: Im November 2019 schaltete das Ministerium ein Testimonial mit dem Vorsitzenden des Islamverbandes ZMD im Rahmen der Regierungskampagne „Wir sind Rechtsstaat“. Unser Rechtsinstitut stellte noch am Tag der Veröffentlichung sieben sachliche Klärungsfragen auf der Ministeriumsseite bei Facebook und Twitter, die wiederum ein großes Nutzerinteresse hervorriefen. Bei rund zweitausend Nutzerreaktionen auf den Facebook-Post allein auf der Ministeriumsseite dürfte der Dialogbedarf dem Ministerium nicht entgangen sein. Der Post erhielt sogar die meisten Kommentare im gesamten Jahreszeitraum. Das ist kein Wunder, da er zentrale Fragen unseres Rechtsstaatsverständnisses thematisierte. Das Ministerium ist mehrfach täglich in den sozialen Medien aktiv, auch mit aufwendig produzierten Inhalten und investiert offensichtlich erhebliche Ressourcen in die Öffentlichkeitsarbeit. Auf wiederholte sachliche Anfragen von uns und anderen kam hingegen keinerlei Antwort – bis heute nicht. Die einzige sichtbare Reaktion des Ministeriums auf die Diskussion war ein pauschaler Hinweis auf die eigene Netiquette. Letztlich bin ich erstaunt, wie wenig die Wogen hochschlugen und wie sachlich die User blieben. Viele User wurden offenbar erst durch den Hinweis auf die Netiquette etwas unduldsam.

netzpolitik.org: Fänden Sie eine Antwortpflicht angemessen?

Jacqueline Neumann: Ja, mir geht es bei diesem Punkt darum, inwiefern staatliche Stellen verpflichtet sind, den Bürgern auch auf Social Media auf sachliche Fragen zu antworten. Aus Gründen begrenzter Kapazitäten kann nicht auf alle Fragen geantwortet werden, aber es wäre sicherlich realisierbar, auf die Top-Frage des Jahres oder die zehn Top-Fragen des Monats zu antworten und darüber zu berichten.

Bekanntlich können die Debattenverläufe auf digitalen Plattformen eine wahlentscheidende Rolle spielen. Nach Ansicht des Bundesverfassungsgerichts ist eine Plattform wie Facebook für die Verbreitung von politischen Ideen und die Teilhabe an der demokratischen Willensbildung sogar von „überragender Bedeutung“. Die Aktivitäten und Social-Media-Monatsberichte des Bundeswirtschaftsministeriums zeigen, was bereits jetzt alles von einem Bundesressort geleistet und problemlos offengelegt werden kann.

Der Twitter-Account von Donald Trump

netzpolitik.org: Account-Sperrungen durch Amtsträger werden etwa in den Vereinigten Staaten als Verstoß gegen die Meinungsfreiheit gewertet, wie ein Berufungsgericht letztes Jahr für den Account von US-Präsident Donald Trump entschied. Gibt es vergleichbare Fälle hier in Deutschland?

Jacqueline Neumann: Soweit ich das überblicke, gibt es in Deutschland auch nach dem Ende der Causa Ramelow noch kein vergleichbares Urteil und insbesondere keine höchstrichterliche Entscheidung.

Das Interessante an der Gerichtsentscheidung zum Twitter-Account des US-Präsidenten ist, dass das Gericht das Argument von Trumps Anwälten, dass er seinen Account bereits vor dem Amtsantritt eingerichtet habe und er die Sperrungen als Privatperson und nicht als Präsident vornehme, nicht gelten ließ. Die Richter bewerteten Trumps Twitter-Account als öffentlich, da er diesen nachweislich für amtliche Mitteilungen nutze. Bei der Einordnung des Ramelow-Accounts wären die amerikanischen Richter sicherlich zu dem gleichen Urteil gekommen.

netzpolitik.org: Wie bewerten Sie die Diskussionen um die aktuellen rechtlichen Vorschläge Trumps, um Eingriffe in die Meinungsfreiheit auf Twitter zu verhindern?

Jacqueline Neumann: Der US-Präsident schlägt vor, das Haftungsprivileg von Twitter und anderen Plattformbetreibern zu beschränken, wonach diese für die von Nutzern veröffentlichten Inhalte nicht verantwortlich sind. Zudem sollen die Unternehmen weniger Eingriffe in Nutzerbeiträge aufgrund ihrer internen Standards vollziehen.

Auch in Deutschland ist die Diskussion um das Haftungsprivileg im Gange. Zudem diskutieren wir die Frage, ob Plattformbetreiber ebenso wie der Staat alle grundrechtlich geschützten Meinungsäußerungen zulassen müssen. Oder ob sie in Form von AGBs Kommunikationsstandards für ihre Nutzer festlegen dürfen. Dürfen sie Äußerungen kennzeichnen, die vielleicht als falsch zu bewerten sind? Dürfen sie Kommentare verbieten und löschen, die provozierend und bei manchen Nutzern unbeliebt sind, aber von der Meinungsfreiheit gedeckt sind?

Diese Fragen sind in der obergerichtlichen Rechtsprechung und der juristischen Literatur unterschiedlich beantwortet worden. Das Bundesverfassungsgericht hat sich hierzu noch nicht abschließend geäußert. Unstreitig ist, dass Plattformbetreiber aufgrund ihrer Marktmacht und Bedeutung für die politische Debatte mittelbar auch an die Grundrechte gebunden sind. Würde man eine ähnlich starke Grundrechtsbindung wie seitens des Staates annehmen und den privaten Unternehmen die Festlegung von Kommunikationsstandards untersagen, könnte dies in der Tat zu einer Liberalisierung und weniger Sperrungen führen. Denn der Großteil der Sperrungen erfolgt auf der Grundlage der eigenen Standards der Unternehmen. Damit würde jedoch die grundlegende Unterscheidung zwischen Staat und Gesellschaft aufgeweicht, die für die Marktwirtschaft und unsere Rechtsordnung erstrebenswert ist.

Es gibt seit längerem auch den Vorschlag, die übereifrige Löschung oder Sperrung rechtskonformer Inhalte mit ebenso empfindlichen Strafen zu belegen wie die ausgebliebene Löschung oder Sperrung rechtswidriger Inhalte. Wenn dieser Vorschlag in eine Reform des Netzwerkdurchsetzungsgesetzes (NetzDG) einbezogen würde, hätten die Betreiber von Social-Media-Plattformen einen Anreiz, nicht zu viel zu löschen, und würden nicht „im Zweifel gegen den Angeklagten“ entscheiden. Wobei sich dann, ebenso wie bei der Frage der Etablierung eines Put-Back-Verfahrens, die Frage stellt, ob neben den Maßnahmen aufgrund des NetzDG nicht auch die Maßnahmen der Unternehmen aufgrund der eigenen Standards davon umfasst werden müssten.

Jacqueline Neumann.

Aktuell steht auf EU-Ebene mit dem „Digital Services Act“ insbesondere eine Neuregelung der Haftung für Plattformbetreiber und der Aufbau einer zentralen EU-Regulierungsbehörde an. Der öffentliche Konsultationsprozess läuft noch bis September 2020. Daher frage ich mich, ob die deutsche Politik nach den durchwachsenen Erfahrungen mit dem NetzDG nicht besser auf eine europäische Lösung setzen sollte, wenn schon keine Einigung mit den USA möglich scheint, auch um eine weitere Rechtszersplitterung im Internet zu vermeiden. Das französische Verfassungsgericht erklärte kürzlich das dem NetzDG vergleichbare französische Gesetz für teilweise verfassungswidrig. Begründet wurde dies auch mit der Gefahr des Overblockings. Die Frage der Vereinbarkeit des NetzDG mit Verfassungs- und Europarecht steht immer noch aus, um es freundlich auszudrücken.

netzpolitik.org: Vielen Dank für das Interview!

Jacqueline Neumann ist promovierte Juristin. Sie gründete 2017 das Institut für Weltanschauungsrecht (ifw) und ist Kuratorin der Giordano-Bruno-Stiftung. Das ifw ist erreichbar unter info(at)weltanschauungsrecht.de und auf Facebook und Twitter.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

China: Überwachungsapps gegen uigurische Minderheit entdeckt

5 Juli, 2020 - 10:00

Sicherheitsforscher:innen haben eine ganze Reihe von Malware-Apps entdeckt, die eine Überwachung der uigurischen Minderheit in China zum Ziel hatte. Zu den Zielen dürften auch Muslime in anderen Ländern sowie Unterstützer und Sympathisanten der MInderheit gehört haben. Mit den Apps konnten die Angreifer Telefongespräche mithören, Screenshots erstellen und Daten an ihre Server schicken. Die Malware wurde teilweise schon im Jahr 2013 gestartet.

Dass die Überwachungsapps gegen die uigurische Minderheit gerichtet sind, sei an der Zielgruppe der Apps erkennbar, berichten die Mitarbeiter:innen des IT-Sicherheits-Unternehmens Lookout, welche die Apps untersuchten. So versteckten die Angreifer die Malware in uigurischen Tastatur-Apps und nutzten App-Symbole, die einen Bezug zu den Uiguren haben. Verbreitet wurden die Android-Apps nicht über den offiziellen App-Store von Google, sondern über alternative Stores. Diese Verteilung ergibt Sinn, weil in China der App-Store von Google verboten ist. Die Forscher entdeckten bei ihrer Recherche mindestens 18 solcher App-Stores, welche die Malware verbreiteten. Auch hier gebe es Muster, die auf einen gemeinsamen Betreiber hinwiesen.

Überwachung aus einer Hand

Die in den Apps eingesetzten Überwachungstools SilkBean, DoubleAgent, CarbonSteal und GoldenEagle gehören zu einer Familie, weil sie entweder überlappende Programmcodes oder die gleiche Server-Infrastruktur im Hintergrund nutzten. Dies verweist darauf, dass sie aus der Hand desselben Angreifers stammen können, der eine Kampagne fährt, welche die Forscher mAPT (mobile Advanced Persistent Threat) nennen. Im Zuge der Recherchen fiel auch ein Zusammenhang mit den schon bekannten Überwachungsinstrumenten HenBox, PluginPhantom, Spywaller und DarthPusher auf.

Ob der chinesische Staat hinter der Überwachung steckt, lässt sich wie eigentlich immer bei solchen Angriffen nicht eindeutig sagen. Lookout sieht aber Indizien, die dafür sprechen. Hierbei führen die Sicherheitsforscher an, dass die Weiterentwicklung der Tools und deren Ausrichtung zum Zeitplan der „Anti-Terrorismus“-Kampagnen des chinesischen Staates passen. Zusätzlich stünden die in den Tools genutzten Sprachen, Länder und Dienste im Einklang mit Chinas offizieller Liste der „26 sensiblen Länder“, mindestens 14 dieser 26 Länder seien von der Malware-Kampagne betroffen.

Systematische Unterdrückung

In der muslimischen Provinz Xingjian geht die chinesische Zentralregierung mit großer Härte gegen die muslimische Minderheit der 11 Millionen Uiguren vor, testet Unterdrückung per Algorithmusbiometrische Verfahren und Überwachungstechniken. Bis zu eine Million Menschen sollen in geheimen Umerziehungslagern gefangen gehalten werden und worden sein.

Zuletzt kam durch eine Recherche von Associated Press (AP) heraus, dass China gezielt mit verordneten Verhütungsmethoden sowie Zwangssterilisationen und Abtreibungen die Geburtenrate der Minderheit zu senken versucht. Angesichts der Erkenntnisse ist von einem „demographischen Genozid“ die Rede.

China steht nicht nur für die Menschenrechtsverletzungen gegen die Uigur:innen, gegen die tibetische Bevölkerung und gegen Hongkong, sondern auch für den Aufbau eines engmaschigen Polizei- und Überwachungsstaates international in der Kritik.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Kritischer Bericht: Spionierende Smart-TVs in jedem Wohnzimmer

4 Juli, 2020 - 13:30

Viele Smart-TVs verstoßen gegen die Datenschutzgrundverordnung, weil ihre Datenschutzbestimmungen zu intransparent sind. Sie bergen Sicherheitsrisiken, weil es keine Software-Updates mehr gibt und blenden unaufgefordert Werbung ein. Das steht im Bericht des Bundeskartellamts zu Smart-TVs.

Die Marktwächter haben sich drei Jahre lang Geräte von rund 20 verschiedenen Herstellern angeschaut. Seit 2017 darf das Bundeskartellamt im Verbraucherschutzbereich breit angelegte Untersuchungen durchführen, wenn viele Verbraucher:innen beeinträchtigt werden könnten.

Bei Smart-TVs trifft genau das zu: Laut dem Bundeskartellamt gehören sie zu den meistgenutzten vernetzten Geräten – und sind in der Vergangenheit durch Datenschutzprobleme und Sicherheitslücken, die unter anderem von der CIA ausgenutzt werden konnten, aufgefallen.

Smart-TV is watching you

Eigentlich sollen sich Smart-TVs über das Internet verbinden, um neben dem klassischen Fernsehprogramm auch Video-Streaming, Zusatzinfos oder aktuelle Nachrichten anzubieten. Allerdings tun die Geräte deutlich mehr, wie der Bericht zeigt. Während des Untersuchungszeitraums veröffentlichte beispielsweise ein britisches Verbrauchermagazin im Juni 2018, dass während einer viertelstündigen Nutzung von Apps und Diensten auf einem Smart-TV Daten an über 700 Internetadressen gesendet wurden.

Hinzu kommt: „Je mehr smarte Geräte die Verbraucher einsetzen, desto umfassender ist ihr digitaler Fingerabdruck.“ Auch das klingt auf den ersten Blick einleuchtend – vergrößert in den Augen des Bundeskartellamts das Problem allerdings deutlich, da die Verknüpfung der Daten immer detailliertere Profile ermögliche. Gleichzeitig werde aus Sicht der Verbraucher:innen die Datenverarbeitung aber immer intransparenter.

Beim Kauf zu wenig Informationen

Damit sieht das Bundeskartellamt große Hürden, wenn Verbraucher:innen einerseits einen Smart-TV nutzen wollen, andererseits aber auf Datenschutz und Datensicherheit Wert legen. Dieses sogenannte Privacy Paradox ist nur eines der Problemfelder für Verbraucher:innen, die im Bericht vorgestellt werden.

Genauso geht es darum, dass Nutzer:innen erst zu spät an die nötigen Informationen kommen, die sie eigentlich schon vor der Kaufentscheidung bräuchten. Denn nach aktueller Rechtslage seien beispielsweise noch keine belastbaren Ansprüche auf Software-Updates ersichtlich, heißt es in dem Bericht. Außerdem lasse sich zusätzliche Software wie beispielsweise bestimmte Apps in vielen Fällen nicht entfernen, was ebenfalls in den Verbraucherschutz eingreift.

Anspruch auf Software-Updates gesetzlich festlegen

Der Präsident des Bundeskartellamtes Andreas Mundt drängt darauf, dass neue Gesetze die Souveränität von Nutzer:innen stärken – bei Smart-TVs genauso wie auch bei allen anderen Geräten, die als IoT-Devices mit dem Internet verbunden sind. Für ihn soll Datenschutz bei Smart-TVs und IoT-Geräten „zum echten Wettbewerbsparameter werden“. Dafür müsse allerdings schon vor dem Kauf klar sein, wie lange die Hersteller beispielsweise Software-Updates liefern.

Insgesamt fünf Empfehlungen spricht die Behörde aus: Neben einer besseren Aufklärung von Verbraucher:innen zur Datenverarbeitung von Geräten im IoT-Bereich gehören dazu auch gesetzliche Regelungen für Haftungsfragen, ein Anspruch auf Software-Updates und klarere Informationen zu den technischen Details, Datenschutz oder Voreinstellungsmöglichkeiten, sodass Verbraucher:innen schon vor dem Kauf die Geräte vergleichen können.

Vernichtendes Fazit

Der Bericht zeigt deutlich, wie relevant der Bereich der Smart-TVs für den Datenschutz ist – und wie dringend eine gesetzliche Regulierung:

Ungeachtet ihrer praktischen Vorteile für den Nutzer sind Smart-TV-Geräte auch dafür einsetzbar, in großer Intensität Daten über die Verbraucher und deren Nutzungsverhalten zu erheben und für Werbezwecke zu verwenden, auch wenn diese Möglichkeiten von den betreffenden Smart-TV-Anbietern zurzeit bei Weitem noch nicht ausgeschöpft werden

Ob der ausführliche Bericht tatsächlich zu einer Stärkung des Verbraucherschutzes führt, bleibt abzuwarten.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Interview zu Corona-Warn-App: „Risiken und Maßnahmen nicht ausreichend dargelegt“

4 Juli, 2020 - 09:00

Kirsten Bock arbeitet hauptberuflich im Datenschutz. Sie ist Mitglied beim Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) und eine der Autor:innen von dessen Muster-Datenschutz-Folgenabschätzung (DSFA) für Tracing-Apps.

Noch nicht ausgereift

netzpolitik.org: Mit dem Start der Corona-Warn-App Mitte Juni wurde auch die Datenschutz-Folgenabschätzung veröffentlicht. Telekom, SAP und Robert-Koch-Institut sind damit einer Forderung der Zivilgesellschaft gefolgt. Was ist Ihr erster Eindruck von dem mehr als hundertseitigen Dokument?

Kirsten Bock: Erstmal freuen wir uns, dass die DSFA der Corona-Warn-App veröffentlicht wurde. Das ist eine wichtige Entscheidung. Was man aber vorweg schon sagen kann, ist, dass sich das Team offensichtlich zum ersten Mal mit einer Datenschutz-Folgenabschätzung befasst hat und – um es mal positiv zu formulieren – versucht hat, sich dem Ziel zu nähern. Aus meiner Sicht ist das jedoch noch keine ausgereifte DSFA.

netzpolitik.org: Wo liegt das Problem?

Datenschützerin Kirsten Bock Alle Rechte vorbehalten privat

Kirsten Bock: Dem Anspruch nach ist dies eine verpflichtende DSFA nach Artikel 35 der Datenschutzgrundverordnung. Damit gehen bestimmte methodische Vorgaben einher. Der Artikel schreibt zum Beispiel vor, dass die Prüfung vor dem Start einer Technologie durchzuführen ist und enthält insofern auch eine Vorgabe, wie man Privacy by Design materiell umsetzt. Das ist in diesem Fall ganz offensichtlich nicht passiert.

Die Datenschutzfolgeabschätzung ist – so wie ich das lese – nachträglich erstellt worden. Das ist eigentlich nicht Sinn und Zweck der Sache. Die Verantwortlichen sehen ein „lebendes Dokument“ und wollen die Folgenabschätzung fortführen. Das ist positiv, aber ein Minimum des Notwendigen für neue, eigenständige Komponenten. Eine DSFA ist eigentlich mit einem klaren Ergebnis abzuschließen und wird danach Gegenstand des Datenschutz-Managementsystems der Verantwortlichen.

netzpolitik.org: Nun war der Zeitraum für die Entwicklung der Tracing-App aber auch ein sehr kurzer.

Kirsten Bock: Das stimmt natürlich. Aber es war von Anfang an klar, dass man eine hohe Zahl von Nutzern dafür gewinnen will. Deshalb wäre es umso wichtiger, dass man nicht einfach drauflos entwickelt. Wenn man so ein Projekt macht, muss man sofort auch ein DSFA-Team an seiner Seite haben, das kontinuierlich das reflektiert, was entwickelt wird.

Nicht nur die App, sondern das gesamte System betrachten

netzpolitik.org: Sie haben mit dem FIfF schon im April eine Muster-Datenschutzfolgeabschätzung für eine mögliche Corona-Tracing-App vorgelegt. Als Debattenbeitrag und Anregung, die in der offiziellen DSFA nun auch als eine Grundlage erwähnt wird. Wo sind Unterschiede?

Kirsten Bock: Was ich erwartet hätte, ist eine Auseinandersetzung nicht nur mit der Corona-App als solcher, sondern mit dem gesamten Verfahren. Dazu gehört etwa auch die Serverinfrastruktur. Die wird in dieser DSFA zwar angesprochen, aber es fehlen genauere Information: Was passiert da eigentlich genau? Was wird geloggt? Wird das gelöscht? Wie lange werden Daten aufbewahrt? Wir finden hierzu unterschiedliche Angaben zum einen im Glossar der DSFA und zum anderen im Haupttext. Es gibt ja unterschiedliche Serverfunktionen für die unterschiedlichen Funktionalitäten der App. Es wäre deshalb zwingend erforderlich, zu beschreiben, was da eigentlich passiert.

netzpolitik.org: Sie meinen die Übermittlungsserver, über die die Tagesschlüssel der positiv getesteten Personen verteilt werden?

Kirsten Bock: Genau. Wir haben es hier dann ja letztlich mit Krankheitsinformationen zu tun. Auch wenn die IDs für sich genommen wenig Aussagegehalt haben, hängen sie ja doch immer an der Person beziehungsweise an dem Handy, das sie hochlädt. Wenn ich diesem Server nicht vertraue im Hinblick auf die Verkehrsdaten, kann ich mir diese ganze Diskussion um Pseudonymisierung der Daten eigentlich sparen. Wenn hier Verkehrsdaten nicht von Inhaltsdaten getrennt werden und zusammen im Back-End verbleiben, habe ich ein Problem in der ganzen Architektur.

netzpolitik.org: Weil die Betreiber der Server über die Metadaten potenziell re-identifizieren könnten, wer die Tagesschlüssel hochlädt, also wer an Covid-19 erkrankt ist?

Kirsten Bock: Genau.

netzpolitik.org: Und das wird in dem Dokument nicht dargelegt?

Kirsten Bock: Die Risiken und Maßnahmen werden meines Erachtens nicht ausreichend dargelegt.

netzpolitik.org: Benennt die Folgenabschätzung denn zumindest dieses Risiko, dass es vonseiten des Betreibers zumindest potenziell zur Re-Identifikation kommen könnte?

Kirsten Bock: Nein, und das ist ein weiteres grundsätzliches Problem: Es fehlt in dem Papier eine datenschutzspezifische Risikomodellierung. Das liegt wahrscheinlich daran, dass es einfach keine hinreichende Orientierung an operativem Datenschutz gibt. Aus Datenschutzsicht ist ja nicht jemand Externes Hauptangreifer auf die Rechte und Freiheiten, sondern der Verantwortliche selbst. Deshalb hätte dargelegt werden müssen, wie die Grundsätze aus Artikel 5 DSGVO [Anm. der Red.: Zweckbindung, Datenminimierung, Nachvollziehbarkeit etc.] umgesetzt werden und diese hätten als Risikokriterien herangezogen werden müssen.

Nichtwissen ist keine Option

netzpolitik.org: Das klingt ein bisschen grundsätzlich. Wir hatten ja eine intensive öffentliche Debatte, an deren Ende die datenschutzfreundlichere Variante umgesetzt wurde. Braucht es da überhaupt noch so eine ausführliche Folgenabschätzung?

Kirsten Bock: Natürlich ist es ein Erfolg, dass am Ende diese dezentrale Variante ausgewählt wurde. Aber die ausführliche Folgenabschätzung braucht es schon allein deshalb, weil sie gesetzlich vorgeschrieben ist und der Prozess des „Datenschutz durch Technikgestaltung“ auch formal begleitet werden soll. Wir wissen wie gesagt nicht genau, was auf dem Server passiert und das kann sich ja auch jederzeit ändern. Wir vertrauen darauf, dass die Serverbetreiber das tun, was sie uns versprechen. Das kann nur nachvollzogen werden, wenn das tatsächlich kontrolliert erfolgt.

Deshalb ist es auch unbedingt notwendig, dass die DSFA öffentlich ist. Wer auf Open Source setzt, sollte immer auch die Datenschutz-Folgenabschätzung veröffentlichen. Damit Ankündigung und Realität miteinander abgeglichen werden können und die Risiken klar auf dem Tisch liegen. Die DSFA bietet begleitende Einordnung und Kontrolle. Das führt uns aber direkt zum nächsten Problem.

netzpolitik.org: Welches wäre das?

Kirsten Bock: Die Verantwortlichen ziehen sich in einem sehr relevanten Bereich auf Nichtwissen zurück, das geht für eine Datenschutzfolgenabschätzung überhaupt nicht. Ich spreche die Prozesse an, die auf Betriebssystemebene bei Google und Apple laufen. Also dieser ganze ENF-Bereich, da heißt es in der Folgenabschätzung: Naja, das läuft ja bei denen und da können wir nur den Informationen vertrauen, die sie uns liefern, aber prüfen können wir das nicht. Das positive ist: Diese Lücke wird deutlich gemacht. Denn das könnte ja auch einfach unter den Tisch fallen. Das Problem ist nur, dass man als Verantwortliche an diesem Punkt nicht stehen bleiben und sagen kann: Ja, tut uns leid, das können wir nicht prüfen.

netzpolitik.org: Die Verantwortlichen machen hier Sicherheitsbedenken geltend. Wenn bekannt wäre, wie genau das Verfahren bei Apple und Google funktioniert, wäre es angreifbar. Lassen Sie das Argument gelten?

Kirsten Bock: Nein. Wenn man in Bereiche gerät, in denen Fachleute zu dem Schluss kommen, dass eine öffentliche Darstellung problematisch ist, weil sie neue Risiken birgt, dann muss man eine vertrauenswürdige dritte Person hinzuziehen und das Ganze testen lassen. Da sind wir im Bereich Zertifizierung. Da müssten dann zumindest die Kriterien offengelegt werden, nach denen geprüft wurde. Und dann kann man so eine Prüfung, die nicht öffentlich erfolgt, auch in eine DSFA einbeziehen. Aber man kann sich nicht zurückziehen und sagen: Da vertrauen wir mal den Playern und dabei belassen wir es.

Vertrauen ist gut, ein Gesetz wäre besser

netzpolitik.org: Wenig überraschend kommen Telekom, SAP und das Robert-Koch-Institut in ihrer Folgenabschätzung insgesamt zu dem Schluss, dass die Risiken beherrschbar sind und dass genug Maßnahmen ergriffen wurden, um sie zu einzudämmen. Bedeutet Ihre Kritik an dem Dokument im Umkehrschluss, dass sie an diesem Ergebnis zweifeln?

Kirsten Bock: Das große Problem ist, dass die Zusagen, die derzeit gemacht werden, nirgends festgeschrieben sind. Die App ist sehr weit verbreitet und ihre Funktionalität kann mit wenigen Handgriffen verändert werden. Das Robert-Koch-Institut behält sich das ja auch vor. Wir können also nicht sicherstellen, dass der Zustand erhalten bleibt, in dem die App ihre Arbeit rechtskonform erledigt. Man kann die Sicherheit hier outsourcen und sagen: die Zivilgesellschaft wird das schon überprüfen – wir machen so viel wie möglich öffentlich und da gucken dann immer Leute drüber. Das ist der jetzt gewählte Weg und das ist bis zu einem bestimmten Punkt auch gut und vertrauensbildend. Aber natürlich kann die Verantwortliche nicht ihre gesamte Verantwortlichkeit externalisieren. Sondern sie muss eben selbst die DFSA in einem Datenschutz-Managementsystem fortschreiben, das wäre eine Maßnahme.

netzpolitik.org: In der Muster-Folgenabschätzung haben Sie mit dem FIfF eine andere Maßnahme in den Vordergrund gestellt.

Kirsten Bock: Richtig, es wäre angezeigt gewesen, dass man die Funktionalität des Systems in einem Gesetz festschreibt. Da müsste dann der Gesetzgeber die Hosen runterlassen und festlegen, zu welchen Zwecken Daten verarbeitet werden. Wenn das Gesetz festschreibt, dass die App in jeder Hinsicht immer freiwillig sein muss, dann kann das eine positive Wirkung haben. Natürlich könnte es aber auch so ausgehen, dass der Gesetzgeber sagt: Wenn du im Krankenhaus arbeitest, dann verlange ich von dir die Installation der App und dann musst du das Ding auch immer bei dir tragen.

netzpolitik.org: Das heißt, nicht in jedem Fall wäre ein Gesetz die weniger eingriffsintensive Variante.

Kirsten Bock: Das kommt darauf an. Im Moment ist es ja so, dass die App auf einer Einwilligungslösung basiert. Da kann man sich sehr drüber streiten, ob überhaupt in jedem Fall die Voraussetzungen der freiwilligen Einwilligung gegeben sind. Aber die Einwilligung hat erstmal den Vorteil, dass ich als ein Individuum sagen kann: Das Ding will ich nicht, dem traue ich nicht und ich nutze das nicht. Nur: In einer demokratischen Gesellschaft sollten die wesentlichen Dinge wie der Zweck, Datenkategorien und Rechtsfolgen durch ein Gesetz geregelt werden. In diesem Fall schon allein deshalb, weil so viele Personen betroffen sind.

netzpolitik.org: Die Autor:innen der offiziellen Datenschutzfolgen-Abschätzung kommen zu dem Ergebnis, dass es kein Spezialgesetz braucht.

Kirsten Bock: Das wird sich zeigen. Wir sind zu dem Schluss gekommen, dass es eine gesetzliche Grundlage braucht, weil wir in den allermeisten Fällen die datenschutzrechtliche Voraussetzung für die freiwillige Einwilligung nicht sehen. Viele Menschen installieren die App nicht freiwillig, sondern aus dem Gefühl heraus, sie müssten einen solidarischen Beitrag an die Gesellschaft leisten – was ja auch positiv ist, aber eben nicht freiwillig im datenschutzrechtlichen Sinne.

Das gilt erst Recht, wenn Unternehmen diese App jetzt verpflichtend machen. Wir haben ja bereits von Fällen gehört. Wenn Arbeitgeber plötzlich die Installation verlangen oder Menschen ohne App nicht mehr im lokalen Supermarkt einkaufen können, werden sie sich beschweren. Das wird dann auch nochmal juristisch interessant werden, wenn es Prüfungen und Klagen gibt. Da werden auch die Datenschutzbehörden tätig werden müssen, um Prüfungen vorzunehmen und um die Rechtsfragen zu klären, die sich um die App ranken.

netzpolitik.org: Vielen Dank für das Gespräch!

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wochenrückblick KW 27: Es rumort auf der ganzen Welt

3 Juli, 2020 - 18:22

Überbordender Hass in den sozialen Netzwerken, Überwachung und politische Repressionen auf der ganzen Welt haben uns auch diese Woche beschäftigt. Außerdem haben wir einen Blick auf die Entwicklung der deutschen Corona-Tracing-App geworfen.

Seit ein paar Wochen ist die Corona-Warn-App jetzt da. Eine wirklich ausreichende Datenschutzfolgeabschätzung gibt es aber immer noch nicht, kritisieren Autor:innen des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung in einem Gastbeitrag. Denn sie finden: Quellenoffenheit reicht nicht aus und fordern, dass neben den Apps auch auch Server und Infrastrukturen betrachtet werden müssen.

Facebook und der Hass

Immer mehr Unternehmen haben in den vergangenen Wochen Facebook boykottiert. Wer mit Hass Profit mache, den wolle man nicht unterstützen, argumentieren sie und weigern sich, weiterhin Werbung auf Facebook zu schalten. Das tut weh in der Kasse der Plattform – und wieder einmal verspricht Facebook, mehr gegen Hass auf der eigenen Plattform zu unternehmen. Mit dem erfolgreichen Druck aus der Werbewirtschaft zeigt sich einmal mehr, wie bisher die Politik versagt hat, kommentierte Markus Beckedahl.

Unterdessen werden immer mehr Plattformen aktiv: Twitch warf Donald Trump von der Plattform, Reddit hat seine Fans gesperrt. Wir haben uns angeschaut, welche Unternehmen stärker gegen Hass in sozialen Netzwerken vorgehen.

Überwachung und politische Repressionen

Das neue nationale Sicherheitsgesetz in Hongkong zeigt die ersten Auswirkungen. Durch die politischen Repressionen treten Aktivist:innen zurück, Organisationen und Accounts in sozialen Medien lösen sich auf. Wir haben aufgeschrieben, wie das Gesetzespaket die demokratischen Hoffnungen der Stadt endgültig zerstören könnte.

Auch Indien hat Apps blockiert, darunter TikTok oder WeChat. Gemein haben sie, dass sie alle aus China kommen. Das Verbot folgt auf die jüngste Gewalteskalation an der indisch-chinesischen Grenze. Warum viele einen politischen Hintergrund vermuten, haben wir zusammengetragen.

Kritisch um die Internetfreiheit steht es auch in Brasilien. Dort will die Regierung mit einem neuen Gesetz angeblich gegen Falschnachrichten vorgehen, tatsächlich führt das aber zu mehr Überwachung. Denn zukünftig müssen sich alle Nutzer:innen von sozialen Netzwerken und Messengern mit dem Ausweis registrieren. Außerdem wird die Gruppengröße in Messengern beschränkt und häufig weitergeleitete Nachrichten sollen gespeichert werden. Obwohl sich Digital- und Menschenrechtsorganisationen gegen das Gesetz gewehrt hatten, wurde es jetzt beschlossen.

Recht ist Recht ist Recht

Wie schwierig es sein kann, geltendes Recht gegen die großen Konzerne durchzusetzen, zeigt der Fall von Max Schrems. Vor sechs Jahren hat der Datenschutzaktivist Facebook verklagt, weil seiner Meinung nach unter anderem die Datenschutzbestimmungen ungültig sind und Daten unrechtmäßig gesammelt und weitergegeben werden. Jetzt hat das Wiener Landgericht für Zivilrechtssachen endlich ein Urteil gesprochen: 500 Euro soll Schrems von Facebook bekommen, weil es angeforderte Daten nicht herausgegeben hat. Die anderen Vorwürfe wischte die Richterin vom Tisch. Das findet er grotesk und will in Berufung gehen.

Auskunftsgesetze sind oft zu schwerfällig, wenn Informationen schnell benötigt werden. Wenn Hintergründe von Gesetzesentwürfen offengelegt werden, dann ist das vor allem Gerichtsentscheidungen zu verdanken. Das zeigt sich einmal mehr beim Streit um das milliardenschwere Kohlegesetz: Transparenz nutzt nichts, wenn es zu spät für sie ist. Wir haben über den Eilantrag zum Kohlegesetz vor dem Oberverwaltungsgericht geschrieben.

Menschenrechte schützen

Nicht nur in Berlin, auch in Bremen arbeitet die rot-rot-grüne Landesregierung an einem neuen Polizeigesetz. Darin sollen rassistische Polizeikontrollen explizit verboten und die Rechte von Betroffenen gestärkt werden. Jetzt beschweren sich Oppositionsparteien und Gewerkschaft der Polizei und nennen den Entwurf ein „Anti-Polizeigesetz“.

Sehr schlecht bestellt um die Menschenrechte ist es im Golf von Tunis. Dort soll eine neue Anlage zur Kontrolle tunesischer Küsten die sogenannte irreguläre Migration über das Mittelmeer verhindern. Beteiligt ist auch das Bundesinnenministerium. Ein ähnliches Projekt in Libyen ist inzwischen beendet. Menschenrechtsorganisationen sehen darin eine völkerrechtswidrige Beihilfe zu sogenannten „Pull backs“.

Kreativer und kritischer Umgang mit Technik

Wenn von Medienkompetenz die Rede ist, sind Forderungen nach Tablet-Klassen und pädagogischen Spielen nicht weit. Was aber Medienkompetenz mit Freier Software zu tun hat, darüber haben wir mit Daniel Schlep gesprochen. Er selbst ist Medienkünstler und zeigt Schüler:innen, wie sie mit Freier Software selbst kreativ werden können. Er findet: Statt Technik sollten wir endlich das Wissen dahinter fördern.

Wo es Kritiker:innen gibt, da wird auch sorgfältiger gearbeitet. Im Interview hat uns der Technikphilosoph Christian Vater erklärt, warum es auch mit Vereinen mit dem Chaos Computer Club zu tun hat, wenn Menschen einen aufgeklärten Umgang mit Technologie haben. Außerdem hat er er klärt, warum ein kritischer Blick auf Technik nicht das Gleiche ist wie Angst.

Geschwätzige Smartphones und Fitnesstracker

Die Video-App TikTok steht immer wieder zwischen Kritik und Hype. Diese Woche kam raus, dass die TikTok-App aggressiv ausliest, was Menschen auf dem iPhone in die Zwischenablage kopiert haben – beispielsweise Passwörter.

Wo wir gerade beim Thema iPhones sind: Im Europäischen Parlament wird in Corona-Zeiten abgestimmt mit iVote. Das ist kein Witz! Während der Pandemie stimmen EU-Abgeordnete in manchen Ausschüssen mit einer App ab, die nur auf Apple-Geräten funktioniert. Das geht so nicht, sagen Linke und Piraten und warnen, dass die App abhängig mache von dem US-Konzern. Wir haben die Hintergründe recherchiert – und unseren Beitrag auch auf Englisch übersetzt.

Klar ist, dass Smartphones eine Menge Daten aufzeichnen. Das tun aber auch Fitnesstracker. Einer der bekanntesten ist Fitbit und den möchte Google jetzt kaufen. Die NGO Privacy International möchte das verhindern; wir haben die Gründe dafür aufgeschrieben.

Zum Abschluss haben wir noch einen Termin-Tipp für kommende Woche: Am Dienstag geht es beim 95. Netzpolitischen Abend der Digitalen Gesellschaft neben besseren Polizeigesetzen um Filter, die das Urheberrecht in der EU schützen sollen und um Filter, die diskriminieren. Die Veranstaltung wird natürlich gestreamt.

Damit wünschen wir euch ein schönes Wochenende!

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig bleibt: Maskenkontrolle, Marktmacht, Microsoft

3 Juli, 2020 - 18:00

Microsoft’s Free Rein Over EU Staff Data Sparks Privacy Warning (Bloomberg)
Der Europäische Datenschutzbeauftragte hat die EU-Institutionen vor Datenschutzprobleme bei der Verwendung von Microsoft-Produkten gewarnt. Das ist relevant, denn allein die Europäische Kommission gibt jedes Jahr viele Millionen Euro für Microsoft-Lizenzen aus. Der Datenschutzbeauftragte kritisiert etwa, dass bei Datenabflüssen zu dem US-amerikanischen Unternehmen unklar sei, welche anderen Datenverarbeiter es gebe. Die Möglichkeiten zur Überprüfung der Datenverarbeitung bei Microsoft seien zudem beschränkt. Der Bericht des Datenschutzbeauftragten betont, die EU-Institutionen sollten den Ankauf weiterer Microsoft-Produkte oder ihre Verwendung für neue Zwecke zurückstellen, bis die Bedenken ausgeräumt seien.

Unmasking Policing, Inc. (Privacy International)
Polizeien in immer mehr Staaten lagern Teile ihrer Arbeit an Firmen aus, die Kontrolle und Überwachung landet damit in privaten Händen, beklagt Privacy International. Ein neues Dossier der NGO fasst diese bedenkliche Entwicklung zusammen und gibt Beispiele, etwa jenes der chinesischen Telekomfirma Huawei, die in der serbischen Hauptstadt Belgrad im Auftrag der Behörden ein ganzes Netzwerk an Überwachungskameras zur biometrischen Gesichtserkennung installierte.

Google and Facebook dominance should be curbed, suggests CMA (The Guardian)
Die britische Wettbewerbsbehörde hat einen vielbeachteten Bericht veröffentlicht, der ausspricht, was viele Kartellwächter in Europa schon lange denken: Digitalkonzerne wie Google, Facebook und Apple haben zu viel Macht. Schon allein die immense Profitabilität der Konzerne lege nahe, dass sie keinem fairen Wettbewerb etwa im Markt für Online-Werbung ausgesetzt seien. Als Gegenmittel schlagen die Wettbewerbshüter neue Instrumente vor, etwa könnten die Firmen mit rechtlichen Mitteln dazu gezwungen werden, ihren Mitbewerbern Zugang zu ihren Plattformen zu gewähren. Der britische Bericht könnte auch einen gewissen Einfluss auf die Europäische Union ausüben, die derzeit an einer Reform des Wettbewerbsrechts mit speziellem Blick auf die Digitalwirtschaft arbeitet.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Video-App: Sicherheitslücke bei TikTok erlaubte Übernahme von Accounts

3 Juli, 2020 - 17:04

TikTok kommt nicht aus den negativen Schlagzeilen heraus: Als sei es nicht genug, dass die Video-App für das beständige Auslesen des Zwischenspeichers in die Kritik geraten ist, sie in Indien aus den App-Stores geflogen ist und ein großer Anonymous-Account zur Löschung der „chinesischen Spyware“ aufrief und EU-Datenschützer sich näher mit der App beschäftigen wollen.

Von Januar bis März dieses Jahres gab es eine gravierende Sicherheitslücke bei TikTok. Die hat der Freiburger Frederik Greve entdeckt und veröffentlicht. Anfang des Jahres hatte das Unternehmen eine neue Funktion getestet, die es Nutzer:innen erlaubte, einen Link zu einer Website in ihrem Profil einzubinden. Mit dieser Funktion konnte Greve im März die Kontrolle über fremde TikTok-Profile übernehmen.

Sitzungsinformationen an Webseiten rausgeschickt

Greve erklärt den Hack in einem Blogpost auf Facebook. TikTok öffnet, ähnlich wie Facebook, Links nicht in einer externen Browser-App wie Safari oder Chrome, sondern in einem integrierten Browser in der App selbst. Dadurch können Webseiten-Betreiber diese Aufrufe aus der TikTok-App anhand des so genannten User-Agents identifizieren. Dieser User-Agent wird bei jeder Anfrage an den Webserver übermittelt. Diese Informationen befinden sich im Header, dem Kopfbereich einer Web-Anfrage an einen Server. In so einem Header können aber auch weitere Informationen übergeben werden, wie zum Beispiel Formulardaten oder Cookies.

Greve schreibt:

Bei der Analyse des vom TikTok In-App-Browser übermittelten Headers fiel mir auf, dass neben des User-Agents weitere Informationen geschickt wurden. Bei diesen Daten handelte es sich unter anderem um die Sitzunginformationen des angemeldeten TikTok-Nutzers.

So wurde bei jedem Login in der App oder auf einer Website für den angemeldeten Nutzer ein Schlüssel generiert, der in Form eines Cookies im Browser gespeichert wird. Mit diesem Schlüssel identifiziert sich der Nutzer beim Server. Wer über diesen Schlüssel verfügt, hatte vollen Zugriff auf den Account.

Mit Hilfe dieser Erkenntnisse testete Greve mit Fake-Profilen die Sicherheitslücke und machte API-Schnittstellen ausfindig. Danach konnte er die Kontrolle über fremde Profile übernehmen, darauf Videos veröffentlichen oder löschen.

TikTok nicht nur wegen Sicherheit in Kritik

Greve meldete sich mit seinen Erkenntnissen bei TikTok. Dort erbat man sich laut Greve 90 Tage Zeit bis zur Veröffentlichung der Lücke. TikTok bestätigte gegenüber netzpolitik.org, dass diese Lücke existiert habe, und dankte Greve für den Hinweis. Die Lücke sei geschlossen worden. Es gebe keinen Hinweis darauf, dass die Lücke ausgenutzt worden sei.

TikTok ist in den letzten Monaten zu einer der größten Social-Media-Plattformen der Welt aufgestiegen. Vor allem in der jungen Zielgruppe ist die App beliebt. TikTok war in der Vergangenheit auch durch Recherchen von netzpolitik.org weltweit für die Moderationspolitik, den Umgang mit behinderten Menschen und das ausgeklügelte System der Informationskontrolle in die Kritik geraten.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Schrems gegen Facebook: 500 Euro und kein Ende in Sicht

2 Juli, 2020 - 19:37

2014 hat der Datenschutzaktivist Max Schrems gegen Facebook geklagt, weil er der Meinung ist, dass Facebook seine Daten illegal verarbeitet. Rechtliche Grundlage dafür bietet vor allem die Datenschutzgrundverordnung (DSGVO). Schrems‘ Vorwürfe sind umfassend und reichen von ungültigen Datenschutzbestimmungen über unrechtmäßiges Sammeln und Weitergeben von Daten bis zum Ausspähen von Nutzern außerhalb von Facebook über Like Buttons oder Apps.

Das Wiener Landgericht für Zivilrechtssachen urteilte jetzt, dass lediglich die unterlassene Herausgabe seiner Daten rechtlich unzulässig sei und gesteht Schrems dafür 500 Euro Schmerzensgeld zu. Auf die DSGVO gehe das Gericht im Urteil kaum ein, kritisiert er in einem öffentlichen Statement. In gerade einmal 19 Sätzen würden fast alle Klagepunkte der Datenverarbeitung pauschal abgewiesen. „Mit den kniffligen Fragen, ob das Vorgehen von Facebook nach der DSGVO legal ist, wollte sich die Richterin wohl einfach nicht beschäftigen“, so Schrems.

„Groteske Entscheidung“

Tatsächlich erscheint das Urteil bei näherer Betrachtung kurios. So heißt es dort, das Interesse an verschiedenen Parteien und Politkern offenbare nur Schrems‘ Interesse an Politik, aber keine politische Meinung. Die Richterin argumentiert, dass es aus der Tatsache, dass Schrems beispielsweise FPÖ-Seiten besuche, nicht herauszulesen sei, dass er mit dieser Partei sympathisiere.

Dabei beruft sie sich auf Aussagen von Cecilia Alvarez, die bei Facebook für den Datenschutz unter anderem in Europa zuständig ist und als Zeugin im Verfahren ausgesagt hat. Laut Alvarez unterscheide Facebook in seiner Datenverarbeitung nicht in einfache und sensible Daten.

In der restlichen Analyse des Urteils wird umso deutlicher, wie Facebook nicht nur aus den direkt besuchten Seiten, sondern auch mit Informationen aus Verbindungen zu Freunden oder „ähnlichen“ Nutzenden ein umfassendes Profil seiner User:innen erstellt. Und das kann ein schärferes Bild über die politische Einstellung der Nutzenden zeichnen als allein die Auswertung der Suchanfragen.

Rechtsbrüche bleiben Rechtsbrüche

Trotzdem sieht die Richterin Artikel 9 der Datenschutzgrundverordnung nicht verletzt, der eigentlich verbietet, dass Daten zu politischer Meinung oder auch sexueller Orientierung verarbeitet werden. Genauso habe Schrems seine sexuelle Orientierung selbst öffentlich bekannt gemacht – die Datenschutzgrundverordnung sei also nicht verletzt worden und Weiteres müsse gar nicht erst geprüft werden, steht im Urteil.

Das sieht Schrems anders: Er kritisiert, dass das Urteil die Sensibilität der Daten nicht anerkennt und schlicht davon ausgeht, dass die Nutzenden einen „Datenverarbeitungsvertrag“ mit Facebook eingehen, weshalb sie selbst die Verantwortung für die Datenverarbeitung tragen.

Für ihn kann es nicht sein, dass Nutzende entweder Facebooks Rechtsbrüche dulden müssen, um auf der Plattform aktiv zu sein, oder sich abmelden sollen. Denn auch die Zustimmung von User:innen kann Brüche geltenden Rechts nicht legitimieren. Schrems geht davon aus, dass das Urteil falsch ist: „Die oberen Instanzen werden sie um 180 Grad umdrehen.“

Außerdem sei Schrems gar nicht „Verantwortlicher“ im Sinne der DSGVO, weil er Facebook nur privat verwende. Die Datenschutzgrundverordnung sei also gar nicht anwendbar.

Im Schneckentempo nach vorne

Seit Schrems die Klage gegen Facebook 2014 eingereicht hatte, versuchte die Richterin zweimal, die Verantwortung abzuschieben: Sie sei nicht zuständig. Jedes Mal wurde das vom Obersten Gerichtshof revidiert, einmal wurde sogar der Europäische Gerichtshof hinzugezogen. Jetzt musste die Richterin allerdings urteilen.

Neben der Schadensersatzzahlung über 500 Euro soll Facebook laut Urteil auch alle geforderten Daten herausgeben. Schrems rechnet daher auch mit einer Berufung von Seiten des Unternehmens. Er selbst hat bereits angekündigt, dass er in Berufung gehen will, und hofft, dass vor höheren Gerichten jetzt die „wirklich wichtigen Punkte“ vor allem im Kontext der DSGVO verhandelt werden können.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Maximator, Maßnahmenüberblick und Marktbeherrschung

2 Juli, 2020 - 18:00

Geheimoperation „Maximator“: BND spionierte jahrzehntelang am Parlament vorbei (Frankfurter Rundschau)
Eine geheime Kooperation, benannt nach einem starken Bier: Unter dem Namen „Maximator“ soll der BND seit den 70ern zusammen mit Dänemark, Schweden und später den Niederlanden und Frankreich eine Abhörallianz gebildet haben – als Gegengewicht zur Five-Eyes-Kooperation der USA mit Kanada, Großbritannien, Australien und Neuseeland. Erste Hinweise fanden die Journalisten in den kürzlich bekannt gewordenen Rubikon-Papieren. „Maximator und Rubikon sind Geheimdienstoperationen, die der BND unter Billigung und Mitwisserschaft der Bundesregierung bewusst an der Kontrolle des Parlaments vorbei geführt hat“, sagt dazu André Hahn von den Linken, Mitglied im Parlamentarischen Kontrollgremium.

100 Days of Lockdown in the UK (Big Brother Watch/YouTube)
Die britische NGO Big Brother Watch hat ein Video zu den Ausgangsbeschränkungen in Großbritannien produziert. Dabei konzentriert sie sich vor allem auf den Überwachungsausbau, der mit den Maßnahmen einherging.

Consumer and citizen groups have serious concerns about Google Fitbit Takeover (BEUC und andere)
Die europäische Verbraucherschutzorganisation BEUC, Privacy International, die Digital-Rights-NGO-Dachorganisation EDRi und viele andere haben in einem offenen Brief ihre Bedenken zur geplanten Fitbit-Übernahme durch Google formuliert. „Google könnte Fitbits außergewöhnlich wertvolle Gesundheits- und Standortdatensätze sowie Datenerfassungsmöglichkeiten nutzen, um seine bereits dominante Position in digitalen Märkten wie der Online-Werbung zu stärken“, heißt es darin. Sie appellieren, die Auswirkungen gründlich zu prüfen, bevor die Übernahme erlaubt wird. Die EU-Wettbewerbsbehörde will darüber in diesem Monat entscheiden.

Tiktok-Videos: Kühe ärgern und sich dabei filmen (sueddeutsche.de)
Viele sogenannte Challenges im Netz sind ziemlich bescheuert. Während sich Leute bei der Tide Pod Challenge vor allem selbst in Gefahr gebracht haben, indem sie Waschmittelkapseln im Mund hatten, ist die neue #scaringcowchallenge zusätzlich einfach Tierquälerei. Kühe zu einem eingängigen Refrain von „Kulikitaka“ erschrecken: nicht nachmachen, nicht liken, nicht lustig.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs