Es scheint sehr wahrscheinlich, dass die europäische Heuchelei in Bezug auf den Schutz personenbezogener Daten auf unbestimmte Zeit anhält
Der Europäische Datenschutzbeauftragte Anweisung an Europol, alle gespeicherten Daten zu löschen nicht mit einer Person mit einer bekannten Verbindung zu Straftaten verwandt ist, ist nur die Spitze eines europäischen heuchlerischen Überwachungseisbergs.
Das Thema wird in einem Bericht von Douwe Korff (emeritierter Professor für Internationales Recht, London Metropolitan University und Associate an der Oxford Martin School, University of Oxford) mit dem Titel diskutiert Der „Snowden-Skandal“ der EU: illegale Massenüberwachung und Massendaten-Mining durch Europol und die Mitgliedstaaten (PDF).
Edward Snowden Enthüllungen über die Massenüberwachungsoperationen der NSA und des GCHQ führten direkt zur Entwicklung der Europäischen Datenschutz-Grundverordnung (DSGVO), die heute weltweit als Blaupause und Goldstandard für den Schutz der Privatsphäre verwendet wird.
GDPR ist eine Produktion des Europäischen Parlaments (EP). EP-Mitglieder werden vom Volk gewählt. Die europäische politische Macht liegt jedoch weitgehend bei der Europäischen Kommission (EK), deren Mitglieder von den Regierungen der Mitgliedstaaten ernannt werden. Es gibt einen inhärenten und andauernden Interessenkonflikt zwischen Menschen und Regierungen in der europäischen Politik. Mit der DSGVO haben die Menschen gewonnen – aber die Amerikaner haben größtenteils zugesehen und gedacht: „Heuchler“.
Diese inhärente Heuchelei wird nun durch die Massenerhebung personenbezogener Daten von europäischen Einwohnern durch Europol im Widerspruch zu den Grundsätzen der DSGVO (die per Definition sowohl natürliche Bürger als auch ankommende Migranten umfasst) vollständig aufgedeckt. Heuchlerische Ironie wird der Mischung mit den EuGH hinzugefügt Schrems II Urteil, das Datenübertragungen von der EU in die USA erschwert und weitgehend illegal macht. Schrems II basiert auf der Inkompatibilität von GDPR und FISA 720, wobei letzteres der US-Regierung Zugang zu europäischen PII gewährt – doch hier macht Europol im Wesentlichen dasselbe mit europäischen personenbezogenen Daten.
Europol wird durch die Verordnung (EU) 2016/794 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (die Europol-Verordnung) gesondert geregelt, unterliegt jedoch weiterhin der Aufsicht durch den EDSB (Artikel 43). Seit Einleitung einer Untersuchung im Jahr 2019 untersucht der EDSB die Nutzung gespeicherter Daten durch Europol (bereitgestellt von den verschiedenen Mitglieds-Strafverfolgungsbehörden). Schätzungen zufolge (von Europol nicht bestätigt) übersteigt die Größe seines Datensees vier Petabyte an Daten.
„Hier geht es um den Wunsch von Europol und den EU-Mitgliedstaaten, riesige Mengen personenbezogener Daten über überwiegend unschuldige Menschen ‚in allgemeiner Form' zu sammeln“, schreibt Douwe Korff. Der Zweck besteht darin, maschinell lernende KI-Algorithmen zu verwenden, um die Möglichkeit kriminellen Verhaltens zu erkennen oder daraus abzuleiten – mit anderen Worten, eine vorausschauende Strafverfolgung, die nicht auf bekannten persönlichen kriminellen Handlungen basiert.
Dies geschieht, fügt er hinzu, „ohne Rücksicht auf die inhärenten ernsthaften Gefahren und Mängel der Data-Mining-Technologien und unter eindeutigem Verstoß gegen EU-Recht.“
Vorausschauende Strafverfolgung mit KI
Das Urteil des EDSB betrifft in erster Linie die illegale Datenspeicherung; das heißt, zu viel zu lange ohne rechtlichen Grund. Europol muss die betroffenen Personen zunächst kategorisieren. Dadurch werden diese echten Verdächtigen von „dem Rest“ getrennt. Der Rest muss gelöscht werden – aber bis diese Kategorisierung abgeschlossen ist, heißt es in der Entscheidung des EDSB: „Keine personenbezogenen Daten in den Beiträgen dürfen von Europol in irgendeiner anderen Form verarbeitet werden als der, die für eine solche Kategorisierung unbedingt erforderlich ist.“
Korffs Sorge ist, dass „jede Form der Verarbeitung“ eine vorausschauende Strafverfolgung auf der Grundlage von maschinellen Lernalgorithmen beinhaltet – in die er wenig Vertrauen hat. Diese Algorithmen sollen betroffene Personen finden, die möglicherweise in eine Kriminalität verwickelt werden, auch wenn sie dies in der Vergangenheit nicht waren und es keine aktuellen Beweise gegen sie gibt.
Laut einem Bericht in der Wächter vom 10. Januar 2022 begann Europol im Frühjahr 2020 (nachdem der EDSB mit seiner Untersuchung begonnen hatte) mit der Entwicklung eines KI-Programms für seinen Datenpool. Im Februar 2021 teilte Europol dem Guardian mit, es habe „keine eigenen maschinellen Lernmodelle für die Betriebsanalyse verwendet und auch kein ‚Training‘ des maschinellen Lernens durchgeführt.“ Aber der Guardian stellt fest, dass Europol jetzt „eine Rekrutierungsrunde für Experten gestartet hat, um bei der Entwicklung von KI und Data Mining zu helfen“.
An dieser Stelle sei darauf hingewiesen, dass die DSGVO den Einsatz von KI zur Profilierung betroffener Personen verbietet. Artikel 22 besagt: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Europol hat keine solche Hemmung innerhalb der Europol-Verordnung.
Korff ist der Überzeugung, dass KI-basiertes Data Mining und Profiling „unter grundlegenden, unvermeidlichen Mängeln leiden, die große Risiken für die Rechte und Freiheiten des Einzelnen darstellen“. Er hat vier Hauptanliegen:
● T.Die Kombination eines großen Datensatzes mit einer geringen Anzahl „schwerer Krimineller“ wird zu „Zehntausenden von „falsch positiven Ergebnissen““ führen, an denen unschuldige Menschen beteiligt sind
● R.Regeln und Gesetze schützen betroffene Personen nicht vor diskriminierenden Ergebnissen der Profilerstellung
Ich binEs ist unmöglich, die Ergebnisse einer solchen Verarbeitung in Frage zu stellen, da die Algorithmen aufgrund ihrer maschinellen Lernnatur kontinuierlich und dynamisch geändert werden
● T.Die Ergebnisse der Profilerstellung und des Data Mining sind nicht Gegenstand wissenschaftlicher Tests und Audits und werden es wahrscheinlich auch nie sein.
Europäische Heuchelei
Die Parallelen zwischen Snowdens Enthüllungen zur NSA- und GCHQ-Überwachung und dem aktuellen Verhalten von Europol gehen Korff nicht verloren. „Durch nachfolgende Untersuchungen und Enthüllungen ist klar geworden“, schreibt er, „dass das Aufsaugen von Daten (insbesondere E-Kommunikationsdaten) in großen Mengen durch die US-amerikanische National Security Agency, NSA, in enger Zusammenarbeit mit ihrem britischen Gegenstück, Großbritannien, erfolgt Das Government Communications Headquarters, GCHQ, diente genau den oben genannten Zwecken: die massiven Datensätze zu analysieren und zu filtern, um zu versuchen, Personen ausfindig zu machen – zu „identifizieren“, die in schändliche Aktivitäten „möglicherweise“ verwickelt sind (oder nur „möglicherweise“. ' 'von Interesse' für politische oder andere Zwecke).“
The Guardian formulierte es prägnanter: „Während Europol in Bezug auf die technologische Kapazität hinter den USA zurückbleibt, ist es auf dem gleichen Weg wie die NSA.“
In einem separaten Studie von Korff und Ian Brown (CyberBRICS-Gastprofessor an der juristischen Fakultät der Fundação Getulio Vargas (FGV) in Rio de Janeiro, Brasilien), im Auftrag des Europäischen Parlaments, schrieben die Autoren: „Eine zutreffendere Behauptung der Heuchelei kann gegen die EU erhoben werden und der EU-Mitgliedstaaten in Bezug auf die tatsächliche Einhaltung entweder der EGMR- oder der EuGH-Standards … die Überwachungsgesetze und -praktiken in vielen EU-Mitgliedstaaten würden die Tests, die auf die Gesetze und Praktiken der USA in Schrems II angewendet werden, eindeutig nicht bestehen.“
Was als nächstes?
Der EDSB hat seine Entscheidung getroffen, und Europol muss Teile seines Datensees abbauen und den Rest kontrollieren. „Jede Klage gegen eine Entscheidung des EDSB kann innerhalb von zwei Monaten vor dem Gerichtshof der Europäischen Union erhoben werden“, heißt es in der Entscheidung des EDSB. Das scheint endgültig zu sein. Problem gelöst.
Aber ist es? Seit Beginn der EDSB-Untersuchung hat Europol Ausflüchte gemacht, Fristverlängerungen beantragt und Angelegenheiten hinausgezögert. Wahrscheinlich hofft sie, die Aktivierung der EDSB-Entscheidung zu verzögern.
Der Guardian zitiert die EU-Kommissarin für Inneres, Ylva Johansson: „Strafverfolgungsbehörden brauchen die Werkzeuge, Ressourcen und die Zeit, um Daten zu analysieren, die ihnen rechtmäßig übermittelt werden“, sagte sie. „Europol ist in Europa die Plattform, die die nationalen Polizeibehörden bei dieser Herkulesaufgabe unterstützt.“
Der Guardian fügt hinzu: „Letztes Jahr schlug [die Europäische Kommission] weitreichende Änderungen an der Verordnung vor, die die Befugnisse von Europol untermauert. Wenn die Vorschläge gesetzlich verankert werden, könnten sie den Daten-Cache rückwirkend legalisieren und seinen Inhalt als Testgelände für neue Tools für KI und maschinelles Lernen erhalten.“
Wenn Europol die Dinge lange genug hinauszögern kann, stellt es möglicherweise fest, dass seine derzeit illegalen Aktivitäten plötzlich legal geworden sind, und es kann weitermachen, wie es will. Denken Sie daran, dass die Europäische Kommission das Zentrum der europäischen politischen Macht ist und ihre Mitglieder von den Regierungen der Mitgliedsstaaten nominiert werden, die die vorausschauende Strafverfolgung nicht einschränken wollen, ungeachtet der Kosten für die Privatsphäre.
Es scheint sehr wahrscheinlich, dass die europäische Heuchelei in Bezug auf den Schutz personenbezogener Daten auf unbestimmte Zeit anhält.
Verbunden: DSGVO-Bußgelder stiegen im Jahr 1.25 um das Siebenfache auf 2021 Milliarden US-Dollar: Studie
Verbunden: Europäische Polizei greift nach dem Knacken des Krimi-Chat-Netzwerks zu
Verbunden: Facebook, DSGVO und Max Schrems – Unter der Haube der DSGVO-Rechtsprozesse
Verbunden: Österreichische Aufsichtsbehörde sagt, Google Analytics verstoße gegen die DSGVO
Kevin Townsend ist Senior Contributor bei SecurityWeek. Er schreibt schon vor der Geburt von Microsoft über High-Tech-Themen. In den letzten 15 Jahren hat er sich auf Informationssicherheit spezialisiert; und hat viele tausend Artikel in Dutzenden verschiedener Zeitschriften veröffentlicht – von der Times und der Financial Times bis hin zu aktuellen und längst vergangenen Computerzeitschriften.
Stichworte:
