Pegasus – Spyware, die das Gesetz in Frage stellt.

Legal Watch Nr. 37 – Juli 2021

Pegasus – Spyware, die das Gesetz in Frage stelltIm Juli enthüllte das Pegasus-Projekt die beispiellose Überwachungswirkung israelischer Spyware, die Smartphones mit iOS oder Android abhören und Daten von ihnen extrahieren kann.

Dies ist das Ergebnis einer internationalen Untersuchung der NGO Forbidden Stories mit Unterstützung von Amnesty International und dem Citizen Lab der Universität Toronto sowie 17 großen internationalen Medien, darunter Le Monde und The Guardian.

Zwar wurde in der Vergangenheit bereits über die Software gesprochen, doch aktuelle Informationen ermöglichen ein besseres Verständnis des Ausmaßes der Überwachung, die ohne das Wissen der Smartphone-Benutzer möglich ist.

Berichten zufolge wurden rund 50.000 Zieltelefonnummern ausgewählt, darunter tausend in Frankreich, die sich auf Akteure der Zivilgesellschaft, Journalisten und Politiker beziehen.

Zu den 55 Ländern, die als Kunden von NSO, das die Software vertreibt, aufgeführt sind, gehören Saudi-Arabien, die Vereinigten Arabischen Emirate, Indien, Ungarn, Ruanda, Mexiko und Kasachstan.

NSO gibt an, einer strengen Ethikpolitik zu folgen und nur zum Zwecke der Bekämpfung von Kriminalität, Terrorismus, Drogenhandel und Pädophilie mit Geheimdiensten und Strafverfolgungsbehörden zusammenzuarbeiten.

Diese Vorwürfe sowie die Zusicherungen des Softwareeigentümers werfen praktische und rechtliche Fragen auf.

Selbst wenn Garantien bereits im Vorfeld der Vermarktung übernommen werden, welche Mittel gibt es tatsächlich, um die Einhaltung des Vertragsrahmens zwischen NSO und seinen offiziellen Kunden sowie dessen Verwendung durch Unbefugte und beispielsweise gegen politische oder zivilgesellschaftliche „Ziele“ sicherzustellen?

Der besonders aufdringliche und nicht nachweisbare Charakter dieser Technologie wirft Fragen zur Regulierung von Überwachungstechniken im internationalen und europäischen Kontext auf.

In Europa verfügen die Strafverfolgungsbehörden zwar über spezifische Ermittlungsbefugnisse, diese sind jedoch durch die DSGVO und die nationalen Gesetze zur Umsetzung der europäischen „Polizei-Justiz“-Richtlinie vom 27. April 2016 streng geregelt.

In Frankreich ist dies Kapitel XIII des Datenschutzgesetzes.

Die Datenverarbeitung, die insbesondere von der Staatssicherheit oder der Landesverteidigung durchgeführt wird, ist vom Anwendungsbereich der europäischen Richtlinie ausgenommen, unterliegt in Frankreich jedoch weiterhin dem Datenschutzgesetz.

Das heimliche Einschleusen von Spyware in Computersysteme kann nur unter bestimmten gesetzlichen Bestimmungen genehmigt werden.

Die Angelegenheit wird durch die Gesetze Nr. 2015-912 vom 24. Juli 2015 in Bezug auf Geheimdienste und Nr. 2017-1510 vom 30. Oktober 2017, bekannt als SILT-Gesetz, geregelt.

Die CNIL weist außerdem darauf hin, dass Elemente vorliegen müssen, die eine konkrete Bedrohung der körperlichen Unversehrtheit, des Lebens oder der Freiheit von Personen oder einen Angriff auf die grundlegenden Interessen der Nation darstellen.

Gelten die gesetzlichen Grundsätze, so hat die CNIL hingegen keine Kontrollbefugnis über die Umsetzung von Geheimdienstdateien.

In seinen jüngsten Stellungnahmen zum Gesetzentwurf zur Terrorprävention und Aufklärung (über den nun abgestimmt wird) bekräftigte es seine Forderung, seine Kontrollbefugnisse in einer an neue Ermittlungstechniken angepassten Weise ausüben zu können.

Sie forderte außerdem eine Stärkung der Befugnisse der Intelligence Techniques Control Commission (CNCTR).

Sowohl die CNIL als auch der Europäische Datenschutzausschuss betonen die Bedeutung einer wirksamen Aufsicht im Bereich der Geheimdienste und der Staatssicherheit, insbesondere im Kontext einer zunehmend aufdringlichen Datenverarbeitung in Verbindung mit der Entwicklung hochmoderner Technologien, die Grenzen ignorieren.

Diese Anforderungen gehören zu den Kriterien, die der Ausschuss in seinen jüngsten Empfehlungen zu den wesentlichen Garantien nennt, die Drittländer der EU im Bereich der Überwachung bieten müssen.

Ihr Ziel besteht darin, europäische Daten bei einer internationalen Übermittlung vor unverhältnismäßigen Eingriffen zu schützen.

Angesichts der zunehmenden Leichtigkeit, mit der Kommunikationsdaten abgefangen werden können, stellen sich grundlegendere Fragen zu den technischen Maßnahmen, die zur Begrenzung dieser Risiken ergriffen werden sollten.

In seiner Pressemitteilung vom 9. März 2021 zur „ePrivacy“-Verordnung betont der Europäische Ausschuss die Notwendigkeit der Wahrung der Datenvertraulichkeit im gesamten Kommunikationsprozess und der Datenverschlüsselung.

In diesem Zusammenhang stellt sich die Frage, ob es ratsam ist, „Hintertüren“ in Kommunikationsterminals für Geheimdienstzwecke beizubehalten, da die Gefahr besteht, dass es zu einem Anstieg des Missbrauchs und der unkontrollierbaren Aneignung von Daten kommt.

Und auch

Frankreich:

Die CNIL hat ihre Position zur obligatorischen Ausweitung des „Gesundheitspasses“ an bestimmten Orten veröffentlicht.

Ohne dessen Grundsatz in Frage zu stellen, weist es auf die Notwendigkeit hin, dessen Einsatz im Kontext eines nachgewiesenen Gesundheitsnotstands zu beschränken, fordert eine Evaluierung des Systems durch das Parlament im Herbst und unterstreicht die ethischen Aspekte des Problems, die über Fragen des Datenschutzes hinausgehen.

Sie fordert den Gesetzgeber auf, „die Gefahr der Gewöhnung und Trivialisierung solcher Geräte, die die Privatsphäre verletzen und dass es in der Zukunft und möglicherweise auch aus anderen Gründen zu einer Verschiebung hin zu einer Gesellschaft kommt, in der solche Kontrollen die Norm und nicht die Ausnahme wären.“

Auch im Zusammenhang mit der Gesundheitskrise hat die CNIL die Grundsätze bekräftigt, die bei der Übermittlung der Liste ihrer nicht geimpften Patienten an Ärzte zu beachten sind.

Zwei Sanktionen sind erwähnenswert., verhängt von der CNIL am 22. und 28. Juli gegen

• einerseits der AG2R La Mondiale-Gruppe für einen Betrag von 1,75 Millionen Euro wegen Nichteinhaltung der DSGVO-Verpflichtungen hinsichtlich der Datenaufbewahrung und Information natürlicher Personen,
• und auf der anderen Seite der Monsanto Company für einen Betrag von 400.000 Euro, weil er die in einer Lobbying-Datei enthaltenen Personen nicht informiert hatte.

ANSSI und DINSIC veröffentlichen einen Leitfaden, der auf praktische und konkrete Weise erklären soll, wie Agilität und Sicherheit zur sicheren Entwicklung von Projekten und zum Management digitaler Risiken beitragen.

Der Leitfaden bietet Workshop für Workshop schrittweise Unterstützung, konkrete Beispiele und Methodenblätter.

Europa:

Amazon wurde gerade von der luxemburgischen Datenschutzbehörde mit einer Rekordstrafe von 746 Millionen Euro belegt. wegen Nichteinhaltung der Grundsätze der DSGVO, insbesondere wegen gezielter Werbung ohne Einwilligung der betroffenen Personen.

Diese Entscheidung vom 15. Juli folgt der Sammelbeschwerde der Bürgerrechtsvereinigung

La Quadrature du Net reichte bei der französischen Datenschutzbehörde CNIL Beschwerde ein und verwies aufgrund des Standorts des Amazon-Hauptsitzes in Luxemburg auf die luxemburgische Behörde. Das Unternehmen hat angekündigt, gegen diese Entscheidung Berufung einzulegen.

Die niederländische Datenschutzbehörde hat TikTok mit einer Geldstrafe von 750.000 Euro belegt. mangels klarer Informationen über die Datenverarbeitung.

Die nur auf Englisch verfügbaren Informationen galten für Kinder, die Hauptnutzer der Anwendung, als unverständlich.

Internationales:

VEREINIGTE STAATEN: Das National Institute of Standards and Technology (NIST) hat einen Leitfaden zur Identifizierung und Bewältigung von Voreingenommenheit in der künstlichen Intelligenz veröffentlicht: „Ein Vorschlag zur Identifizierung und Bewältigung von Voreingenommenheit in der künstlichen Intelligenz“.

Zoom hat sich bereit erklärt, 85 Millionen US-Dollar zu zahlen, um einen Rechtsstreit in den USA beizulegen.

Ihm wurde vorgeworfen, die Daten seiner Nutzer weiterzugeben und sie nicht vor bestimmten Computerangriffen („Zoombombing“) zu schützen.

Das Unternehmen verpflichtet sich, seine Mitarbeiter im Datenschutz zu schulen und seine Sicherheitsmaßnahmen zu verstärken.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.