Griechenland soll Strafe für Überwachung in Grenzcamps zahlen

/panopticon-fuer-gefluechtete-griechenla

  • @cdb_77
    CDB_77

    The Hellenic Data Protection Authority fines the Ministry of Migration and Asylum for the “Centaurus” and “Hyperion” systems with the largest penalty ever imposed to a Greek public body

    Two years ago, in February 2022, Homo Digitalis had filed (https://homodigitalis.gr/en/posts/10874) a complaint against the Ministry of Immigration and Asylum for the “#Centaurus” and “#Hyperion” systems deployed in the reception and accommodation facilities for asylum seekers, in cooperation with the civil society organizations Hellenic League for Human Rights and HIAS Greece, as well as the academic Niovi Vavoula.

    Today, the Hellenic Data Protection Authority identified significant GDPR violations in this case by the Ministry of Immigration and Asylum and decided to impose a fine of €175.000 euro – the highest ever imposed against a public body in the country.

    The detailed analysis of the GDPR highlights the significant shortcomings that the Ministry of Immigration and Asylum had fallen into in the context of preparing a comprehensive and coherent Data Protection Impact Assessment, and demonstrates the significant violations of the GDPR that have been identified and relate to a large number of subjects who have a real hardship in being able to exercise their rights.

    Despite the fact that the DPA remains understaffed, with a reduced budget, facing even the the risk of eviction from its premises, it manages to fulfil its mission and maintain citizens’ trust in the Independent Authorities. It remains to be seen how long the DPA will last if the state does not stand by its side.

    Of course, nothing ends here. A high fine does not in itself mean anything. The Ministry of Immigration and Asylum must comply within 3 months with its obligations. However, the decision gives us the strength to continue our actions in the field of border protection in order to protect the rights of vulnerable social groups who are targeted by highly intrusive technologies.

    You can read our press release here: https://homodigitalis.gr/wp-content/uploads/2024/04/PressRelease_%CE%97omoDigitalis_Fine-175.000-euro_Hellenic_Data_Protec

    You can read Decision 13/2024 on the Authority’s website here: https://www.dpa.gr/el/enimerwtiko/prakseisArxis/aytepaggelti-ereyna-gia-tin-anaptyxi-kai-egkatastasi-ton-programmaton

    https://homodigitalis.gr/en/posts/132195

    #Grèce #surveillance #migrations #réfugiés #justice #amende #RGDP #données #protection_des_données #camps_de_réfugiés #technologie

    CDB_77
    • @cdb_77
      CDB_77

      Griechenland soll Strafe für Überwachung in Grenzcamps zahlen

      Wie weit darf die EU bei der Überwachung von Asylsuchenden an ihren Grenzen gehen? Griechenland testet das in neuen Lagern auf den Ägäischen Inseln. Nun hat die griechische Datenschutzbehörde dafür eine Strafe verhängt. Bürgerrechtler:innen hoffen auf eine Entscheidung mit Signalwirkung.

      Doppelter „Nato-Sicherheitszaun“ mit Stacheldraht. Kameras, die selbst den Basketballplatz und die Gemeinschaftsräume rund um die Uhr im Blick haben. Drohnen sorgen für Überwachung aus der Luft. Das Lager auf Samos, das die griechische Regierung 2021 mit viel Getöse eröffnet hat, gleicht eher einem Gefängnis als einer Erstaufnahme für Asylsuchende, die gerade in Europa gelandet sind.

      Das Überwachungssystem, das in diesem und vier weiteren Lagern auf den griechischen Inseln für „Sicherheit“ sorgen soll, heißt Centaurus. Die Bilder aus den Sicherheitskameras und Drohnen laufen in einem Kontrollzentrum im Ministerium in Athen zusammen. Bei besonderen Situationen sollen auch Polizeibehörden oder die Feuerwehr direkten Zugang zu den Aufnahmen bekommen. Mit dem System Hyperion wird der Zugang zum Lager kontrolliert: biometrischen Eingangstore, die sich nur mit Fingerabdrücken öffnen lassen.

      Für den Einsatz dieser Technologien ohne vorherige Grundrechtsprüfung hat das Ministerium nun eine Strafe kassiert. Die griechische Datenschutzaufsicht sieht einen Verstoß gegen Datenschutzgesetze in der EU (DSGVO). In einem lang erwarteten Beschluss belegte sie vergangene Woche das Ministerium für Migration und Asyl mit einem Bußgeld von 175.000 Euro.
      Erst eingesetzt, dann Folgen abgeschätzt

      Zwei konkrete Punkte führten laut Datenschutzbehörde zu der Entscheidung: Das Ministerium hat es versäumt, rechtzeitig eine Datenschutz-Folgenabschätzung zu erstellen. Gemeint ist damit eine Bewertung, welche Auswirkungen der Einsatz der Überwachung auf die Grundrechte der betroffenen Personen hat. Es geht um die Asylsuchenden, die in den Lagern festgehalten werden, aber auch Angestellte, Mitarbeitende von NGOs oder Gäste, die das Lager betreten.

      Eine solche Abschätzung hätte bereits vor der Anschaffung und dem Einsatz der Technologien vollständig vorliegen müssen, schreibt die Aufsichtsbehörde in ihrer Entscheidung. Stattdessen ist sie bis heute unvollständig: Ein Verstoß gegen die Artikel 25 und 35 der Datenschutzgrundverordnung, für die die Behörde eine Geldbuße in Höhe von 100.000 Euro verhängt.

      Zusätzlich wirft die Behörde dem Ministerium Intransparenz vor. Dokumente hätten beispielsweise verwirrende und widersprüchliche Angaben enthalten. Verträge mit den Unternehmen, die die Überwachungssysteme betreiben, hätte das Ministerium mit Verweis auf Geheimhaltung gar nicht herausgegeben, und damit auch keine Details zu den Bedingungen, zu denen die Daten verarbeitet werden. Wie diese Systeme mit anderen Datenbanken etwa zur Strafverfolgung verknüpft sind, ob also Aufnahmen und biometrische Daten auch bei der Polizei landen könnten, das wollte das Ministerium ebenfalls nicht mitteilen. Dafür verhängte die Aufsichtsbehörde weitere 75.000 Euro Strafe.
      Ministerium: Systeme noch in der Testphase

      Das Ministerium rechtfertigt sich: Centaurus und Hyperion seien noch nicht vollständig in Betrieb, man befinde sich noch in der Testphase. Die Aufsichtsbehörde habe nicht bedacht, dass „die Verarbeitung personenbezogener Daten nicht bewertet werden konnte, bevor die Systeme in Betrieb genommen wurden“. Hinzu kämen Pflichten zur Geheimhaltung, die sich aus den Verträgen mit den Unternehmen hinter den beiden Systemen ergeben.

      Die Behörde hat das nicht durchgehen lassen: Rein rechtlich mache es keinen Unterschied, ob ein System noch getestet wird oder im Regelbetrieb sei, schriebt sie in ihrer Entscheidung. Die Abschätzung hätte weit vorher, nämlich bereits bei Abschluss der Verträge, vorliegen müssen. Noch dazu würden diese Verstöße eine große Zahl an Menschen betreffen, die sich in einer besonders schutzlosen Lage befänden.

      Abschalten muss das Ministerium die Überwachungssysteme allerdings nicht, sie bleiben in Betrieb. Es muss lediglich binnen drei Monaten den Forderungen nachkommen und fehlende Unterlagen liefern. Das Ministerium kündigt an, die Entscheidung rechtlich überprüfen und möglicherweise anfechten zu wollen.
      Geheimhaltungspflicht keine Ausrede

      „Die Entscheidung ist sehr wichtig, weil sie einen sehr hohen Standard dafür setzt, wann und wie eine Datenschutz-Folgenabschätzung erfolgreich durchgeführt werden muss, sogar vor der Auftragsvergabe“, sagt Eleftherios Helioudakis. Er ist Anwalt bei der griechischen Organisation Homo Digitalis und beschäftigt sich mit den Auswirkungen von Technologien auf Menschenrechte. Eine Beschwerde von Homo Digitalis und weiteren Vereinen aus dem Jahr 2022 hatte die Untersuchung angestoßen.

      Helioudakis sagt, die Entscheidung mache deutlich, dass mangelnde Kommunikation mit der Datenschutzbehörde zu hohen Geldstrafen führen kann. Außerdem sei nun klar: Das Ministerium kann Vertragsklauseln zum Datenschutz nicht aus Gründen der Geheimhaltung vor der Datenschutzbehörde verbergen, denn für deren Untersuchungen ist die Geheimhaltungspflicht aufgehoben – wie es die DSGVO vorsieht. Das Urteil der Behörde beziehe sich zudem erst mal nur auf die Mängel bei der Einführung der Systeme, so der Bürgerrechtler. Es könnten also neue Fälle bei der Datenschutzbehörde anhängig gemacht werden.

      Die Sanktionen sind laut der Hilfsorganisation Hias die höchsten, die die Datenschutzbehörde je gegen den griechischen Staat verhängt hat. In der Summe fallen die Strafzahlungen allerdings gering aus. Sind die Datenschutzregeln der EU wirklich das geeignete Instrument, um die Rechte von Asylsuchenden zu schützen? Eleftherios Helioudakis sagt ja. „Die gesetzlichen Bestimmungen der Datenschutz-Grundverordnung sind Instrumente, mit denen wir die Bestimmungen zum Schutz personenbezogener Daten praktisch durchsetzen können.“ Es gebe keine richtigen und falschen Ansätze. „Wir können die uns zur Verfügung stehenden juristischen Instrumente nutzen, um unsere Strategie zu bündeln und uns gegen übergriffige Praktiken zu wehren.“

      Die Lager auf den Ägäischen Inseln werden vollständig von der EU finanziert und gelten als „Modell“. Nach ihrem Vorbild plant die EU in den kommenden Jahren weitere Lager an ihren Außengrenzen zu errichten. Die Entscheidung der griechischen Datenschutzaufsicht wird von der Kommission vermutlich mit Interesse verfolgt. Sie macht deutlich, unter welchen Voraussetzungen Überwachungstechnologien in diesen Camps eingesetzt werden können.

      https://netzpolitik.org/2024/panopticon-fuer-gefluechtete-griechenland-soll-strafe-fuer-ueberwachung

      CDB_77
    Écrire un commentaire