• @cdb_77
    CDB_77

    The Hellenic Data Protection Authority fines the Ministry of Migration and Asylum for the “Centaurus” and “Hyperion” systems with the largest penalty ever imposed to a Greek public body

    Two years ago, in February 2022, Homo Digitalis had filed (https://homodigitalis.gr/en/posts/10874) a complaint against the Ministry of Immigration and Asylum for the “#Centaurus” and “#Hyperion” systems deployed in the reception and accommodation facilities for asylum seekers, in cooperation with the civil society organizations Hellenic League for Human Rights and HIAS Greece, as well as the academic Niovi Vavoula.

    Today, the Hellenic Data Protection Authority identified significant GDPR violations in this case by the Ministry of Immigration and Asylum and decided to impose a fine of €175.000 euro – the highest ever imposed against a public body in the country.

    The detailed analysis of the GDPR highlights the significant shortcomings that the Ministry of Immigration and Asylum had fallen into in the context of preparing a comprehensive and coherent Data Protection Impact Assessment, and demonstrates the significant violations of the GDPR that have been identified and relate to a large number of subjects who have a real hardship in being able to exercise their rights.

    Despite the fact that the DPA remains understaffed, with a reduced budget, facing even the the risk of eviction from its premises, it manages to fulfil its mission and maintain citizens’ trust in the Independent Authorities. It remains to be seen how long the DPA will last if the state does not stand by its side.

    Of course, nothing ends here. A high fine does not in itself mean anything. The Ministry of Immigration and Asylum must comply within 3 months with its obligations. However, the decision gives us the strength to continue our actions in the field of border protection in order to protect the rights of vulnerable social groups who are targeted by highly intrusive technologies.

    You can read our press release here: https://homodigitalis.gr/wp-content/uploads/2024/04/PressRelease_%CE%97omoDigitalis_Fine-175.000-euro_Hellenic_Data_Protec

    You can read Decision 13/2024 on the Authority’s website here: https://www.dpa.gr/el/enimerwtiko/prakseisArxis/aytepaggelti-ereyna-gia-tin-anaptyxi-kai-egkatastasi-ton-programmaton

    https://homodigitalis.gr/en/posts/132195

    #Grèce #surveillance #migrations #réfugiés #justice #amende #RGDP #données #protection_des_données #camps_de_réfugiés #technologie

    CDB_77
    • @cdb_77
      CDB_77

      Griechenland soll Strafe für Überwachung in Grenzcamps zahlen

      Wie weit darf die EU bei der Überwachung von Asylsuchenden an ihren Grenzen gehen? Griechenland testet das in neuen Lagern auf den Ägäischen Inseln. Nun hat die griechische Datenschutzbehörde dafür eine Strafe verhängt. Bürgerrechtler:innen hoffen auf eine Entscheidung mit Signalwirkung.

      Doppelter „Nato-Sicherheitszaun“ mit Stacheldraht. Kameras, die selbst den Basketballplatz und die Gemeinschaftsräume rund um die Uhr im Blick haben. Drohnen sorgen für Überwachung aus der Luft. Das Lager auf Samos, das die griechische Regierung 2021 mit viel Getöse eröffnet hat, gleicht eher einem Gefängnis als einer Erstaufnahme für Asylsuchende, die gerade in Europa gelandet sind.

      Das Überwachungssystem, das in diesem und vier weiteren Lagern auf den griechischen Inseln für „Sicherheit“ sorgen soll, heißt Centaurus. Die Bilder aus den Sicherheitskameras und Drohnen laufen in einem Kontrollzentrum im Ministerium in Athen zusammen. Bei besonderen Situationen sollen auch Polizeibehörden oder die Feuerwehr direkten Zugang zu den Aufnahmen bekommen. Mit dem System Hyperion wird der Zugang zum Lager kontrolliert: biometrischen Eingangstore, die sich nur mit Fingerabdrücken öffnen lassen.

      Für den Einsatz dieser Technologien ohne vorherige Grundrechtsprüfung hat das Ministerium nun eine Strafe kassiert. Die griechische Datenschutzaufsicht sieht einen Verstoß gegen Datenschutzgesetze in der EU (DSGVO). In einem lang erwarteten Beschluss belegte sie vergangene Woche das Ministerium für Migration und Asyl mit einem Bußgeld von 175.000 Euro.
      Erst eingesetzt, dann Folgen abgeschätzt

      Zwei konkrete Punkte führten laut Datenschutzbehörde zu der Entscheidung: Das Ministerium hat es versäumt, rechtzeitig eine Datenschutz-Folgenabschätzung zu erstellen. Gemeint ist damit eine Bewertung, welche Auswirkungen der Einsatz der Überwachung auf die Grundrechte der betroffenen Personen hat. Es geht um die Asylsuchenden, die in den Lagern festgehalten werden, aber auch Angestellte, Mitarbeitende von NGOs oder Gäste, die das Lager betreten.

      Eine solche Abschätzung hätte bereits vor der Anschaffung und dem Einsatz der Technologien vollständig vorliegen müssen, schreibt die Aufsichtsbehörde in ihrer Entscheidung. Stattdessen ist sie bis heute unvollständig: Ein Verstoß gegen die Artikel 25 und 35 der Datenschutzgrundverordnung, für die die Behörde eine Geldbuße in Höhe von 100.000 Euro verhängt.

      Zusätzlich wirft die Behörde dem Ministerium Intransparenz vor. Dokumente hätten beispielsweise verwirrende und widersprüchliche Angaben enthalten. Verträge mit den Unternehmen, die die Überwachungssysteme betreiben, hätte das Ministerium mit Verweis auf Geheimhaltung gar nicht herausgegeben, und damit auch keine Details zu den Bedingungen, zu denen die Daten verarbeitet werden. Wie diese Systeme mit anderen Datenbanken etwa zur Strafverfolgung verknüpft sind, ob also Aufnahmen und biometrische Daten auch bei der Polizei landen könnten, das wollte das Ministerium ebenfalls nicht mitteilen. Dafür verhängte die Aufsichtsbehörde weitere 75.000 Euro Strafe.
      Ministerium: Systeme noch in der Testphase

      Das Ministerium rechtfertigt sich: Centaurus und Hyperion seien noch nicht vollständig in Betrieb, man befinde sich noch in der Testphase. Die Aufsichtsbehörde habe nicht bedacht, dass „die Verarbeitung personenbezogener Daten nicht bewertet werden konnte, bevor die Systeme in Betrieb genommen wurden“. Hinzu kämen Pflichten zur Geheimhaltung, die sich aus den Verträgen mit den Unternehmen hinter den beiden Systemen ergeben.

      Die Behörde hat das nicht durchgehen lassen: Rein rechtlich mache es keinen Unterschied, ob ein System noch getestet wird oder im Regelbetrieb sei, schriebt sie in ihrer Entscheidung. Die Abschätzung hätte weit vorher, nämlich bereits bei Abschluss der Verträge, vorliegen müssen. Noch dazu würden diese Verstöße eine große Zahl an Menschen betreffen, die sich in einer besonders schutzlosen Lage befänden.

      Abschalten muss das Ministerium die Überwachungssysteme allerdings nicht, sie bleiben in Betrieb. Es muss lediglich binnen drei Monaten den Forderungen nachkommen und fehlende Unterlagen liefern. Das Ministerium kündigt an, die Entscheidung rechtlich überprüfen und möglicherweise anfechten zu wollen.
      Geheimhaltungspflicht keine Ausrede

      „Die Entscheidung ist sehr wichtig, weil sie einen sehr hohen Standard dafür setzt, wann und wie eine Datenschutz-Folgenabschätzung erfolgreich durchgeführt werden muss, sogar vor der Auftragsvergabe“, sagt Eleftherios Helioudakis. Er ist Anwalt bei der griechischen Organisation Homo Digitalis und beschäftigt sich mit den Auswirkungen von Technologien auf Menschenrechte. Eine Beschwerde von Homo Digitalis und weiteren Vereinen aus dem Jahr 2022 hatte die Untersuchung angestoßen.

      Helioudakis sagt, die Entscheidung mache deutlich, dass mangelnde Kommunikation mit der Datenschutzbehörde zu hohen Geldstrafen führen kann. Außerdem sei nun klar: Das Ministerium kann Vertragsklauseln zum Datenschutz nicht aus Gründen der Geheimhaltung vor der Datenschutzbehörde verbergen, denn für deren Untersuchungen ist die Geheimhaltungspflicht aufgehoben – wie es die DSGVO vorsieht. Das Urteil der Behörde beziehe sich zudem erst mal nur auf die Mängel bei der Einführung der Systeme, so der Bürgerrechtler. Es könnten also neue Fälle bei der Datenschutzbehörde anhängig gemacht werden.

      Die Sanktionen sind laut der Hilfsorganisation Hias die höchsten, die die Datenschutzbehörde je gegen den griechischen Staat verhängt hat. In der Summe fallen die Strafzahlungen allerdings gering aus. Sind die Datenschutzregeln der EU wirklich das geeignete Instrument, um die Rechte von Asylsuchenden zu schützen? Eleftherios Helioudakis sagt ja. „Die gesetzlichen Bestimmungen der Datenschutz-Grundverordnung sind Instrumente, mit denen wir die Bestimmungen zum Schutz personenbezogener Daten praktisch durchsetzen können.“ Es gebe keine richtigen und falschen Ansätze. „Wir können die uns zur Verfügung stehenden juristischen Instrumente nutzen, um unsere Strategie zu bündeln und uns gegen übergriffige Praktiken zu wehren.“

      Die Lager auf den Ägäischen Inseln werden vollständig von der EU finanziert und gelten als „Modell“. Nach ihrem Vorbild plant die EU in den kommenden Jahren weitere Lager an ihren Außengrenzen zu errichten. Die Entscheidung der griechischen Datenschutzaufsicht wird von der Kommission vermutlich mit Interesse verfolgt. Sie macht deutlich, unter welchen Voraussetzungen Überwachungstechnologien in diesen Camps eingesetzt werden können.

      https://netzpolitik.org/2024/panopticon-fuer-gefluechtete-griechenland-soll-strafe-fuer-ueberwachung

      CDB_77
    Écrire un commentaire
  • @klaus
    klaus++
    1
    @spip
    1

    Vortrag zur Datenschutzgrundverordnung (EU DSGVO) – Hostsharing eG – die Hosting-Genossenschaft
    https://www.hostsharing.net/blog/2018/03/20/vortrag-zur-datenschutzgrundverordnung-dsgvo

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen und juristischen Normen im internationalen Umfeld auszeichnet. Die EU DSGVO schafft hierfür erstmals einen einheitlichen Rechts- und Durchsetzungsraum innerhalb der EU, allerdings zu dem Preis oftmals sehr unbestimmter, stark auslegungsbedürftiger Rechtstexte als Ergebnis eines langwierigen politischen Kompromisses.
    EU-DSGVO Checkliste

    Im Anschluss daran wies Martin Weigele auf einige Punkte hin, die in einer Datenschutz-Checkliste nicht fehlen sollten.
    Gültigkeit klären

    Zunächst ist zu klären, ob die Datenverarbeitung überhaupt von der EU DSGVO betroffen ist. Denn die Verordnung gilt grundsätzlich für personenbezogene Daten im Zusammenhang mit Waren- und Dienstleistungsangeboten innerhalb der EU.

    Bei rein privaten Zwecken ist eine Gültigkeit nicht von vorne herein anzunehmen. Eine genaue Abgrenzung muss die Rechtsprechung übernehmen.
    Rollen prüfen

    Wichtig ist bei der konkreten Anwendung vor allem, sich die jeweiligen Rollen bei der Verarbeitung personenbezogener Daten, wie etwa Betroffener, oder Verantwortlicher, je nach konkretem Datenverarbeitungsvorgang klar zu machen. Daneben kennt die Verordnung auch den Auftragsverarbeiter und die gemeinsam Verantwortlichen.

    Eine Definition dieser Rollen findet man in der Verordnung selbst, u.a. in Artikel 4 EU DSGVO
    Erlaubte Rechtfertigungsgründe prüfen
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern

    Ausgehend von der Klärung dieser Rollen ist der Grundsatz, wie schon beim Bundesdatenschutzgesetz, das Verbot der Verarbeitung personenbezogener Daten. Es müssen deshalb stets die erlaubten Rechtfertigungsgründe abgeprüft werden.

    Was sind solche Gründe neben der (widerruflich) erklärten Einwilligung des Betroffenen?

    Hier kommen zunächst einmal gesetzliche Regelungen oder geschlossene Verträge in Frage.

    In einem Vertragsverhältnis dürfen die für seine Erfüllung erforderlichen Daten natürlich auch verarbeitet werden.

    Beispiele für gesetzliche Gründe sind gesetzliche Pflichten zur Erhebung oder Aufbewahrung von Sozialversicherungs- oder steuerlichen Daten oder Aufbewahrungspflichten zu geschäftlicher Korrespondenz, also auch E-Mails, nach dem Handelsgesetzbuch.

    Zur Gefahrenabwehr dürfte in der dritten Erlaubniskategorie, dem Vorliegen eines berechtigten Interesses, das gegenüber den Interessen des Betroffenen überwiegt, die zeitweise Speicherung von IP-Adressen von Webseitenbesuchern zulässig sein.

    Der Bundesgerichtshof hat im vergangenen Jahr entschieden, dass IP-Adressen von Webseitenbesuchern personenbezogene Daten sind, weil die dazugehörigen Betroffenen im Rahmen von rechtlichen Verfahren ans Tageslicht kommen können. Somit bedarf es für Logfiles einer rechtlichen Rechtfertigung.
    Auftragsdatenverarbeitung bzw. Auftragsverarbeitung

    Eine Besonderheit stellt die DGSVO-Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) dar, die es prinzipiell ermöglicht, auch ohne Vorliegen solcher Gründe personenbezogene Daten zu verarbeiten. Dafür müssen beim Auftraggeber die genannten Rechtfertigungsgründe vorliegen. Allerdings treffen den Auftragsverarbeiter erweiterte Sorgfalts- und Haftungspflichten gegenüber der früheren Regelung.

    Diese Spielart dürfte aber bei selbstgestaltetem Hosting, bei dem die Datenverarbeitungstätigkeit auch technisch weitgehend selbst kontrolliert wird, meist keine große Rolle spielen. Hier muss allerdings die Entwicklung der Rechtsprechung genau beobachtet werden.
    Betroffenenrechte

    Im Anschluss erläuterte Weigele die Rechte der Betroffenen. Diese sind vor Informationsrechte (Art. 13 und 14 DSGVO) , Werbe-Einwilligungerklärungen (Art. 7 und 13 DSGVO), die Einrichtung eines Auskunftsverfahren für Betroffene (Art. 15 in Verbindung mit Art. 12 DSGVO), das Recht auf eine Berichtigung von Daten und ihre Löschung (Art. 16 und 17 DSGVO), das Recht einer Speicherung zu widersprechen (Art. 21 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
    Risikomanagement, Datenschutz-Folgenabschätzung, Meldepflichten

    Ferner erklärte er, welche Faktoren in einem datenschutzrechtlichen Risikomanagement beachtet werden müssen. Hier gilt es vor allem den Nachweispflichten zu entsprechen.

    In bestimmten Fällen sind Datenverarbeiter sogar zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet.

    Und schließlich müssen Prozesse implementiert werden, durch die sichergestellt wird, dass Datenschutzverletzungen erkannt und rechtzeitig der zuständigen Datenschutzbehörde gemeldet werden.

    Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL
    https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-profess

    Microsoft : EU-Datenschutz-Grundverordnung : Sind Sie vorbereitet ?
    https://www.microsoft.com/de-de/aktion/IT-Sicherheit/eu-datenschutz-grundverordnung.aspx

    Ab dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) Anwendung (international bezeichnet als General Data Protection Regulation, kurz GDPR). Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit Personen in der Union erfassen und analysieren.

    Durch den neuen gemeinsamen und gemeinschaftlichen Datenschutzstandard soll das Schutzniveau insgesamt angehoben und länderübergreifend verbessert werden; zudem bietet er Vorteile im EU-weiten Warenverkehr. Das Ziel hinter der DSGVO ist ein EU-weit einheitliches Schutzniveau für personenbezogene Daten natürlicher Personen in der Union.

    Organisationen sollten jetzt die erforderlichen Schritte einleiten, um ihre Compliance mit der DSGVO zu sichern.

    #SPIP et le RGPD
    https://contrib.spip.net/SPIP-et-le-RGPD

    #RGDP #DSGVO

    klaus++
    Écrire un commentaire