Paradebeispiel verfehlter Sicherheitspolitik

Pressemitteilungen

Europäisches Ein- und Ausreisesystem

PRESSEMITTEILUNG – Brüssel, 12. Juli 2017 

Die Abgeordneten des Innen- und Justizausschusses des Europäischen Parlaments stimmen heute (Mittwoch) über die Einigung mit dem Ministerrat über eine Verordnung für ein Europäisches Ein- und Ausreisesystem ab. Das System soll die Reisepassdaten sowie Fingerabdrücke und Gesichts-Scans aller Angehörigen von Drittstaaten erfassen, die regulär in die Europäische Union einreisen oder aus der Europäischen Union ausreisen, und für die Dauer von vier Jahren speichern. Betroffen sein werden vor allem Touristen und Geschäftsleute. Die Grünen/EFA-Abgeordneten werden gegen den Vorschlag stimmen. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses, kritisiert die verfehlte Sicherheitspolitik:

"Das Ein- und Ausreisesystem ist ein Paradebeispiel verfehlter Sicherheitspolitik. Eine Mehrheit aus Konservativen, Sozialdemokraten und Liberalen stellt Touristen und Geschäftsleute unter Generalverdacht. Die anlasslose Erfassung von Fingerabdrücken und Gesichts-Scans kriminalisiert unverdächtige Reisende und ist unverhältnismäßig, wirkungslos und teuer.

Daten werden bereits heute mit dem Schengener Informationssystem abgeglichen, aber nicht dauerhaft gespeichert. Die EU-Mitgliedstaaten sollten die geschätzten Kosten in Höhe von einer Milliarde Euro besser in Ausstattung und EU-weite Kooperation von Polizei und Sicherheitsbehörden investieren, um gegen Verdächtige und Risikopersonen zu ermitteln.“

 

Hintergrund:

Die EU-Datenbank-Agentur LISA in Tallinn soll die Daten für die Dauer von zwei Jahren speichern, die Daten von Reisenden mit abgelaufenem Visum („Overstayers“) sogar für vier Jahre. Zugriff auf die Daten haben EU-weit Strafverfolgungs- und Grenzbehörden. Eine Studie im Auftrag des Europäischen Parlaments veranschlagt die Kosten für das neue System mit einer Milliarde Euro.

Der Juristische Dienst des Europäischen Parlaments kritisiert die Dauer der Datenspeicherung und die Möglichkeit des Zugriffs der Strafverfolgungsbehörden in einem Gutachten als unverhältnismäßig. Die Einigung wird final im Plenum des Europäischen Parlaments abgestimmt.

Jan Philipp Albrecht auf Facebook

Profile
JanAlbrecht Jan Philipp Albrecht

RT @OlafGersemann: Deutsche Firmen werben nicht bei @BreitbartNews (https://t.co/xGHsdSu7yB). Dass Sie noch dabei sind,ist ein Versehen,ode…

19. Aug 2017 Antwort Retweeten Favorit
Datenschutz, Digitalisierung & Netzpolitik

Plattformregulierung - was passiert in der EU?

Datenschutz, Digitalisierung & Netzpolitik

Online-Plattformen sind in aller Munde, ob im Datenschutz, der Telekomregulierung, im Wettbewerbsrecht oder im Urheberrecht. Der Missmut über die Macht und die marktbeherrschende Stellung großer Internetunternehmen wie Facebook, Apple, Amazon oder Google wächst zunehmend. Die Frage wird immer lauter, ob neue digitale Plattformen auch neue regulatorische Instrumente verlangen. In Deutschland gibt es mit dem frisch beschlossenen Netzwerkdurchsetzungsgesetz, das gegen Hate Speech und Fake News auf sozialen Plattformen vorgehen will, ein neues Instrument. Allerdings wird diese neu beschlossene Regelung von vielen scharf als gefährlich für die Meinungsfreiheit kritisiert.

 

Ein klassisches Mittel, Internetplattformen stärker in die Verantwortung nehmen, sind z.B. kartellrechtliche Maßnahmen. Diese sind zwar langwierig, jedoch konnte erst kürzlich ein Erfolg verzeichnet werden, als die EU-Wettbewerbskommissarin Margrethe Vestager eine Rekordstrafe von 2,42 Milliarden Euro gegen Google verhängte. Als europäische Wettbewerbsbehörde wirft die Europäische Kommission Google unter anderem vor, in der Shopping-Suche eigene Dienste zu bevorzugen und damit andere zu benachteiligen.

 

Regulieren oder nicht regulieren - und wenn ja, wie?

In Brüssel ist die Debatte stark vom Wettbewerb zwischen europäischer und amerikanischer Internetwirtschaft geprägt. Hier spielt die Sorge eine Rolle, dass die EU in diesem Wettbewerb abgehängt wird. In einer öffentlichen Konsultation im Herbst 2015, versuchte die Europäische Kommission für das Phänomen „Plattform“ eine Definition zu finden. Die Konsultation ergab, dass viele Betroffene die vorgeschlagene Definition als zu weit gefasst empfanden, um als Grundlage von Regulierung zu dienen. Eine allumfassende Plattformenverordnung wird es von der EU vorerst nicht geben. Stattdessen wird das Thema Plattformen in seinen ganz unterschiedlichen Kontexten beleuchtet.

 

Im Mai 2016 veröffentlichte die Europäische Kommission eine Mitteilung mit dem Titel „Online-Plattformen im digitalen Binnenmarkt Chancen und Herausforderungen für Europa“. Darin werden die wichtigsten Fragen, die bei der Bewertung von Online-Plattformen identifiziert wurden, skizziert. Anstatt einer allumfassenden Verordnung soll branchenspezifisch vorgegangen werden. Die Kommunikation konzentriert sich auf vier Themen:

 

1. Over-the-Top-Player (OTTs), also Dienste, die Inhalte über nicht-traditionelle Übertragungskanäle, sondern über das Internet bereitstellen. Diese neuen Dienste und ihr Verhältnis zur klassischen Telekommunikationsbranche. Hier soll im Rahmen der Telekomregulierung ein „Level Playing Field”, eine Wettbewerbsgleichheit, geschaffen werden.

2. Verantwortung von Plattformen: Dieses Kapitel beschäftigt sich mit der Haftung im Rahmen der E-Commerce-Richtlinie.

3. Vertrauen: Dieses Thema beinhaltet Fragen rund um Datenschutz, Verbraucherschutz und Interoperabilität.

4. Business-to-Business-Transaktionen zwischen Plattformen, Kartellrecht und Streitschlichtung (keine konkreten Schritte geplant).

 

Das Europäische Parlament reagierte auf die Mitteilung der Europäischen Kommission mit einem Initiativbericht der Ausschüsse ITRE und IMCO, der im Mai 2017 im Plenum des Europäischen Parlaments abgestimmt wurde. Die Grünen/EFA-Fraktion konnte dem Bericht letztendlich nicht zustimmen, weil darin auch zahlreiche Aussagen zu repressiven Rechtsdurchsetzungsmaßnahmen gegenüber InternetnutzerInnenn enthalten sind, die von uns abgelehnt werden. Anknüpfungspunkt für eine gute Plattformregulierung sollten vor allem die bessere Anwendung bisheriger Pflichten sowie die Gewährleistung von Transparenz und fairem Wettbewerb durch die Plattformbetreiber sein.

Bis Ende 2017 will die Europäische Kommission eine Initiative gegen missbräuchliche Vertragsklauseln und unlautere Handelspraktiken vorbereiten, die in den Beziehungen zwischen Plattformen und Unternehmen festgestellt wurden.

 

 

Auch lesenswert:

„Internet-Plattformen: Verbieten! Öffnen! Zerschlagen!“, Leonhard Dobusch

 

 

Datenschutz, Digitalisierung & Netzpolitik

IT-Sicherheit gewinnt an Relevanz

Datenschutz, Digitalisierung & Netzpolitik

Schadprogramme wie WannaCry oder Petya, die dieses Jahr für schwerwiegende Cyberangriffe genutzt wurden, führen vor Augen, wie verwundbar wir sind, wenn Kriminelle derartige Kryptotrojaner nutzen. Kritische Infrastrukturen, wie z.B. die Computer des nationalen Gesundheitssystems (NHS) in Großbritannien und große Transportunternehmen wie die Deutsche Bahn, aber auch viele BürgerInnen sind von den Angriffen betroffen. Auch in den europäischen Institutionen gewinnt das Thema zunehmend an Relevanz.

 

Im LIBE-Ausschuss des Parlaments wird derzeit z.B. an einem vielversprechend bürgerrechtsorientierten Initiativbericht gearbeitet, der sich auf die ernsthaften Bedrohungen von IT-Sicherheitsrisiken sowie Internetkriminalität auf die Grundrechte Einzelner, die Rechtsstaatlichkeit und die Auswirkungen auf die innere Sicherheit der EU konzentriert. Im September wird der Initiativbericht im Plenum des Europäischen Parlaments abgestimmt.

 

Bis September 2017 will auch die Europäische Kommission die Cybersicherheitsstrategie von 2013 und das Mandat von ENISA, der Agentur der Europäischen Union für Netz- und Informationssicherheit, überprüfen. Ein Schwerpunkt der erwarteten Cybersicherheitsstrategie soll dabei auf Regeln für das Internet der Dinge liegen. Die neue EU-Digitalkommissarin Mariya Gabriel, die am 4. Juli 2017 vom Europäischen Parlament bestätigt wurde, sprach sich bereits mehrfach für die Einführung einer IT-Produkthaftung aus, unter anderem bei einer Frühstücksdiskussion, die wir zusammen mit ENISA in der vergangenen Plenarwoche in Straßburg organisiert haben. Wir freuen uns auf eine stärkere Zusammenarbeit zu Themen der IT-Sicherheit, Standards und Haftungsfragen.

Justiz und Strafrecht

Gemeinsam gegen Betrug

Europäische Staatsanwaltschaft

Justiz und Strafrecht

Der EU-Justizministerrat hat sich am 8. Juni auf eine gemeinsame Position („allgemeine Ausrichtung“) zur Schaffung einer Europäischen Staatsanwaltschaft geeinigt, die gegen Betrug mit EU-Geldern ermitteln soll, zum Beispiel bei grenzüberschreitenden EU-finanzierten Bauprojekten und bei Mehrwertsteuerbetrug. Die Europäische Kommission schätzt den jährlichen Schaden auf 500 Millionen Euro. Im Rahmen der verstärkten Zusammenarbeit unterstützen an die 20 Mitgliedstaaten die Europäische Staatsanwaltschaft, nicht dabei sind Großbritannien, Irland, Dänemark, Schweden, die Niederlande, Polen, Ungarn und Malta. Die letzte Hürde ist die Abstimmung im Europäischen Parlament, voraussichtlich ab September. Das Europäische Parlament ist an den Verhandlungen nicht direkt beteiligt und kann den im Rat gefundenen Kompromiss lediglich annehmen oder ablehnen. Die Abgeordneten haben ihre Linien für einen Kompromiss mit dem Rat in zwei Resolutionen festgelegt. Die Grünen/EFA-Fraktion fordert unter anderem starke Rechte für Angeklagte und Beschuldigte und die Möglichkeit der gerichtlichen Überprüfung von Ermittlungen. Mit Zustimmung des Europäischen Parlaments könnte die Europäische Staatsanwaltschaft mit Sitz in Luxemburg unter der am 1. Juli 2017 beginnenden estnischen Ratspräsidentschaft auf den Weg gebracht werden.

Ein großer Schritt vorwärts ist die Zustimmung des Innen- und Justizausschuss und des Haushaltskontrollausschusses des Europäischen Parlaments zur Einigung mit dem Rat über die strafrechtliche Bekämpfung von Betrug zu Lasten der finanziellen Interessen der Europäischen Union („Protection of the Union´s financial interests“, Pif-Richtlinie) am 15. Juni 2017. Die Richtlinie regelt die Strafbarkeit des Betrugs in der Europäischen Union neu und ist mit der Schaffung einer Europäischen Staatsanwaltschaft verknüpft. Neu ist, dass nun auch EU-weit einheitliche Bestimmungen zur Bekämpfung des Mehrwertsteuerbetrugs gelten. Die Abgeordneten des Europäischen Parlaments werden die Einigung voraussichtlich am 5. Juli 2017 formal bestätigen.

Allgemeine Ausrichtung

Resolution des Europäischen Parlaments vom 5. Oktober 2016

Resolution des Europäischen Parlaments vom 29. April 2015 

Briefing Jan Philipp Albrecht (Stand: 23. Juni 2017)

Pressemitteilung vom 15. Juni 2017 zur Richtlinie über die Bekämpfung von Mehrwertsteuerbetrug

Pressemitteilung vom 8. Juni 2017 zur allgemeinen Ausrichtung über die Schaffung einer Europäischen Staatsanwaltschaft

 

 

Rekordstrafe gegen Google

Nur die Spitze des Eisbergs

Pressemitteilungen

PRESSEMITTEILUNG – Brüssel, 27. Juni 2017 

EU-Wettbewerbskommissarin Margrethe Vestager hat heute verkündet, dass die EU-Kommission eine Rekordstrafe von 2,42 Milliarden Euro gegen Google verhängt. Als europäische Wettbewerbsbehörde wirft sie Google unter anderem vor, in der Shopping-Suche eigene Dienste zu bevorzugen und damit andere zu benachteiligen. Die EU-Kommission untersuchte seit April 2015 die Vorwürfe gegen das Unternehmen. Jan Philipp Albrecht, netzpolitischer Sprecher der Grünen/EFA-Fraktion im Europäischen Parlament, kommentiert:

„Endlich wird die EU-Kommission aktiv gegen das marktmissbräuchliche Verhalten von Google und anderen Internetplattformen. Die Entscheidung im Fall von Google Shopping ist nur die Spitze des Eisbergs. Immer deutlicher wird, dass bei zahlreichen IT-Plattformen wie Suchportalen, App-Stores oder auch Hardwaresystemen die Hersteller und Betreiber ihre direkten Konkurrenten benachteiligen, etwa indem sie zusätzliche Auflagen erlassen oder Preisaufschläge verlangen.

Die EU-Kommission muss nun sicherstellen, dass dem Google-Fall weitere Ermittlungsansätze und Entscheidungen der Wettbewerbsaufsicht folgen. Zudem braucht es unterhalb des scharfen Schwertes des puren Wettbewerbsrechts endlich Ansätze zur Plattformregulierung, die sicherstellen, dass relevante IT-Infrastruktur- und Plattformanbieter in der Durchleitung von Diensten und Produkten neutral bleiben und einen fairen Wettbewerb auf ihren Plattformen gewährleisten. Sollten Plattformen dazu wegen der Verflechtung in direkte Konkurrenzangebote nicht verlässlich in der Lage sein, muss auch eine Entflechtung bestimmter Dienste und Plattformen in Betracht gezogen werden.“

Security in the Internet of Things?

Report about the Greens/EFA hearing on 7th June

English, Datenschutz, Digitalisierung & Netzpolitik

How to improve security for the internet of things (IoT)? When we are moving into an age where our light-bulbs, our cars, our factories, and our heating controls are connected to the internet, a lot of things can go wrong. The recent “wannacry” ransomware attack showed this when prime-time TV news reported the functional shut-down of hospitals in the UK or the closing of car factories in France. But ransomware is still only about encrypting and holding to ransom the data that is needed to work. The IoT also is about physical actuators that can potentially harm us directly.

The European Commission is preparing a new cybersecurity strategy for this autumn. Right after the wannacry attack and shortly before the summer break, it was therefore perfect timing that the Greens/EFA group in the European Parliament held a hearing on how to improve IoT security on 7th June. And we learned a lot. The programme, including the presentations, and the video recording are available at our group’s website. The event was co-organised by MEPs Jan Philipp Albrecht, Julia Reda, and Reinhard Bütikofer.

 

The scale of the problem

Prof. Dr. Udo Helmbrecht, director of the EU Network and Information Security Agency (ENISA), in his keynote gave an overview of what ENISA and other EU bodies are already doing in this field. The focus so far is on preparation for reactions to attacks, e.g. through managing the EU Computer Emergency Response Teams (CERTs). But Helmbrecht was also very clear that we need a more comprehensive approach, including stricter incentives for manufacturers and service providers, such as product liability for IoT devices and also finally for software.

Despina Spanou, Director for Digital Society, Trust and Cybersecurity in the European Commission (DG CNECT) informed about the state of discussions in the Commission. So far, they are thinking about two avenues: 1) a new (and finally permanent) mandate for ENISA, and 2) product certification. The question if such certification should be mandatory, and if there should also be liability for the manufacturers, is still open for discussion.

Lucie Krahulcova from digital rights NGO Access Now made clear that governmental hoarding of IT vulnerabilities is bad for all our security. Any approach to IT security needs to take human rights as a base-line.

Ninja Marnau from the University of Saarbrücken showed impressive recent data on botnets such as Miraj that are using physical devices. She also pointed out that many IoT devices are not replaced every two or three years like computers of smart-phones, but could be operating up to 15 or 20 years in the case of smart fridges. Also, the most wide-spead botnets have clients in Vietnam, Iran, Brazil and India and other countries, with control computers in the U.S. and other Western countries, therefore we need a global approach.

Frederike Kaltheuner from Privacy International pointed out that IoT devices can also be used to snitch on their users. Connected toilets and pace-makers can now be used against a person in legal proceedings, therefore we need to think about extending the right to remain silent to these. Kaltheuner also pointed out the information asymmetry between manufacturers, attackers, and end-users. She argued that the EU product liability directive should be updated to take IoT security into account.

Tim Philipp Schäfers and Sebastian Neef from Internetwache.org showed live on stage how you can find the control panels for wind energy installations by a simple internet search. Loads of these and other infrastructure control devices are online, but the security is often very weak, and their experience shows that often, neither the operators nor the manufacturers respond to messages that their infrastructure is vulnerable. Going through government-operated CERTS seems to help, but not in all cases, and more needs to be done.

 

Regulatory options: Liability - and what else?

At the second panel, Jan Neutze, cybersecurity policy director for Microsoft EMEA, gave some insights into the wannacry attack. The vulnerabilities were based on the NSA-owned exploits that had been leaked by the still unknown hacker group called “Shadow Brokers”. Microsoft decided in this case to even make available software updates for versions that are no longer supported, such as Windows XP. As a policy approach, he suggested a new international “Digital Geneva Convention” to ban malicious cyberattacks by governments.

Dr. Andreas Schmidt, IT consultant and author of “Secrecy vs. Openness. Internet Security and the Limits of Open Source and Peer Production”, reminded us of the history of product safety regulations. He presented three basic approaches: 1) Tackling the information deficit of regulators, manufacturers and other agents, 2) product certification as a means to establish trust on the market, 3) type approval certification that takes place before the product hits the market. He also emphasised the need to bring different communities together, such as the product safety engineers and the IT security engineers.

Dr. Leonie Tanczer from the PETRAS IoT Hub research consortium in London pointed out that the IoT is a very heterogeneous network that ranges from small sensors to factory and supply-chain devices. Currently, there are not enough security specifications and not enough incentives for the manufacturers. When regulating, one should reflect the different levels of criticality. Safety engineers also need to learn IT security. Software updates are sometimes complicated, if the patch might crash your physical set-up. Tanczer also said that rules for public procurement like in the UK could be a first step. Also, the insurance sector could be a useful risk-management facility.

Walter Van Holst, an IT lawyer from Dutch consulting firm mitopics, also supported the idea of product and software liability. He however warned to not over-do it, because software will always have errors and therefore be insecure to a certain extent. For sure, however, liability should kick in if the vulnerability is known to the manufacturer, and is not fixed for products that are sold afterwards. If a company used free and open source software in commercial products, it should also be held responsible for ensuring that bugs in that software are fixed.

Linus Neumann, spokesperson of the German Chaos Computer Club, the largest hacker organisation in Europe, suggested that any IoT device that is internet-enabled should carry a warning label saying “contains internet” or even “may contain traces of malware”. He also argued for an expiry date for such devices. The manufacturers should clearly indicate until when they will provide security updates, and after that date, the software should fall into the public domain.

 

Designated new "Digital" EU Commissioner in favour of liability rules

Two weeks after this hearing, another hearing took place in the European Parliament: The designated new EU Commissioner for the Digital Society, Mariya Gabriel from Bulgaria, was heard in a joint committee meeting (video) on 20 June about her qualifications and plans. She underlined that in order to improve IT security, she will support the introduction of product liability for IT products. As she will be ruling over the Directorate-General CNECT, the upcoming cybersecurity strategy of the Commission just became much more interesting! It might well be that our hearing helped a bit.

Richtlinie über Betrug zu Lasten der EU

Europäisches Parlament sagt Mehrwertsteuerbetrug den Kampf an

Pressemitteilungen

PRESSEMITTEILUNG – Straßburg, 15. Juni 2017

 

Der Innen- und Justizausschuss und der Haushaltskontrollausschuss des Europäischen Parlaments haben heute die Einigung mit dem Rat über die strafrechtliche Bekämpfung von Betrug zu Lasten der finanziellen Interessen der Europäischen Union („Protection of the Union's financial interests“, Pif-Richtlinie) angenommen. Die Richtlinie regelt die Strafbarkeit des Betrugs in der Europäischen Union neu und ist mit der Schaffung einer Europäischen Staatsanwaltschaft verknüpft. Neu ist, dass nun auch EU-weit einheitliche Bestimmungen zur Bekämpfung des Mehrwertsteuerbetrugs gelten. Nach Schätzungen der Europäischen Kommission verursacht Betrug bei EU-Geldern einen jährlichen Schaden von 500 Millionen Euro. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses und Schattenberichterstatter für die Europäische Staatsanwaltschaft, begrüßt die Einigung:

 

„Das Europäische Parlament sagt dem Mehrwertsteuerbetrug den Kampf an. Das Ja zum Verhandlungsergebnis stärkt den Auftrag an die Strafverfolgungsbehörden der Mitgliedstaaten und an die Europäische Staatsanwaltschaft, gegen millionenschweren grenzüberschreitenden Mehrwertsteuerbetrug vorzugehen. Betrug mit EU-Geldern ist kein Bagatelldelikt und schadet der Glaubwürdigkeit der Europäischen Union. Die Kampfansage ist auch die Botschaft an die Bürgerinnen und Bürger, dass die Europäische Union grenzübergreifender Wirtschaftskriminalität zu Lasten des EU-Haushalts nicht länger tatenlos zusehen wird.“