Podcast: EU-domstolen säger återigen nej till datalagring – men ja till lagring av IP-adresser. Medverkande: Jon Karlung och Henrik Alexandersson
Bahnhof
EU-stater registrerar användares IP-adresser
EU:s medlemsstater tycks samla på sig kataloger över enskilda nätanvändares IP-adresser. Vilket EU-domstolen accepterar, trots att den säger nej till generell datalagring.
Gårdagens goda nyhet var att EU-domstolen åter säger tydligt nej till urskiljningslös datalagring. Men djävulen finns i detaljerna.
Bortom huvudnyheten, i det finstilta, läser vi följande i EU-domstolens dom:
»Unionsrätten utgör däremot inte hinder för en nationell lagstiftning (…) som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om identiteten beträffande användare av elektroniska kommunikationsmedel…«
Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) kommenterar:
»Unfortunately, the greatest consensus among governments currently seems to exist on mandating indiscriminate IP data retention throughout Europe, which the judges in Luxembourg green-lighted under massive pressure.
Under no circumstances should all internet users be placed under general suspicion and online anonymity be abolished!
IP addresses are our digital fingerprints on the internet. Bulk collection would endanger crime prevention in the form of anonymous counselling and pastoral care, victim support through anonymous self-help forums and also the free press, which depends on anonymous informants.
Incidentally, there is no evidence that IP data retention significantly increases the crime clearance rate. In the absence of data retention Germany today has a higher cybercrime clearance rate than with IP data retention in place.«
Det tycks alltså som om vissa av EU:s medlemsstater samlar IP-adresser för något slags egen katalog. Detta sker även i Sverige.
Här pågår en dragkamp i frågan mellan den svenska Post- och Telestyrelsen (PTS) och Bahnhof. Ur vår tidigare rapportering:
»PTS skriver i sitt pressmeddelande ”Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.”
Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.«
PTS hotar Bahnhof med vite om man inte lämnar ut dessa användaruppgifter. Vilket överklagats till Förvaltningsrätten.
Vi träffade nyligen Bahnhofs VD Jon Karlung, som kunde berätta att om PTS får som de vill – då kan det handla om att lämna ut identiteten på hundratals användare som inte är misstänkta för något brottsligt.
Skälet är att det börjar bli slut på IPv4-adresser och att många kunder därför måste dela på samma IP-adress (NATade adresser) i väntan på IPv6.
Det blir allt tydligare att myndigheterna vill ha en egen katalog över enskilda individers IP-adresser, vilket bland annat tyder på att de inte riktigt förstår hur internet fungerar.
Vi återkommer inom kort med en podcast / intervju med Jon Karlung.
Bahnhof startar rysk piratradio
Efter att Sveriges Radio meddelat att de inte kommer att återuppta sina kortvågssändningar på ryska kliver nu internetoperatören Bahnhof in.
Bahnhof kommer att starta egna nyhetssändningar på ryska.
Dessa kommer dels att distribueras som podcasts på nätet, dels som kortvågssändningar från Bahnhofs egen mast på det underjordiska datacentret Pionen.
Dessutom uppmanar man alla radioamatörer att hjälpa till att sända ut dessa podcasts.
Bahnhofs VD Jon Karlung säger:
”Vi vill stödja Ukraina på alla sätt vi kan. Ett sätt att göra det är att ge ryska folket en chans att bilda sig en egen uppfattning om Putin och hans regim, baserat på objektiva fakta. Vi är sedan tidigare vana vid att bekämpa och kringgå internetcensur på olika sätt…”
”Vi tänker därför starta ett ryskspråkigt nyhetsprogram som med journalistisk integritet berättar om kriget i Ukraina för en bred publik i Ryssland. Fram till 2010 gjorde Sveriges Radio precis detta med sin satsning Radio Sweden, men det är tyvärr nedlagt. Vi vill återuppliva detta. Redaktionen kommer bestå av professionella och erfarna journalister som själva sköter det redaktionella innehållet.”
Stationens namn blir Nordstream 3, vilket dels anknyter till den klassiska svenska piratradiokanalen Radio Nord dels till den kontroversiella gasledningen Nordstream 2.
Dags att ta svensk datalagring till EU-domstolen – igen?
PTS hotar internetoperatören Bahnhof med miljonvite – för att inte följa den svenska lagen om datalagring, vilken i sin tur strider mot EU-domstolens upprepade domar om datalagringen.
Post och telestyrelsen (PTS) hotar internetoperatören Bahnhof med fem miljoner kronor i vite för att inte följa den svenska lagstiftningen om datalagring.
Detta trots att EU-domstolen upphävt EU:s datalagringsdirektiv och flera gånger återkommit med domar som säger att medlemsstaterna inte får ägna sig åt svepande lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott.
Just nu väntar vi på ännu en dom där domstolen med all sannolikhet kommer att upprepa sitt tidigare nej till datalagringen. Generaladvokaten skriver:
»Advocate General Manuel Campos Sánchez Bordona considers that the answers to all the questions referred are already in the Court’s case-law or can be inferred from them without difficulty.«
Nu är frågan om det aktuella fallet kan komma att leda till ännu en prövning av den svenska datalagringen i EU-domstolen. I så fall tyder allt på att domstolen kommer att döma till Bahnhofs fördel.
PTS skriver i sitt pressmeddelande:
»Vid misstanke om internetrelaterade brott måste Polismyndigheten kunna begära ut uppgifter om abonnemang från den bredbandsoperatör som tillhandahåller aktuell IP-adress för att kunna identifiera en person. Bahnhof har vid flera tillfällen vägrat lämna ut uppgifter när information om portnummer saknats i Polismyndighetens begäran.«
Nyckelformuleringen här är ”när information om portnummer saknas”. Det innebär att inte bara uppgifter om den misstänkte utan även en stor mängd andra kunder som använt samma IP-adress skulle komma att lämnas ut. Vilket Bahnhof inte vill gå med på.
Och Bahnhofs ståndpunkt stöds alltså av ett flertal domar i EU-domstolen.
Detta kan bli intressant. Fortsättning följer.
Lästips: Nordisk Huawei-chef förnekar Kinas mediecensur i inspelat möte
SVT rapporterar om ett inspelat möte mellan Bahnhof och Huawei:
Kina blockerar inte internationella medier för sina medborgare. Det hävdar en av den kinesiska mobiljätten Huaweis chefer i ett inspelat möte med internetleverantören Bahnhof.
Länk: Nordisk Huawei-chef förnekar Kinas mediecensur i inspelat möte »
Så många IP-adresser lämnar nätoperatörerna ut
EU-kommissionen om den svenska datalagringen: Inte vårt problem
Byråkratins och rättvisans kvarnar mal på i sitt eget makliga tempo.
2014 lämnade internetoperatören Bahnhof och 5 juli-stiftelsen in en anmälan om att svensk datalagring strider mot EU:s fördrag – och att vår regering inte tycks bry sig om att EU-domstolen givit Sverige smisk på fingrarna.
Sedan dess har mycket vatten flutit under broarna. Och under försommaren klubbade riksdagen en ny lag om datalagring – som inte heller den är i enlighet med EU:s fördrag eller EU-domstolens tidigare domar.
Nu, i augusti 2019, kommer ett svar från EU-kommissionen. Generaldirektoratet för rättsliga frågor och konsumentfrågor konstaterar efter fem års betänketid att i princip har Bahnhof och 5 juli-stiftelsen helt rätt. Men eftersom EU-domstolen fortfarande har ett antal ärenden som rör datalagringen på sitt bord – så har EU-kommissionen beslutat att »avsluta klagomålet«.
Detta bekräftar bilden av att datalagringen är en het potatis som den avgående EU-kommissionen helst inte vill ha med att göra. Samtidigt driver EU:s ministerråd linjen att den nya EU-kommissionen bör lägga fram ett nytt direktiv om datalagring – istället för det förra, som ogiltigförklarades av EU-domstolen.
Så här står vi nu med en helt ny lag om datalagring i Sverige. Den strider av allt att döma mot EU-domstolens tidigare dom – som säger nej till generell datalagring utan brottsmisstanke. Och allt EU-kommissionen har att komma med är att konstatera att den för tillfället inte vill ta tag i sakfrågan.
Vi får väl se hur den nya EU-kommissionen tänker hantera datalagringen. Men det är anmärkningsvärt att den avgående kommissionen (och dess tjänstemän, som i allt väsentligt blir kvar på sina poster) kan konstatera att det finns ett missförhållande som man inte tänker göra något åt. Men justitieminister Morgan Johansson (S) lär i vart fall bli glad.
Nu är frågan hur den nya svenska lagen om datalagring skall tacklas. Det är uppenbart att de partier som vill ha denna form av övervakning och registrering hoppas att motståndarna till slut skall tröttna och ge upp.
Ladda ner anmälan och dess svar
Tidigare länkar om datalagringen
- Riksdagen kräver mer datalagring – trots att EU-domstolen säger nej »
- Den rättsvidriga datalagringen är tillbaka »
- Tre problem med riksdagens nya lag om datalagring »
- Det drar ihop sig till ny strid om EU:s datalagringsdirektiv »
- Krav på att EU utreder datalagringens risker »
- EU:s ministerråd vill ha nytt direktiv om datalagring »
Ordkrig om regeringens förslag till datalagring
Regeringen vill som bekant gå vidare med planerna på att lagra data om alla svenskars alla mobilsamtal, SMS, e-postmeddelanden, nätuppkopplingar och mobilpositioner. Detta trots att EU-domstolen ogiltigförklarat både EU:s datalagringsdirektiv och tidigare svensk lagstiftning om datalagring – eftersom svepande övervakning av alla medborgare utan att det finns någon misstanke om brott strider mot de mänskliga rättigheterna.
Samtidigt hörs allt fler röster som kritiserar förslaget. Några nedslag…
IT-juristen Daniel Westman har granskat förslaget för Computer Swedens räkning. Och han anser att det inte duger:
– Det här är ju väldigt omfattande och komplext, men jag skulle ändå säga att man lägger sig väldigt nära det system man hade tidigare och som EU-domstolen underkänt, säger han. (…)
– Det avgörande kriteriet från domstolen är att den trafikdatalagring som görs sammantaget ger möjlighet att skapa en fullständig bild av en persons kommunikationsmönster. Och i allt väsentligt är den nya lagen lika ingripande
Att begränsa datalagringen till vissa personkretsar, områden eller tidpunkter vore däremot förmodligen tillåtet. Det vill säga om det föreligger någon form av misstanke om något brott. Men en sådan begränsning kan regeringen alltså inte tänka sig.
Ett annat alternativ är att lagra alla data i ett område direkt efter att något hänt där, exempelvis ett terrorbrott. Men inte heller en sådan lösning vill regeringen acceptera.
Man kan också konstatera att regeringen försöker blanda bort korten genom att kalla IP-adresser för »abonnentuppgifter«. I en skriftlig kommentar skriver internetoperatören Bahnhof…
»Man har flyttat en terminologi som historiskt hör samman med tryckta telefonkataloger och analog telefoni (där det till exempel var viktigt att kunna veta vem som hade busringt från ett visst telefonnummer och när) till ett digitalt sammanhang. Men de gamla analoga abonnemangsuppgifterna sa ingenting om vad folk faktiskt pratat om i telefon – det vill säga innehållet i samtalet. Med internets motsvarande abonnemangsuppgifter är det annorlunda. Ett IP-nummer är nämligen själva nyckeln till vad användaren faktiskt gjort på nätet och när. Ett IP-nummer kan till exempel användas för att avslöja vilken person som besökt en viss kontroversiell hemsida, mejlat en tidning med ett anonymt nyhetstips, haft en privat kommunikation i ett visst slutet forum för dissidenter, skrivit ett argt mejl till en ledarsida, exakt vem som skrivit en osignerad ledartext i tidningen Expressen, gjort ett visst inlägg på sociala medier, vilka utlandssvenskar som fysiskt befunnit sig i Sverige när de varit inne på Skatteverkets hemsida för självdeklaration, chattat med politiska rörelser eller organisationer, fildelat eller strömmat en viss film som någon grupp anser strida mot upphovsrätten. IP-nummer är det digitala fingeravtryck som kan avslöja exakt vad någon gjorde på nätet och när. Det är inte bara en uppgift om vem som har ett visst ”abonnemang” hos någon telekomoperatör.«
Diskussionen om datalagringen övergår till öppet gräl när tidningen Expressen ställer sig på regeringens sida i den osignerade ledarartikeln »Smit inte från ansvar – Bahnhof och Tele2«.
Denna ledare plockas sedan sönder, grundligt och del för del av Bahnhofs jurist Wilhelm Dahlborn. För den som är intresserad av frågan rekommenderas att läsa hela hans svar. Ett exempel:
Expressen: I väntan på en ny lag har datalagringen varit frivillig för teleoperatörerna.
Wilhelm Dahlborn: Vadå frivillig? Alla operatörer har en skyldighet enligt ePrivacy-direktivet och LEK att radera uppgifter som de inte längre behöver. Om en operatör skulle spara uppgifter för att tillgodose andra behov bryter man både mot svensk lag och EU-rätten. Polisens behov är underordnat svensk lag och EU-rätten.
Som sagt, läs hela denna grundliga sågning.
Sammanfattningsvis bekräftas bilden av att regeringens nya förslag till datalagring inte kommer att möta de krav EU-domstolen ställer upp. Man vill helt enkelt ha mer än man kan få. Och några planer på att skriva ett lagförslag som är anpassat till domstolens krav tycks regeringen inte ha. Så då får den nog skylla sig själv om den får bakläxa en gång till.
• Computer Sweden: Juridisk expert: Nya datalagringslagen väldigt lik den som underkändes av EU »
• Bahnhof: Regeringens användning av ”abonnemangsuppgifter” – ett försök att undslippa EUs krav »
• Expressen: Smit inte från ansvar – Bahnhof och Tele2 »
• Bahnhof: Bahnhofs öppna brev till Expressen: faktafel och rena lögner i er ledartext om datalagring »
Får man blockera dem som vill blockera?
Vi har tidigare rapporterat om hur förlaget Elsevier gått till domstol – för att tvinga bland andra internetoperatören Bahnhof att blockera webplatser på vilka man kan få tillgång till samma vetenskapliga texter som Elsevier tar betalt för att erbjuda. Länk »
Vilket naturligtvis inte gick hem väl hos Bahnhof. Så operatören bestämde sig för en egen, mjuk blockering av Elsevier. Samtidigt blockerade man Patent- och Marknadsdomstolen från att besöka Bahnhof.se. Länk »
Det senare har nu fått tillsynsmyndigheten – Post- & Telestyrelsen – att titta på om Bahnhof bryter mot nätneutralitetens principer. Länk »
Ironin.
Kammarrätten ger Bahnhof delvis rätt om datalagring
Ur ett rykande färskt TT-telegram:
Enligt kammarrätten behöver Bahnhof inte lämna uppgifter om abonnemang som sparats på grund av den skyldighet att lagra uppgifter för brottsbekämpande ändamål som kammarrätten i en dom 2017 bedömt strida mot EU-rätten. Bahnhof ska däremot lämna ut uppgifter om de abonnemang som sparats enligt de regler som tillämpas nu och som gäller misstanke om brott, skriver kammarrätten.
Kammarrätten finner alltså att Bahnhof inte gör något fel när de följer EU-domstolens domar – som upphäver så väl EU:s datalagringsdirektiv som de svenska lagar som stiftats i enlighet med detsamma.
Men det är bara en halv seger. Kammarrätten skriver i sitt pressmeddelande:
Vad gäller föreläggandets andra del anser kammarrätten att Bahnhof är skyldigt att följa det. Enligt de bestämmelser som tillämpas nu får Bahnhof spara uppgifter om abonnemang för egna ändamål. Uppgifterna skyddas som huvudregel av tystnadsplikt. Det innebär därför ett ingrepp i enskildas integritet att lämna ut uppgifter som sparats till polisen. Uppgifter om abonnemang bedöms dock inte vara särskilt integritetskänsliga och det finns ett stort behov av denna typ av uppgifter för brottsbekämpningen. Kammarrätten bedömer därför att den inhämtning av uppgifter om abonnemang som denna del av föreläggandet tar sikte på är förenlig med EU-rätten, oavsett det misstänkta brottets svårhetsgrad.
Kammarrätten anser alltså att denna typ av tvångsmedel kan användas även vad gäller bagatellartade brott. Vilket knappast står i proportion till det integritetsintrång detta medför.