Femte juli

Nätet till folket!

EU-domstolen

EU-domstolen: Youtube inte ansvarigt för användares uppladdningar – än så länge

av

EU-domstolen har idag meddelat denna dom (PDF):

»Enligt det rådande rättsläget i unionsrätten genomför operatörer av internetplattformar i princip inte själva en överföring till allmänheten av upphovsrättsligt skyddat innehåll som användarna olagligen laddar upp på deras plattformar.

Dessa operatörer genomför emellertid en sådan överföring i strid mot upphovsrätten om de, utöver att enbart göra plattformarna tillgängliga, bidrar till att ge allmänheten tillgång till detta innehåll.«

Men, domen tar inte hänsyn till EU:s nya upphovsrättsdirektiv – där artikel 17 (uppladdningsfilter) utgör ett separat ärende.

»Domstolen utreder detta ansvar utifrån det regelverk som gällde vid den tidpunkt som är avgörande för dessa mål, nämligen direktiv 2001/29 om upphovsrätt, direktiv 2000/31 om elektronisk handel, och direktiv 2004/48 om säkerställande av skyddet för immateriella rättigheter. Tolkningsfrågorna rör inte det regelverk som blivit tillämpligt efter den tidpunkt som är avgörande för de nationella målen, och vilket införts genom direktiv 2019/790 om upphovsrätt och närstående rättigheter på den digitala inre marknaden.«

Förvirrande? Bakgrunden är att artikel 17 (plattformars ansvar, vilket kan komma att leda till uppladdningsfilter) överklagats till EU-domstolen av Polen. I det målet har domstolens generaladvokat skjutit fram sin rekommendation till dom (enligt uppgift till 15 juni) på grund av oklarheter kring hur EU-kommissionen rekommenderar medlemsstaterna att implementera direktivet i nationell lagstiftning.

Så vad som egentligen gäller får vi inga indikationer på förrän senare i sommar.

Hur detta kommer att bedömas i framtiden beror dels på utgången i målet med Polen vs. artikel 17, dels på hur det nya upphovsrättsdirektivet kommer att implementeras i medlemsstaterna. (I Sverige finns än så läng inga indikationer på hur det nya upphovsrättsdirektivet skall bli lag, trots att det föreskrivits att denna implementering skulle vara klar redan för två veckor sedan.)

• EU-domstolens dom (PDF) »
• Reuters: YouTube wins user copyright fight in top EU court ruling »
• Politico: YouTube wins in court ruling on copyright breaches by users »

EU-domstolen: OK att samla IP-adresser i jakt på fildelare

av

Ur ett pressmeddelande från EU-domstolen:

»The systematic registration of IP addresses of users and the communication of their names and postal addresses to the holder of intellectual property rights or to a third party in order to enable an action for damages to be brought is permissible under certain conditions.

The request for information from a holder of intellectual property rights is not to be abusive and must be justified and proportionate.«

Man utvecklar resonemanget om speciella förutsättningar (certain conditions):

»In the third place, the Court holds that EU law does not preclude, in principle, the systematic registration, by the holder of intellectual property rights or by a third party on his or her behalf, of IP addresses of users of peer-to-peer networks whose internet connections have allegedly been used in infringing activities (upstream processing of data), or the communication of the names and of postal addresses of users to that holder or to a third party for the purposes of an action for damages (downstream processing of data). However, initiatives and requests in that regard must be justified, proportionate, not abusive and provided for by a national legislative measure which limits the scope of rights and obligations under EU law. The Court states that the latter does not impose an obligation on a company such as Telenet to communicate personal data to private individuals in order to be able to bring proceedings before the civil courts for copyright infringements. However, EU law allows Member States to impose such an obligation.«

Detta kommer förmodligen att öka antalet ekonomiska krav från upphovsrättsindustrin och dess ombud mot fildelare. Och det kommer säkert att öka användningen av VPN-tjänster.

• EU-domstolens pressmeddelande (PDF) »

Flödesschema Upphovsrättsdirektivet

EU-kommissionens vägledning om artikel 17 är en besvikelse

av

På måndag skall EU:s nya upphovsättsdirektiv vara implementerat i medlemsstaternas lagstiftning. Det var i vart fall tanken, tills man insåg att direktivet ställer principer som är svåra att förena mot varandra.

Idag presenterade EU-kommissionen sitt vägledande (ej bindande) dokument om hur detta skall gå till – och då speciellt hur den kontroversiella artikel 17 (tidigare artikel 13) skall tillämpas. Det vill säga den artikel som i praktiken kommer att leda till uppladdningsfilter.

Tidigare har kommissionen menat att bara innehåll som uppenbart bryter mot upphovsrätten (manifestly infringing content) skall stoppas. Nu har detta ändrats till att allt innehåll som flaggats av upphovsrättsinnehavaren skall stoppas. Vilket i praktiken innebär att sådant material blir omöjligt att använda även i syften som borde vara tillåtna – som memes, kritik, debatt m.m.

EFF kommenterar:

»The first draft of the guidance document seemed to recognize those concerns and prioritize user rights. But the final result, issued today, is disappointing. On the plus side, the EU Commission stresses that Article 17 does not mandate the use of specific technology to demonstrate ”best efforts” to ensure users don’t improperly upload copyright-protected content on platforms. However, the guidance document failed to state clearly that mandated upload filters undermine the fundamental rights protection of users. The EU Commission differentiates ”manifestly” infringing uploads from other user uploads, but stresses the importance of rightsholders’ blocking instructions, and the need to ensure they do not suffer ”economic harm.” And rather than focusing on how to ensure legitimate uses such as quotations or parodies, the Commission advises that platforms must give heightened attention to ”earmarked” content. As a practical matter, that ”heightened attention” is likely to require using filters to prevent users from uploading such content.«

Diego Naranjo, Head of Policy hos EDRi säger:

»Having participated in the stakeholder dialogue, which was a lengthy and transparent process, we have the impression that the results of this process were sacrificed in the final months leading up to the launch of these guidelines, behind closed doors and due to pressure from the entertainment industry.«

Tidigare ledamoten av Europaparlamentet Julia Reda (PP, DE) på GFF (Society for Civil Rights) och Paul Keller, IViR (Institute for Information Law) skriver:

»[T]o protect users’ fundamental right to freedom of expression, fully automated blocking must be limited to cases of manifestly infringing uploads. All other cases require some form of human assessment, during which the user uploads must remain available. However, by including an exception to this rule in the final guidance that is so broad as to cover virtually all cases that rightholders wish to cover, the rule that user rights are protected becomes the exception in practice.«

Nuvarande ledamoten av Europaparlamentet Patrick Breyer (PP, DE):

»Once again, the EU Commission accepts the collateral suppression of legal content in the interest of industry profits. Civil society, which has taken to the streets in Europe in their thousands against this radical automated restriction of freedom of expression, is once again being thrown out on its ear. The manual review of unjustified filtering will usually take place too late to prevent damage to our freedom of expression, especially for comments on current affairs. It is no surprise that these guidelines are published on a Friday and only three days before the transposition deadline, with major Member States having transposed the Directive already, in order to give EU citizens and activists as little chance as possible to react to this fundamental rights breach.«

På samma länk uttalar sig även Europaparlamentets vice talman, Marcel Kolaja (PP, CZ):

»What the Commission basically says is that all manifestly infringing content needs to be blocked. However, that means that all the content that is being uploaded needs to be monitored. And of course, that is not something that the platforms would be able to do manually. Therefore, service providers will be forced to use upload filters. However, these are error-prone and will not be able to correctly recognize exceptions, such as content that is a satire or a parody. Even with the Commission’s guidance, upload filters will not be able to correctly distinguish infringing content from manifestly infringing content. Freedom of expression will become unjustifiably restricted.«

Notera speciellt att dagens vägledande dokument från EU-kommissionen alltså skiljer sig från den första versionen – som kommissionen lämnade in till EU-domstolen med anledning av att Polen överklagat artikel 17.

EU-domstolens generaladvokat genomskådade dock bluffen och sköt upp sin rekommendation till dom från maj till senare i sommar – i väntan på kommissionens slutliga dokument. Vilket uppenbarligen var klokt, med tanke på hur det har förändrats.

Nu hänger frågan om uppladdningsfilter i upphovsrättsdirektivet och »fair use« alltså på EU-domstolen. Och den kan knappast ha undgått att notera att EU-kommissionen försökt föra den bakom ljuset.

EU-domstolen: Även ”inbäddade” bilder på nätet kan kräva tillstånd

av

EU-domstolen har kommit fram till att »inbäddade« bilder – det vill säga bilder som inte ligger på den publicerande sitens server, utan är inlänkade – kräver den ursprungliga upphovsmannens tillstånd. Men tydligen bara om man kringgår skyddsåtgärder mot inbäddning som vidtagits av rättighetsinnehavaren.

Det aktuella förhandsavgörandet handlar om hur Deutsche Digitale Bibliothek (DDB) – som drivs av Stiftung Preußischer Kulturbesitz (SPK) och som själva har licens för de bilder de publicerar – skall hantera andra siter som använder bilder från DDB genom att länka / bädda in bilder och thumbnails på sina siter.

EU-domstolen skriver:

»Artikel 3.1 i Europaparlamentets och rådets direktiv 2001/29/EG av den 22 maj 2001 om harmonisering av vissa aspekter av upphovsrätt och närstående rättigheter i informationssamhället ska tolkas på så sätt att den omständigheten att upphovsrättsligt skyddade verk som med upphovsrättsinnehavarens tillstånd har gjorts tillgängliga och fritt åtkomliga för allmänheten på en annan webbplats integreras i en tredje parts internetsida, genom tekniken med inbäddning, utgör en överföring till allmänheten, i den mening som avses i denna bestämmelse, om integreringen sker genom att skyddsåtgärder mot inbäddning som har vidtagits eller ålagts av rättighetsinnehavaren kringgås.«

Ur motiveringen:

»När upphovsrättsinnehavaren har vidtagit eller ålagt sina licenstagare att använda sig av begränsningsåtgärder mot inbäddning för att begränsa tillgången till upphovsrättsinnehavarens verk från andra webbplatser än dess licenstagares webbplatser, utgör det första tillgängliggörandet på den ursprungliga webbplatsen och det andra tillgängliggörandet, genom tekniken med inbäddning, följaktligen olika överföringar till allmänheten, och därför krävs att de berörda rättighetsinnehavarna lämnar sitt tillstånd med avseende på var och en av dem (se, analogt, dom av den 29 november 2017, VCAST, C‑265/16, EU:C:2017:913, punkt 49).«

Det är intressant att notera att domstolen med sitt beslut går emot generaladvokatens förslag, vilket i och för sig inte är unikt men ovanligt.

EU-domstolen: Data om mobilpositioner får endast användas för att bekämpa allvarlig brottslighet

av

EU-domstolen har idag meddelat dom i ett fall som gäller myndigheternas användning av data om mobilpositioner. I sitt pressmeddelande (PDF) skriver domstolen:

Att i brottsutredande syfte ge tillgång till en mängd trafik- och lokaliseringsuppgifter från elektronisk kommunikation, vilka gör det möjligt att dra specifika slutsatser om de berörda personernas privatliv, är tillåtet endast för att bekämpa grov brottslighet eller förebygga allvarliga hot mot allmän säkerhet.

Till att börja med betyder detta att data om mobilpositioner inte får användas för att utreda mindre brott. Intrånget i medborgarnas rätt till privatliv anses inte stå i proportion till vad man kan vinna i dessa fall.

I Sverige har datalagringen (som omfattar trafikdata om allas alla tele- och datakommunikationer) bland annat använts för att jaga fildelare och för att låta Skatteverket undersöka människors privatliv. Med denna dom bör det rimligen vara slut med det, då brott / misstanke inte kan anses vara tillräckligt allvarliga för att motivera integritetskränkningen.

Frågan kan även kopplas till den allmänna datalagring som bedrivs av många EU-länder – trots att EU-domstolen upphävt datalagringsdirektivet, då den anser att urskiljningslös lagring av data om alla medborgares alla telekommunikationer strider mot de mänskliga rättigheterna och vad dessa har att säga om rätten till privatliv. Som domstolen vid flera tillfällen påpekat får datalagring endast användas för att utreda allvarlig brottslighet och måste då fokuseras på de personer som kan anses vara misstänkta för något brottsligt.

Detta bör rimligen påverka EU-kommissionens arbete med ett nytt datalagringsdirektiv, som aviserats av EU-kommissionär Ylva Johansson.

Domstolen meddelar även följande:

Unionsrätten utgör dessutom hinder mot nationell lagstiftning som ger åklagarmyndigheten behörighet att bevilja offentliga myndigheter tillgång till dylika uppgifter inom ramen för en brottsutredning.

Man anser med andra ord att åklagare inte är en oberoende myndighet som kan fatta objektiva beslut, då man som regel är part i målet. Istället skall beslut om tillgång till mobil- och positionsdata fattas av t.ex. en domstol.

Länk: Pressmeddelande (PDF) »

Kommer EU:s uppladdningsfilter att stoppas i domstol?

av

Äntligen har vi hittat en någorlunda matnyttig sammanställning över läget i EU-domstolen – vad gäller att Polen överklagat det indirekta kravet på uppladdningsfilter i EU:s nya upphovsrättsdirektiv (DSM).

The Kluwer Copyright Blog – CJEU hearing in the Polish challenge to Article 17: Not even the supporters of the provision agree on how it should work »

»According to Poland, the key problem with the directive is the move away from active participation of rightholders (as initiators of removal requests in the context of notice and takedown procedures) and instead handing the responsibility of removing infringing uploads over to platforms who will have to develop private enforcement systems to avoid liability for copyright infringement. Because they are not facing any comparable risk when they limit user rights by blocking access to legal content, this creates strong incentives for over-blocking. This in turn will result in censorship and violation of the fundamental rights to freedom of expression and information under the Charter. Consequently, the problematic parts of Article 17 should be annulled by the Court.

All other parties intervening in the case objected to this line of argument and stated that in their view Article 17 does not violate any fundamental rights. However, they presented strikingly contradictory interpretations of what Article 17 actually requires of platforms. There are two distinct lines of argument: The Commission, the Council and the European Parliament argued that that Article 17 contains enough internal safeguards to prevent users’ fundamental rights from being unduly limited. On the other hand, France and Spain argued that some limitations of fundamental freedoms are justified by the objective that Article 17 seeks to achieve.«

Man kan alltså något förenklat säga att det finns tre linjer: Polens nej till uppladdningsfilter, EU-institutionerna som anser att det finns tillräckliga garantier i artikel 17 för att eventuella uppladdningsfilter inte kommer att missbrukas eller överfiltrera – samt Frankrike och Spanien som anser att eventuella inskränkningar i medborgarnas fri- och rättigheter är ett pris som är värt att betala.

Allt kompliceras av att upphovsrättsdirektivet är just ett direktiv och inte en förordning. Det innebär att det skall tolkas och vävas in i medlemsstaternas lagstiftning – istället för att vara en uppsättning regler som rakt av gäller lika överallt.

Därför ser vi redan hur olika medlemsstater börjat implementera direktivet på olika sätt. Vilket i sin tur kommer att leda till att vi får 27 olika lagar i lika många olika länder, med olika upplägg och skrivningar.

Det innebär att även om domstolen skulle ge grönt ljus för artikel 17 som sådan – så innebär det inte att all nationell lagstiftning på området automatiskt får klartecken. Varje enskild medlemsstats tolkning och skrivning kan också komma att prövas rättsligt.

Dom väntas till sommaren 2021, vilket är en tidpunkt då upphovsrättsdirektivet redan skall vara införlivat i medlemsstaternas lagstiftning. Man kan tycka att det vore bättre att först invänta domstolens beslut. Men det är inte så det fungerar.

EU-domstolen säger nej till ”nolltaxa” för mobildata

av

Dagens nyhet från EU-domstolen i Luxemburg:

»Kravet på att internetanvändarnas rättigheter ska skyddas och att trafik ska behandlas ickediskriminerande utgör hinder för att en internetleverantör privilegierar vissa applikationer och vissa tjänster genom erbjudanden, i vilka dessa applikationer och tjänster omfattas av en ”nolltaxa”, och genom att åtgärder för att blockera eller sakta ned trafik tillämpas på användningen av andra applikationer och tjänster«

I klartext betyder det att en mobilteleoperatör inte får lägga till exempel Spotify, Facebook eller Netflix kostnadsfritt utanför den datavolym kunden köper. Domstolen motiverar sitt beslut:

»Sådana paketerbjudanden är nämligen ägnade att öka användningen av privilegierade applikationer och tjänster samtidigt som de minskar användningen av andra tillgängliga applikationer och tjänster, med hänsyn till de åtgärder som leverantören av internetanslutningstjänster tillämpar för att göra användningen av dessa andra tillgängliga applikationer och tjänster svårare eller till och med omöjlig. Ju fler kunder som ingår sådana överenskommelser desto mer sannolikt är det dessutom att den samlade påverkan av dessa överenskommelser, med hänsyn till dess omfattning, kommer att skapa en betydande begränsning av utövandet av slutanvändarnas rättigheter, eller till och med leda till att dessa rättigheter i grunden undergrävs.«

Pressmeddelande: Dom i förenade målen C-807/18 och C-39/19, Telenor Magyarország Zrt. / Nemzeti Média- és Hírközlési Hatóság Elnöke »

Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

av

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

Överföring av persondata mellan EU och USA i limbo efter EU-dom

av

Överföring av persondata mellan EU och USA har länge varit en surdeg. Det gäller såväl överföring av bankdata i bulk som ren persondata (Safe Harbour, sedemera Privacy Shield). Såväl Europaparlamentet som EU-domstolen har satt sig på tvären när de avtal som tecknats inte levt upp till EU:s krav på på skydd för persondata.

Idag har EU-domstolen – för andra gången – upphävt det avtal som är grunden för Safe Harbour / Privacy Shield.

Grunden är det mål som drivits av den österrikiske juridikstudenten Max Schrems och som i sak rör dataöverföring från Facebook Ireland (där företaget har sitt europabolag) till USA. Frågan sattes i rörelse efter Edwards Snowdens avslöjanden om den amerikanska, globala massövervakningen – då det framkom att bland andra Facebook förser de amerikanska signalspaningsmyndigheterna med information. Och i USA gäller det begränsade persondataskydd som finns bara amerikanska medborgare.

Time har en tydlig sammanfattning:

»The European Union’s top court ruled Thursday that an agreement that allows big tech companies to transfer data to the United States is invalid, and that national regulators need to take tougher action to protect the privacy of users’ data.

The ruling does not mean an immediate halt to all data transfers outside the EU, as there is another legal mechanism that some companies can use. But it means that the scrutiny over data transfers will be ramped up and that the EU and U.S. may have to find a new system that guarantees that Europeans’ data is afforded the same privacy protection in the U.S. as it is in the EU.«

Max Schrems själv säger:

»I am very happy about the judgment. It seems the Court has followed us in all aspects. This is a total blow to the Irish DPC and Facebook. It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market.«

»The Court clarified for a second time now that there is a clash of EU privacy law and US surveillance law. As the EU will not change its fundamental rights to please the NSA, the only way to overcome this clash is for the US to introduce solid privacy rights for all people – including foreigners. Surveillance reform thereby becomes crucial for the business interests of Silicon Valley.«

Även om det finns andra avtal om dataöverföring till utlandet att falla tillbaka på – så kommer dagens dom att skapa mycket oreda på båda sidor Atlanten. Att USA skulle ändra sin lagstiftning och massövervakning är knappast troligt. I värsta fall kan detta leda till ett digitalt handelskrig mellan EU och USA.

Precis som när det gäller EU:s dataskyddsförordning (GDPR) står här viktiga principer och praktisk verklighet mot varandra.

Ansvaret för den uppkomna situationen vilar hos EU-kommissionen – som konsekvent vägrat lyssna på Europaparlamentet och som istället för att rätta sig efter EU-domstolens första dom försökt kringgå den.

Nu är vi i princip åter på ruta ett.

Länkar:
• Time: E.U.’s Top Court Invalidates Data-Sharing Agreement With U.S. »
• EU-domstolens dom (PDF) »
• Max Schrems / noyb »
• Bakgrundsmaterial från Politico (publicerat innan domen) »

EU-domstolen på väg att stoppa datalagringen – igen

av

EU-domstolens generaladvokat föreslår att domstolen skall stå fast vid sitt beslut från 2014 om att svepande datalagring utan misstanke om brott inte skall vara tillåten.

Det är ett antal mål som rör Frankrike, Belgien och Storbritannien som snart kommer att avgöras av EU-domstolen.

EDRi:

The Advocate General confirms that the ePrivacy Directive and EU law applies to data retention for the purpose of national security. He proposes to uphold the case-law of the Tele2 case and stressed that “a general and indiscriminate retention of all traffic and location data of all subscribers and registered users is disproportionate” and that only limited and discriminate retention with limited access to that data is lawful. He states that “the obligation to retain data imposed by the French legislation is general and indiscriminate, and therefore is a particularly serious interference in the fundamental rights enshrined in the Charter” and similar criticism is raised on the Belgian and UK laws.

Enkelt uttryckt: Att lagra data om alla medborgares telekommunikationer, utan misstanke om brott strider – fortfarande – mot vad de mänskliga rättigheterna har att säga om rätten till privatliv.

Detta är inte bara en knäpp på näsan för de medlemsstater som fortsatt trotsar EU-domstolens beslut om datalagringen – utan även för EU-kommissionen, som försökt ducka frågan.

Nu är frågan: Om domstolen går på generaladvokatens linje (vilket den förmodligen kommer att göra) – kommer detta då även att innebära att den nya svenska lagen om datalagring är ogiltig?

Sverige har ju som bekant, flera gånger, försökt kringgå EU-domstolens beslut. Nu senast med en ny lag om datalagring – som fortfarande bryter mot den grundläggande princip som domstolen slagit fast.

Inom ett par månader kommer domstolens slutgiltiga beslut. Och om domstolen då står för sina principer – då kan den svenska lagen komma att prövas igen eller möjligen ogiltigförklaras direkt.

EDRi: Indiscriminate data retention considered disproportionate, once again »

Privacy International: Preliminary Statement: Advocate General’s Opinion Advises that Mass Surveillance Regime is Unlawful »

EU-domstolens pressmeddelande (PDF) »