Femte juli

Nätet till folket!

Österrike

Österrike: Så kapar brottslingar folks digitala ID

av

I Österrike använder cyberbrottslingar nu landets digitala ID Austria för bedrägeriförsök.

Till skillnad från Sverige är Österrikes digitala ID (ID Austria) statligt, även om driften är utlagd på ett privat företag.

Man skaffar det genom en omständig process som innefattar såväl online-registrering som ett fysiskt besök hos den ansvariga myndigheten. Därefter kan appen aktiveras med en PIN-kod.

Det problem som har uppstått är (bland annat) när ID Austria löper ut ut och skall förlängas. Det sker vart femte år. Vilket i år gäller för ungefär 300.000 medborgare.

Förnyelsen kan ske digitalt och måste genomföras innan certifikatet löper ut. (Annars får man börja om från början.)

Österrikisk polis och media meddelar att bedragare nu sänder ut massor med SMS, mail och meddelanden om att det är dags att förnya sitt ID Austria – för att locka användare att lämna ifrån sig sina personuppgifter på bluffsidor

Eftersom detta är första gången landets digitala ID (i denna form) behöver förnyas är användarna inte bekanta med processen och faller därför lättare för bedragarnas nätfiske. Speciellt som folk ofta klickar snabbare än de tänker.

Det har bland annat lett till kapade konton, ekonomiska bedrägerier och identitetsmissbruk.

Nya system skapar nya attackvinklar.

(Liknande bedrägeriförsök har riktats mot svenska BankID, men inte i samma omfattning som i Österrike. Kanske beroende på att de flesta svenskar är medvetna om att förlängning sker inifrån respektive banks app.)

Är Google Analytics olagligt i EU?

av

Användning av Google Analytics har bedömts stå i strid med EU:s dataskyddsförordning, GDPR. Så vad händer nu?

I Österrike har dataskyddsmyndigheten, Datenschutzbehörde (DSB), kommit fram till att användning av Google Analytics strider mot dataskyddsförordningen (GDPR).

Skälet är att persondata överförs till USA, vilket strider mot den så kallade Schrems II-domen i EU-domstolen.

Liknande klagomål har nu lämnats in i de flesta EU-länder.

Scherms II är ett steg i den decennielånga dragkampen om överföring av persondata till USA, där sådan information kan komma att hamna i händerna på NSA (”collect it all”) och andra underrättelseorgan. (FISA 702-reglerna.)

Hanteringen av sådan överföring har i stor delar varit under all kritik och bland annat kritiserats hårt av Europaparlamentet.

Striden har sitt ursprung redan i början av 2000-talet med överföringen av europeisk bankdata i bulk till amerikanska myndigheter, som en del i kriget mot terrorismen.

Scherms II-domen innebar att Privacy Shield-avtalet mellan EU och USA upphävdes, då det inte uppfyllde de krav som utlovats.

Ett sätt att lösa problemet skulle kunna vara att USA utfärdar vattentäta garantier för att europeisk persondata inte kommer att missbrukas där. Vilket inte tycks ske. Ett annat alternativ är att tjänster som Google Analytics delas upp, så att europeisk persondata stannar och analyseras inom EU:s gränser. Vilket inte heller tycks ske. Så läget förefaller rätt låst.

Google säger till The Register (i översättning av Computer Sweden):

»Människor vill att webbplatserna de besöker ska vara väldesignade, lätta att använda och respektera deras integritet. Google Analytics hjälper återförsäljare, regeringar, icke-statliga organisationer och många andra att förstå hur deras webbplatser och appar fungerar för användarna – men inte genom att identifiera individer eller spåra dem på webben. Dessa organisationer, inte Google, kontrollerar vilka data som samlas in med dessa verktyg och hur den används. Google hjälper till genom att tillhandahålla en rad skyddsåtgärder, kontroller och resurser för regelefterlevnad.«

Som vanligt står olika, var för sig relativt begripliga, intressen mot varandra.

• Computer Sweden: Österrikes dataskyddsmyndighet: Tyskt företag bröt mot GDPR när de använde Google Analytics »
• The Register: Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US »

Upphovsrättsdirektivet: Österrike vill gå längre än EU kräver

av

I Österrike har regeringen nu presenterat sitt förslag till implementering av EU:s nya upphovsättsdirektiv.

Epicenter gör några nedslag i texten. Här går till exempel förslaget om uppladdningsfilter längre än vad EU-kommissionen rekommenderade i sitt yttrande över Polens klagan till EU-domstolen. (Det finns dock tecken på att kommissionen är på väg att backa från nämnda yttrande.)

»The online platforms in question are generally liable for copyright infringements, except if they have undergone “every effort” to protect the holders’ rights. For example, this wording means that an online platform such as Flickr has to obtain licenses from all authors and filmmakers worldwide when providing an image sharing service – a general license deal with the Austrian collecting society for images would not be sufficient.«

Vilket naturligtvis är en praktisk omöjlighet.

Någon möjlighet att klaga / överklaga beslut om att ta bort material finns inte i det österrikiska lagförslaget,

Dock kan man tänka sig en del undantag:

»The draft law also contains a de minimis barrier for upload filters, which is equally important for freedom of speech. The shorter or smaller the compared extract of a sound sequence or image, the more likely upload filters produce a false match with a copyrighted work and inflict collateral damage on citations. Therefore, the draft specifies that upload filters must not be activated if the non-commercial extract does not exceed 20 seconds (film and sound), 1000 characters (text) or 250 kilobytes (image).«

Sedan över till den så kallade länkskatten.

»In the future, small publishers and media will no longer be able to decide for themselves whether their content appears with a title and a thumbnail in search engines and on social media. According to the draft, negotiations will only be conducted collectively by the collecting society, which will naturally focus on the interests of big newspaper publishers and the powerful association of Austrian newspaper publishers (VÖZ). Even in the original law on ancillary copyright, there were no plans to give authors any of the money. Now, however, the interests of big media are supposed to dictate the small ones how visible their content can be.«

Detta är något som påpekades redan när Europaparlamentet klubbade upphovsrättsdirektivet, våren 2018. Små, nya och alternativa media kan inte själva få bestämma att avstå från länkskatten och tillåta fri publicering av sitt material. Direktivet – och nu det österrikiska lagförslaget – är skrivet för de stora mediehusen och berövar små aktörer makten över hur deras eget innehåll kan komma att användas. Många mindre media vill hellre att deras material skall synas än stoppas av en lag som förmodligen ändå inte kommer att ge just dem några pengar.

Läs mer: How Austria wants to implement upload filters and ancillary copyright »

Österrike: Domstol stoppar hemlig dataavläsning

av

I Österrike har konstitutionsdomstolen satt stopp för landets lag om hemlig dataavläsning. EDRi rapporterar:

»On 11 December 2019, the Austrian Constitutional Court decided that the surveillance law that permits the use of spying software to read encrypted messages violates the fundamental right to respect for private life (article 8 ECHR), the fundamental right to data protection (§ 1 Austrian data protection law) and the constitutionally granted right that prohibits unreasonable searches (Art 9 Austrian bill of rights – Staatsgrundgesetz).«

Detta är högintressant även i ett svenskt perspektiv. Speciellt som domstolen anser att hemlig dataavläsning strider mot den europeiska konventionen om mänskliga rättigheter.

I Sverige har regeringen just lagt fram sin proposition om hemlig dataavläsning – som lider av i stort sett samma grundläggande problem som den österrikiska lagen.

EDRi: Austrian government hacking law is unconstitutional »

Österrike: Ny lag skall göra det möjligt att begära ut nätanvändares personuppgifter

av

Österrike är på väg att införa en lag som kan få högst oönskade konsekvenser: Plattformar och forum skall tvingas lagra detaljerad persondata om sina användare. Dessa uppgifter skall sedan kunna begäras ut – ifall myndigheter eller någon annan överväger rättsliga åtgärder mot användaren ifråga.

Det kommer alltså att räcka med att någon påstår sig överväga rättsliga åtgärder för att till exempel få ut en enskild användares namn och adress. I dessa tider av näthat, de-plattformering och politisk polarisering är det inte svårt att räkna ut vad det kan få för konsekvenser. EDRi kommenterar…

Rather than improving safety online, the resulting “chilling effect” will lead to individuals avoiding sharing their most controversial opinions on a forum that possesses their detailed personal data. In essence, this is a way of imposing self-censorship on individuals.

Vi kan redan se hur bland andra vänster- som högerextrema grupper hotar personer vars åsikter de inte delar, hur enskilda utsätts för politiskt motiverat våld och hur människors bostäder utsatts för skadegörelse och attacker. Är det verkligen klokt att underlätta sådant?

EDRi » Austria: New “responsibility” law will lead to self-censorship »