Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

L’Ufficio federale della polizia criminale come piattaforma di polizia di grandi dimensioni

Babele Oggi

La legge sui servizi digitali ( DDG-E ) proposta dal governo federale verrà finalmente negoziata al Bundestag entro marzo ed entrerà in vigore ad aprile.

Un aspetto importante della legge ha ricevuto finora troppo poca attenzione: cosa dovrebbe fare esattamente l'Ufficio federale della polizia criminale (BKA) secondo l'articolo 13 DDG-E – la "legislazione di accompagnamento" nazionale dell'articolo 18 della legge sui servizi digitali (DSA) )? Questo ruolo è sufficientemente garantito nell’attuale progetto? E ciò richiede davvero 450 posti di lavoro, come previsto?

Uno sguardo più attento rivela potenziali punti di rottura. Nella “ricezione” e nel trattamento di informazioni su potenziali reati ai sensi del § 13 DDG-E, è probabile che il BKA sia soggetto a restrizioni probabilmente non previste. Inoltre, l’evidenza empirica parla chiaramente contro i requisiti di lavoro previsti.

Il dirompente articolo 18 DSA

Secondo l'articolo 18 DSA, i servizi di hosting hanno l'obbligo di informare le autorità competenti se “sono a conoscenza di informazioni che facciano sorgere il sospetto che sia stato commesso un reato che mette a rischio la vita o l'incolumità di una persona…”. L’articolo 18 DSA indica come autorità responsabili (riceventi) innanzitutto le “autorità di contrasto o giudiziarie dello Stato membro interessato”, che dipendono alternativamente dalla scena del crimine, dal luogo di residenza dell’indagato o da quello della vittima del reato .

Il ruolo della BKA ai sensi dell'art. 13 DDG-E

13 La DDG-E ha lo scopo di incanalare le segnalazioni dei servizi di hosting: la BKA «come ufficio centrale, riceve informazioni ai sensi dell'articolo 18 [DSA]…, tratta queste informazioni nell'ambito dei suoi compiti legali presso la Polizia criminale federale Office Act e trasmette le informazioni alle autorità di contrasto competenti”.

Sembra snello: ricezione centrale, determinazione della responsabilità, inoltro.

In effetti sorgono una serie di domande:

Solo un’offerta – per “accettazione”

13 La DDG-E formula un discorso difensivo: il BKA si limita ad «accettare» le informazioni dei fornitori. Secondo quanto riferito, la formulazione si basa sulla considerazione che l'articolo 18 DSA è determinante per quanto riguarda i possibili destinatari dei rapporti della piattaforma: i fornitori devono (solo) consegnare alle “autorità di polizia o giudiziarie”; non possono essere obbligati dalla normativa nazionale a riferirsi ad un ufficio intermediario centrale. § 13 DDG-E è solo un’offerta: potete semplicemente presentarvi a livello centrale alla BKA invece che ad un pubblico ministero!

Questo è interessante per i fornitori:

Ci saranno casi in cui l'offerente avrà indizi sulla procura competente, ad esempio sulla possibile scena del crimine (video YouTube di un atto violento alla Porta di Brandeburgo) o sulla residenza dell'indagato (geodati dell'utente che ha caricato?). Si tratterebbe di indicazioni della procura locale competente (§ 143 GVG, §§ 7, 8 StPO).

Tuttavia, il fornitore spesso non avrà le conoscenze necessarie. Di norma è quindi consigliabile che i fornitori accettino l'“offerta” e trasmettano le informazioni ai sensi dell'articolo 18 DSA alla BKA. Soprattutto perché la BKA sta già discutendo con i fornitori e sta cercando di progettare il processo di reporting (sviluppo di un'interfaccia/API).

“Ricevere” anche solo informazioni “fornite”?

Uno sguardo più attento rivela una tensione tra l'articolo 18 DSA e l'idea di un ufficio centrale ai sensi della sezione 13 DDG-E, al quale i fornitori possono presumibilmente trasferire centralmente "senza preoccupazioni" tutti i dati ai sensi dell'articolo 18 DSA.

Per fare ciò, è necessario innanzitutto considerare la funzionalità dell’articolo 18 DSA. Il regolamento disciplina l’accesso a due set di dati fondamentalmente diversi. Da un lato c’è il “sospetto” di un reato, che i fornitori devono “comunicare”, cioè trasmettere. Le altre “informazioni rilevanti” (approcci di determinazione come indirizzo IP, dati di pagamento, nome utente, numero di telefono, ecc.), che devono essere rese “disponibili” solo se necessario, ad esempio in un database, spazio di recupero (comprende Holznagel, in: Müller-Terpitz/Köhler, DSA, art. 18 Rn. 35 ss.). Questa differenziazione è delineata nel testo dell’articolo 18 DSA. Questa differenziazione serve soprattutto alla necessaria tutela dei diritti fondamentali: solo quando l'autorità constata che c'è qualcosa nel sospetto (necessariamente) trasmesso può, sulla base di norme specifiche dell'autorità e solo nella misura necessaria, richiamare ulteriori approcci investigativi. , che garantisce poi che si tengano conto degli ostacoli di accesso che possono essere richiesti per diverse categorie di dati secondo il rispettivo diritto costituzionale nazionale (per i dettagli Holznagel ibid. par. 43 ss.).

Se i fornitori – secondo l'interpretazione dell'articolo 18 DSA e contrariamente alle idee della LKA – trasmettono inizialmente solo il sospetto (e non l'intero pacchetto di tutte le informazioni rilevanti), allora § 13 DDG-E con il passivo potrebbero esserci limiti di portata “scontrino”. Perché è ancora coperto dalla dicitura (“ricevere”) se il BKA recupera effettivamente i dati? Forse qui puoi interpretare generosamente il § 13 DDG-E, oppure vedere il "recupero" come un meno delle richieste di informazioni consentite ai sensi dei §§ 9 – 10a BKAG. Ma queste interpretazioni non sembrano del tutto esenti da rischi, poiché il BVerfG presta un'attenzione relativamente rigorosa alla chiarezza delle norme, in particolare quando si tratta dell'accesso statale ai dati a fini investigativi (cfr. BVerfG, decisione del 24 gennaio 2012 – 1 BvR 1299/05 ("Informazioni sui dati di inventario I"), paragrafo 174).

BKA probabilmente immagina una “soluzione a pacchetto”: tutto viene trasmesso

La differenziazione menzionata (il sospetto deve essere trasmesso, le informazioni rilevanti devono essere messe a disposizione) crea in ogni caso un problema in quanto il disegno di legge mira probabilmente a garantire che i fornitori trasmettano immediatamente tutti i dati ai sensi dell'articolo 18 DSA alla BKA “in un colpo solo” (qui la cosiddetta soluzione a pacchetto).

A quanto pare la BKA comunica anche ai fornitori che desiderano una simile soluzione a pacchetto. Secondo quanto riferito, la BKA sta addirittura lavorando a un'API che, una volta utilizzata, imponga ai fornitori di trasmettere set di dati che vanno oltre il semplice "sospetto" (ad esempio l'indirizzo IP come "dati richiesti").

Una tale “soluzione a pacchetto” implica ovviamente che, in caso di dubbio, i dati che non sono assolutamente necessari per lo scopo effettivo dell’articolo 13 DDG-E, vale a dire la trasmissione all’autorità di perseguimento penale competente (in questo caso la cosiddetta funzione di distribuzione), verranno essere anche trasmesso. Se, ad esempio, YouTube viene a conoscenza di un video che mostra un grave atto di violenza alla Porta di Brandeburgo e trasmette al BKA, oltre al video (sospetto), anche l'indirizzo IP e i dati di pagamento memorizzati dell'autore del caricamento (informazioni rilevanti), ciò Ci sono più dati di quelli necessari per determinare la procura competente (Berlino). E se poi il BKA inoltra il pacchetto di dati, la procura di Berlino verrà necessariamente a conoscenza, ad esempio, dell'indirizzo IP, la cui divulgazione sarebbe altrimenti soggetta alla riserva del giudice generale (articoli 100k, 101a par. 1a, 100e StPO).

I timori menzionati (trattamento dati non necessario, aggiramento degli ostacoli all'intervento della StPO) possono essere smentiti: se da un punto di vista formale non esiste un obbligo di notifica al BKA, allora i trasferimenti di dati "eccessivi" menzionati non lo sono (direttamente ) hanno un impatto sovrano. Dal punto di vista formale la responsabilità spetta ai fornitori, che devono chiedersi: possiamo accettare la generosa offerta del BKA e inviare lì l'intero “pacchetto”? Oppure non dovremmo limitarci inizialmente a trasmettere il sospetto – salvando i dati?

Se si desidera la soluzione del pacchetto, cioè se si vuole “convincere” i fornitori a trasmettere tutti i dati in una volta, probabilmente il legislatore dovrebbe chiarire che ai fornitori vengono concessi i permessi o i privilegi adeguati.

Controllo preliminare della rilevanza penale (funzione filtro)

Una domanda di follow-up segue il trasferimento dei dati discusso. La BKA dovrebbe verificare la rilevanza penale dei sospetti presentati prima di procedere al compito principale vero e proprio: la trasmissione alle autorità di perseguimento penale competenti a livello locale (funzione di distribuzione)?

Questa interpretazione del compito è supportata dal fatto che il precedente lavoro della BKA con la Centrale di segnalazione dei contenuti criminali in Internet ( ZMI BKA ), istituito nel 2022 (a causa della sezione 3a NetzDG), prevede già tale rilevanza check (cfr. BT-Drs. 19/17741, p. 31), come si legge anche sul sito ivi:

"La ZMI BKA esamina le segnalazioni presentate per quanto riguarda la loro rilevanza penale…"

Tale controllo di pertinenza implica che il BKA – se non viene rilevato alcun comportamento criminale – “interrompe” il processo. Ciò appare ammissibile perché la trasmissione del sospetto ai sensi dell'articolo 18 DSA non costituisce una denuncia penale ai sensi dell'articolo 158 capoverso 1 StPO, sulla quale ora dovrebbe pronunciarsi l'autorità di perseguimento penale competente.

Anche indagini preliminari in caso di imminente perdita delle prove?

Non è chiaro se e in che misura la BKA debba svolgere indagini preliminari eccessive, cioè indagini che vanno oltre quanto necessario per identificare l'autorità di contrasto competente a livello locale.

Se, ad esempio, TikTok trasmette il video di una corsa automobilistica illegale (in pericolo) nel Duomo di Colonia (è stata individuata la procura competente), il BKA dovrebbe confrontare rapidamente l'indirizzo IP dell'uploader trasmesso (se applicabile) con l'accesso fornitore al fine di identificare il sospettato o identificare potenziali testimoni? Ciò sarebbe pratico, ad esempio per evitare la perdita di prove.

Vale la pena dare un'altra occhiata al sito ZMI BKA, dove potete leggere :

"Lo ZMI BKA… identificherà il presunto autore, se possibile…"

La giustificazione legale per la DDG-E (BT-Drs. 20/10031, p. 72) supporta anche la comprensione di un compito corrispondente:

“La ricezione centrale… può evitare la duplicazione del lavoro nei paesi e le misure urgenti possono essere adottate immediatamente”.

Sembra discutibile se tali indagini da parte del BKA siano consentite.

Secondo l'articolo 13 DDG-E l'ulteriore trattamento dei dati avviene nell'ambito dei compiti della BKAG. In assenza di un adeguamento della BKAG, la BKA dovrebbe probabilmente giustificare un eventuale compito di indagini preliminari (critiche in termini di tempo) presso la funzione centrale generale ai sensi del § 2 par. 1 BKAG, che presuppone una conoscenza approfondita del supporto funzione ivi (e sulla quale sarebbe certamente auspicabile un chiarimento da parte del legislatore).

Resta il dubbio su quali poteri investigativi il BKA dovrebbe poi utilizzare. Probabilmente la BKA non potrebbe basarsi sui §§ 10, 10a BKAG (a causa della limitazione dello scopo lì, "determinare l'autorità di contrasto competente …"). E la norma generale dell'autorità nella Sezione 2 Paragrafo 2 N. 1 BKAG (“raccogliere e valutare informazioni”) sarebbe probabilmente esagerata (cfr. BT-Drs. 13/1550, p. 21 ss.); Le indagini “reali” basate su ciò potrebbero anche soddisfare gli ostacoli d’intervento necessari (cfr. BVerfG, decisione del 27 maggio 2020 – 1 BvR 1873/13 (“Informazioni sui dati di inventario II”), Rn. 204 ss.) nelle sezioni 94 ss. ., 100j , bypassa 100k StPO.

450 posti per il BKA?

Oggi presso ZMI BKA lavorano circa 39 dipendenti. In futuro ci saranno complessivamente 450 posti a causa dell'articolo 13 DDG-E.

Tuttavia, la stima di fondo di 720.000 transazioni trasmesse ogni anno (BT-Drs. 20/10031, p. 64) sembra essere di gran lunga esagerata:

I fornitori di hosting raramente sono a conoscenza dell'articolo 18 DSA: l'articolo 18 DSA richiede un sospetto positivo da parte dell'hosting provider. I risultati delle segnalazioni ai sensi dell'articolo 16 DSA possono essere attribuiti, ma la moderazione automatizzata dei contenuti (filtro) probabilmente non costituisce conoscenza (Holznagel ibid. par. 20 segg.), cioè non fa scattare l'obbligo di notifica del fornitore, che è perché al fornitore già manca La conoscenza raramente deve essere segnalata.

Solo reati gravi : l’articolo 18 DSA si applica solo ai reati che mettono a rischio la vita o l’incolumità di una persona. I fornitori raramente verranno a conoscenza di prove di crimini così gravi.

Evidenze empiriche precedenti: l’articolo 18 DSA è applicabile da tempo alle grandissime piattaforme online (Facebook, TikTok, ecc.), vale a dire dall’agosto 2023 (vedi art. 92 DSA e qui ). I fornitori trasmettono già i dati secondo l'articolo 18 DSA: all'Europol, ma anche alla BKA, tra gli altri. Per il 2023, il numero di casi segnalati è nell’ordine delle tre cifre (!) (vale a dire ben al di sotto dei 720.000 ipotizzati), la maggior parte dei quali sono tentativi di suicidio che, in senso stretto, non rientrano nell’articolo 18 DSA. I cosiddetti numeri NCMEC (cfr. il cosiddetto Rapporto sulle cancellazioni del governo federale 2021 , pag. 31) non servono come base per una stima più elevata, poiché anche lì i fornitori identificano automaticamente i fatti trovati.

Anche il tempo di revisione stimato nel progetto di legge in 60 minuti per caso appare eccessivo. Per l'analogo § 3a NetzDG il governo federale ha ipotizzato di norma una durata del test di 10 minuti (BT-Drs. 19/17741, pag. 24).

Riepilogo

Art. 18 DSA è una norma dirompente. La sezione 13 DDG-E, che ora viene proposta come legislazione nazionale di accompagnamento, potrebbe non riuscire a raggiungere l'obiettivo legislativo di istituire il BKA come un efficace ufficio centrale per i rapporti dei fornitori.

A questo proposito, dovrebbero essere esaminati i miglioramenti:

Soluzione pacchetto e autorità di recupero : se la BKA deve poter ricevere e accedere non solo al sospetto di un reato, ma anche – come probabilmente è il caso – a tutte le informazioni rilevanti (“soluzione pacchetto”), questo compito e l’autorità corrispondente dovrebbe essere chiarito. Allo stesso tempo, ciò darebbe ai fornitori la necessaria certezza giuridica per poter trasferire tutti i dati alla BKA “in una volta sola” (soluzione a pacchetto).

Indagini preliminari : nell'ambito dei compiti della BKA ai sensi dell'art. 13 DDG-E si dovrebbe inoltre specificare in quale misura debbano essere svolte anche indagini preliminari urgenti. A questo riguardo andrebbero chiariti anche i poteri investigativi.

Pianificazione realistica dei posti di lavoro : con 450 posti di lavoro pianificati, la BReg stima troppo generosamente; questo dovrebbe essere corretto verso il basso.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/das-bundeskriminalamt-als-uberdimsensionierte-plattformpolizei/ in data Tue, 13 Feb 2024 07:00:52 +0000.