heise online

EU-Datenschützer klagt gegen Europol-Befugnis zur Massenüberwachung

Stefan Krempl

2022-09-22T12:55:00+02:00

Europol darf per neuem Mandat auch Daten Unverdächtiger im großen Stil auswerten. Der EU-Datenschutzbeauftragte zieht dagegen vor den Europäischen Gerichtshof.

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski treibt den langjährigen Streit über das Anhäufen riesiger Datenberge und Big-Data-Analysen durch Europol auf die Spitze: Er beantragte nach eigenen Angaben am 16. September, dass der Europäische Gerichtshof (EuGH) zwei einschlägige Bestimmungen der jüngst geänderten Europol-Verordnung für nichtig erklärt. Die Artikel 74a und 74b hätten den Effekt, "dass sie rückwirkend die Praxis von Europol legalisieren, große Mengen an personenbezogenen Daten von Personen zu verarbeiten, ohne dass eine Verbindung zu einer kriminellen Aktivität nachgewiesen ist".

Big-Data-Analysen für die EU-Staaten

Die umkämpfte neue Europol-Verordnung ist Ende Juni in Kraft getreten. Das Mandat für das Europäische Polizeiamt erweiterten die EU-Gesetzgeber mit der Reform deutlich. Seine Ermittler dürfen so künftig umfangreiche und komplexe Datensätze verarbeiten und mit Big-Data-Analysen die Mitgliedstaaten in ihrem Kampf gegen schwere Kriminalität und Terrorismus unterstützen.

Vor allem nationale Strafverfolgungsbehörden wie das Bundeskriminalamt (BKA) oder die französische Nationalpolizei beliefern Europol schon seit Jahren mit großen Mengen an Daten. Der Datenspeicher des Polizeiamts umfasst Schätzungen zufolge spätestens mit dem Unterwandern der verschlüsselten Kommunikationsdienste Sky ECC und Encrochat mittlerweile insgesamt mindestens vier Petabyte.

Schon 2020 hatte Wiewiórowski gerügt, dass Europol-Ermittler mit dem Sammeln und Analysieren nicht mehr überschaubarer Datenmengen ihre Befugnisse überschritten und rechtswidrig gehandelt hätten. Unverdächtige wie Opfer, Zeugen oder Kontaktpersonen liefen damit Gefahr, "unrechtmäßig mit einer kriminellen Aktivität in der gesamten EU in Verbindung gebracht zu werden".

"Schwere Risiken" für die Betroffenen

Der Kontrolleur ordnete Anfang des Jahres dann an, dass die Strafverfolgungsbehörde künftig binnen sechs Monaten entscheiden müsse, ob sie erhaltene personenbezogene Informationen längerfristig speichern und verwenden darf. Diese Auflage wurde mit dem novellierten Mandat aber weitgehend hinfällig.

Wiewiórowski stellt mit seiner Klage ernüchtert fest, dass die EU-Gesetzgeber beschlossen hätten, "diese Art der Datenverarbeitung rückwirkend zu legalisieren" und so seine Anordnung "außer Kraft zu setzen". Er sehe sich daher gezwungen, gegen die beiden Artikel vorzugehen. Es gelte, die "Rechtssicherheit für Einzelpersonen in dem hochsensiblen Bereich der Strafverfolgung zu schützen", begründet er seinen Gang vor den EuGH. Die Verarbeitung personenbezogener Daten bringe in diesem Bereich "schwere Risiken für die betroffenen Personen mit sich".

Der Amtschef will ferner sicherstellen, "dass der EU-Gesetzgeber im Bereich des Schutzes der Privatsphäre und des Datenschutzes, in dem der unabhängige Charakter der Ausübung der Durchsetzungsbefugnisse einer Aufsichtsbehörde Rechtssicherheit in Bezug auf die durchzusetzenden Vorschriften erfordert, nicht in unzulässiger Weise 'die Zielpfosten verschiebt'". Er spart so nicht mit Kritik am Vorgehen der EU-Abgeordneten und der Mitgliedsstaaten.

Löschverpflichtung aufgehoben

Bei der Erhebung von Daten im Rahmen der früheren Europol-Verordnung konnten die Bürger Wiewiórowski zufolge zumindest davon ausgehen, dass Europol beim Erhalt ihrer personenbezogenen Daten verpflichtet sein würde, "innerhalb von sechs Monaten zu prüfen, ob eine Verbindung zu einer kriminellen Tätigkeit besteht". Andernfalls sollten einschlägige Informationen – wie von ihm vorgeschrieben – in einem ersten Schritt spätestens am 4. Januar 2023 gelöscht werden. Die neuen Bestimmungen erlaubten es den Ermittlern aber, die noch nicht gelöschten Daten trotz der Anordnung weiter zu verarbeiten.

"Die Entscheidung der Mitgesetzgeber, solche Änderungen einzuführen, untergräbt die unabhängige Ausübung der Befugnisse der Kontrollbehörden", moniert der Aufseher. Die angefochtenen Bestimmungen schafften einen beunruhigenden Präzedenzfall: Behörden könnten damit "mögliche Gegenreaktionen des Gesetzgebers vorwegnehmen, die darauf abzielen, ihre Aufsichtstätigkeiten je nach politischem Willen außer Kraft zu setzen".

Kontrolleure könnten so gezwungen werden, "politische Präferenzen zu berücksichtigen", kritisiert Wiewiórowski. Es wäre möglich, sie "ungebührlichem politischen Druck" auszusetzen, was "ihre in der EU-Grundrechtecharta verankerte Unabhängigkeit untergräbt".

Europol selbst beschrieb ihre neuen Kompetenzen vor Kurzem so: Man sei nun in der Lage, "personenbezogene Daten ohne die Kategorisierung der betroffenen Person zu verarbeiten, solange und wann immer dies für die Unterstützung einer bestimmten laufenden strafrechtlichen Ermittlung erforderlich ist". Dies spiele allem für den Umgang mit großen und komplexen Datensätzen eine wichtige Rolle, die erst kategorisiert werden könnten, "wenn die relevanten Informationen extrahiert und analysiert" worden seien.

(mho)