Encrochat, Sky ECC & Co: Europol soll massenhaft Daten auswerten dürfen
Das Mandat für die europäische Polizeibehörde soll deutlich ausgeweitet werden. Nach dem Entwurf zur Reform der Europol-Verordnung, auf den sich Verhandlungsführer des EU-Ministerrats und des Europäischen Parlaments geeinigt haben, könnte Europol umfangreiche und komplexe Datensätze verarbeiten und Big-Data-Analysen durchführen. Damit könne Europol die Mitgliedstaaten in ihrem Kampf gegen schwere Kriminalität und Terrorismus unterstützen, sagen die Urheber des Entwurfs.
Vor allem von nationalen Strafverfolgungsbehörden wie dem Bundeskriminalamt (BKA) erhält Europol bereits seit Längerem große Mengen an Daten. Die in Den Haag sitzende Behörde sei daher " für die polizeiliche Zusammenarbeit von entscheidender Bedeutung ", erklärte der Rat(öffnet im neuen Fenster) . So habe sie wesentlich dazu beigetragen, dass kriminelle, über verschlüsselte Kommunikationskanäle agierende Netzwerke "unschädlich gemacht werden konnten" . Das Gremium verweist vor allem auf die Operationen gegen die verschlüsselten Messenger Encrochat und Sky ECC .
Laut Guardian umfassen die als "schwarzes Loch" beschriebenen Datenspeicher mittlerweile mindestens vier Petabyte(öffnet im neuen Fenster) . Dies entspreche dem Fassungsvermögen von drei Millionen CD-ROMs oder eines Fünftels des Bestands der US Library of Congress.
Die Rede ist von einer großen "Datenarche" , die Milliarden an Informationspunkten umfasse. Ob Erkenntnisse aus einschlägigen Analysen etwa vor Gericht verwendet werden dürften, ist heftig umstritten .
EU-Datenschützer ordnete Löschung an
Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hatte schon im Oktober 2020 moniert, dass Europol-Ermittler mit dem Sammeln und Analysieren solcher nicht mehr überschaubaren Datenmengen ihre Befugnisse überschritten und gegen Gesetze verstießen. Unverdächtige wie Opfer, Zeugen oder Kontaktpersonen liefen damit Gefahr, "unrechtmäßig mit einer kriminellen Aktivität in der gesamten EU in Verbindung gebracht zu werden" .
Anfang Januar ordnete Wiewiórowski an , dass das Polizeiamt künftig binnen sechs Monaten entscheiden müsse, ob es erhaltene personenbezogene Informationen längerfristig speichern und verwenden dürfe. Daten mit unklarem Status seien im Anschluss zu löschen. Der Kontrolleur räumte Europol zudem eine Übergangsfrist von zwölf Monaten ein, um den neuen Auflagen für die Datensätze nachzukommen, die bereits vor der Bekanntgabe der Entscheidung bei der Strafverfolgungsbehörde eingegangen waren.
Schon frühe Entwürfe für die neue Europol-Verordnung sahen aber vor, dass die Strafverfolger im großen Stil Daten speichern und auswerten können sollten. Auf Vorschlag der französischen Ratspräsidentschaft(öffnet im neuen Fenster) fügten die Verhandlungsführer der EU-Gesetzgebungsgremien nun zusätzlich einen Artikel 74a in das Vorhaben ein.
Demnach könnten nach einer Übergangszeit die Mitgliedstaaten, die Europäische Staatsanwaltschaft und die Justizbehörde Eurojust dem Polizeiamt mitteilen, dass sie das neue Europol-Mandat auch auf Daten anwenden wollten, die sie bereits vor dessen Greifen nach Den Haag lieferten. Europol dürfte so Ermittlungen, die auf der Grundlage dieser Altbestände durchgeführt werden, weiter unterstützen.
Bedrohung für die Aufsicht und Rechtsstaatlichkeit
In der Praxis würde dies bedeuten, dass die illegale Datenverarbeitung bei Europol "rückwirkend legalisiert wird" , monierten die Bürgerrechtsorganisation European Digital Rights (EDRi) und 22 weitere zivilgesellschaftliche Organisationen wie Privacy International, Statewatch, Access Now und La Quadrature du Net noch kurz vor der finalen Verhandlungsrunde.
Dies käme "einem großen Schlag gegen die Rechtsstaatlichkeit und die Rechte der Betroffenen" gleich. Das Bündnis forderte die politischen Entscheidungsträger daher auf, die Pläne für die Novelle umfassend zu überarbeiten. Die umstrittenen Klauseln sollten gestrichen, Datenschutzgarantieren und die Aufsicht gestärkt werden.
Wiewiórowski zeigte sich bei einer Anhörung im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im EU-Parlament am vergangenen Dienstag besorgt über Änderungsanträge am ursprünglichen Verordnungsentwurf(öffnet im neuen Fenster) , die seine Ansicht und die Aufsichtsbefugnisse der von ihm geleiteten Behörde missachteten. Die bisherige rechtliche Ausnahme für das Durchforsten großer Datenberge durch Europol würde damit zur Regel. Dass ein Gesetz verwendet werden solle, um die Polizeibehörde nachträglich von bereits sanktionierten Datenschutzverstößen freizusprechen, rügte der Kontrolleur als "direkte Bedrohung" für seine Autorität als Aufsichtsinstanz.
Laut der Absprache der EU-Gremien, die noch formell in einer Ratssitzung sowie durch das Parlamentsplenum bestätigt werden muss, darf Europol künftig zudem personenbezogene Daten von Unternehmen wie Facebook und Google, Banken sowie Fluglinien im großen Stil entgegennehmen, speichern und analysieren. Dies soll auch für Informationen aus Drittländern gelten, solange sie "angemessene Datenschutzgarantien in einem rechtsverbindlichen Instrument festgelegt haben" oder Europol solche Sicherheitsvorkehrungen gegeben sieht.
EU-Abgeordnete der Mitte-Links-Fraktionen wie Birgit Sippel (SPD) kritisierten bei der Anhörung(öffnet im neuen Fenster) , dass schon der ursprüngliche Vorschlag der Kommission Praktiken legitimiere, die gegen die Datenschutzvorschriften verstießen. Damit werde ein gefährlicher Präzedenzfall geschaffen.
Massenüberwachung im NSA-Stil?
Der Abgeordnete Patrick Breyer (Piratenpartei) versicherte: "Meine Fraktion hat sich in den Verhandlungen gegen die Reform stark gemacht." Inakzeptabel sei etwa die vorgesehene Kooperation von Europol mit Konzernen wie Google, Meta und Microsoft, da diese per Chatkontrolle massenhaft Personen zu Unrecht anzeigten .
"Wenn Europol nur nach bestimmten Informationen fragen muss, um sie auf dem Silbertablett serviert zu bekommen, dann kommen wir einer NSA-ähnlichen Behörde immer näher," hatte zuvor Eric Töpfer vom Deutschen Institut für Menschenrechte zu bedenken gegeben.
Europol-Vizechef Jürgen Ebner weist solche Vorwürfe zurück. Vor den Volksvertretern betonte er: "Wir machen keine Massenüberwachung." Dazu fehlten schon die technischen Mittel. Der erweiterten Verordnung zufolge soll Europol aber auch neue Konzepte und technologische Lösungen zur Datenauswertung etwa auf Basis künstlicher Intelligenz entwickeln.