Einrichtung neuer Datenbanken

Die 2009er-Verordnung bestimmt zudem den Aufbau neuer Datenbanken. Europol hatte bereits zuvor das zentralisierte Europol-Informationssystem (EIS) eingerichtet. Es wird von den Polizeien der Mitgliedstaaten befüllt und speichert Verdächtige oder "potenzielle künftige Straftäter". Als Fundstellennachweis funktioniert das EIS im Treffer/Kein-Treffer-Prinzip, die Beteiligten können darüber erfahren, ob bei Europol, einem der EU-Mitgliedstaaten oder Kooperationspartnern wie Interpol ein korrelierender Datensatz vorhanden ist.

Derzeit liegen im EIS rund 1,5 Millionen Einträge zu Personen, Sachen oder Vorgängen, davon rund ein Drittel aus Deutschland. 2021 haben die Behörden darin mehr als 12 Millionen Suchanfragen durchgeführt, 2020 waren es noch zehn Millionen. 76 Prozent dieser Abfragen stammten letztes Jahr aus Deutschland.

Mit verschiedenen Analyseprojekten (AP) darf Europol seit 2009 zudem grenzüberschreitende Falldateien führen und die dort enthaltenen Informationen "prädiktiv" analysieren. APs existieren zu verschiedenen Phänomenen, darunter etwa zu islamistischem und nicht-islamistischem Terrorismus, "ausländischen Kämpfern", Menschenschmuggel, Cyber- und Umweltkriminalität oder sexuellem Missbrauch von Kindern.

Speicherung im "Datensee"

Zur Auswertung der in den APs liegenden unstrukturierten Daten hatte Europol zunächst die Software Gotham der US-Firma Palantir beschafft. Inzwischen erfolgt die Analyse mit einem angeblich selbst programmierten "automatisierten Datenextraktionstool".

Mit der erst 2016 abermals erneuerten Verordnung hat Europol ein "Integriertes Datenmanagementkonzept" eingeführt. Damit sollte das Problem gelöst werden, dass dieselben Daten zu einer Person getrennt voneinander in das EIS und in die Analyseprojekte eingegeben werden mussten.

Anstatt in "Silos", für die es jeweils bestimmte Zugangsrechte gab, liegen kriminalitätsbezogene Informationen aus den APs und dem EIS nun in einem horizontalen "Datensee" ("data lake"). Die Zugriffsrechte werden nicht mehr nach der Art der Daten, sondern nach dem Zweck ihrer Verarbeitung vergeben.

Neue Verordnung legalisiert rechtswidrige Speicherpraxis

Ursprünglich sollte die Verordnung von 2016 auch die Kontrolle von Europol stärken. Die Agentur ist seitdem dem Europäische Datenschutzbeauftragten (EDSB) unterworfen, der die Durchsetzung der Datenschutzvorschriften überprüfen kann. Ein stumpfes Schwert, wie sich im Zuge der Verabschiedung der aktuellen Verordnung herausstellte.

Der amtierende polnische EDSB Wojciech Wiewiórowski hatte festgestellt, dass Europol in großem Maße Informationen auch von Unverdächtigen speichert und verarbeitet, darunter etwa Kontaktpersonen mutmaßlicher Straftäter. Laut der britischen Tageszeitung The Guardian soll es sich dabei um vier Billiarden Byte handeln. Wiewiórowski hatte Europol deshalb angewiesen, diese Daten sofort zu löschen.

Mit der nun geltenden neuen Verordnung wird diese rechtswidrige Speicherpraxis jedoch rückwirkend legalisiert. Europol soll alle personenbezogenen Daten außerdem für mindestens 18 Monate aufbewahren dürfen, wenn sie noch nicht auf ihren Inhalt analysiert wurden. Diese Frist darf Europol auf bis zu drei Jahre verlängern, ohne den Datenschutzbeauftragten um Erlaubnis zu fragen.

Zahnlose parlamentarische Kontrolle

Mit der Neufassung von 2016 sollte die Agentur außerdem ihre "Fachzentren" weiterentwickeln. Europol hatte bereits ein Europäisches Zentrum zur Bekämpfung der Cyberkriminalität eingerichtet, 2016 folgten ein Zentrum zur Terrorismusbekämpfung und ein Zentrum zur Bekämpfung der Migrantenschleusung. Sie verfügen über zusätzliche Mittel und Personal, erstellen Frühwarnberichte und entsenden "mobile Ermittlungsunterstützungsteams" für Razzien und andere Operationen in den Mitgliedstaaten.

Die Verordnung von 2016 bestimmt außerdem die Einrichtung einer Gemeinsamen Parlamentarischen Kontrollgruppe aus nationalen und EU-Abgeordneten, die sich 2018 konstituiert hat. Von einer tatsächlichen Kontrolle kann aber nicht die Rede sein, dazu ist das Gremium viel zu groß und schwerfällig. Zudem wird ihr Auftrag mitunter grob falsch interpretiert. Während der deutschen Ratspräsidentschaft hatte der niedersächsische Innenminister Boris Pistorius den Co-Vorsitz übernommen. Der SPD-Politiker nutzte dies für die Verbreitung der Forderung, die Agentur "weiter zu stärken und angemessen auszustatten" - also das Gegenteil einer Einhegung von Europol, wie es von einer parlamentarischen Kontrollgruppe zu erwarten wäre.

Die Breitseite von Pistorius geht auf eine Forderung des deutschen Bundesrates zurück, der ebenfalls an der parlamentarischen Kontrolle Europols teilnehmen wollte und sich dabei durch Landesinnenminister vertreten ließ. Ein grobes Missverständnis, denn der Bundesrat ist zwar eine gesetzgebende Kammer im Sinne des EU-Rechts, aber kein Parlament, wie es in der Kontrollgruppe vorgesehen ist. Zudem ist der Bundesrat bereits in Aufsichtsgremien von Europol vertreten, darunter etwa dem Verwaltungsrat.