Wie der European Data Protection Survisor (EDPS) bemängelt, hortet die europäische Polizeibehörde Unmengen an persönlichen Informationen europäischer Bürger aus verschiedenen Ländern, ohne diese in Verbindung mit kriminellen Vergehen bringen zu können. Auch habe Europol offenbar keinen Plan, wie diese Daten im Zuge der Verbrechensbekämpfung verwendet werden könnten.
Die EDPS-Verantwortlichen haben Europol bereits seit 2019 im Visier. Im September 2020 hatten die Datenschützer Europol erstmals aufgefordert technische Maßnahmen zu ergreifen, um Personen und ihre Daten genauer einordnen zu können und nicht länger als nötig speichern zu müssen. Damit ist die Polizeibehörde allem Anschein nach gescheitert. Es sei beispielsweise versäumt worden, eine angemessene Datenaufbewahrungsfrist zu definieren, hieß es. Europol bewahrt diese Daten länger auf als nötig und verstößt so gegen Grundsätze der Datenminimierung.
Sechs Monate - dann muss gelöscht werden
Aus diesem Grund schaltete die EDPS nun einen Gang höher und verordnete Europol Anfang des Jahres eine maximal sechs Monate dauernde Aufbewahrungsfrist für Daten. Alle Datensätze, die älter als sechs Monate sind und nicht einer Kategorisierung der betroffenen Personen unterzogen wurden, müssen gelöscht werden. Das bedeutet, dass es Europol nicht mehr erlaubt sein wird, Daten über Personen, die nicht mit einer Straftat oder einer kriminellen Aktivität in Verbindung gebracht werden können, für längere Zeiträume aufzubewahren.
"In Anbetracht der operativen Bedürfnisse von Europol und der Menge der bisher gesammelten Daten habe ich beschlossen, Europol eine Frist von zwölf Monaten einzuräumen, um die Einhaltung des Beschlusses für die Datensätze, die sich bereits im Besitz von Europol befinden, zu gewährleisten", sagte der europäische Datenschutzbeauftragte und Chef der EDPS Wojciech Wiewiórowski. Es habe keine nennenswerten Fortschritte bei der Behebung des Kernproblems gegeben, begründet der polnische Politiker sein Vorgehen. Die Polizeibehörde habe kontinuierlich personenbezogene Daten über Einzelpersonen gespeichert, ohne festzustellen, ob die Verarbeitung mit den in der Europol-Verordnung festgelegten Grenzen übereinstimmt.
"Eine solche Sammlung und Verarbeitung von Daten kann zu einer riesigen Menge an Informationen führen, deren genauer Inhalt Europol oft erst dann bekannt ist, wenn sie analysiert und extrahiert werden - ein Prozess, der oft Jahre dauert", kritisierte Wiewiórowski. Ein Zeitraum von sechs Monaten für die Voranalyse und Filterung großer Datensätze sollte Europol in die Lage versetzen, den operativen Anforderungen der EU-Mitgliedstaaten gerecht zu werden, die Europol um technische und analytische Unterstützung bitten. Schließlich gehe es gleichzeitig auch darum, die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren. Alle drei Monate muss Europol in diesem Jahr Rechenschaft darüber ablegen, wie man mit den Maßnahmen für besseren Datenschutz vorankommt.
Europol: Datenschutzregeln behindern Verbrechensbekämpfung
Die Europol-Verantwortlichen reagierten verärgert auf die Maßnahmen der Datenschutzbehörde. Man fühle sich höchsten Datenschutzstandards verpflichtet, hieß es in einer Antwort der Polizeibehörde auf die Maßnahmen der EDPS. Die Behörde habe die Hinweise der Datenschützer stets befolgt und seinen Verwaltungsrat über die erzielten Fortschritte auf dem Laufenden gehalten. "Der Beschluss des EDSB wird sich auf die Fähigkeit von Europol auswirken, komplexe und große Datensätze auf Anfrage der EU-Strafverfolgungsbehörden zu analysieren", warnen die Ermittler. Das könne die Bekämpfung von Terrorismus, Cyberkriminalität, internationalem Drogenhandel und Kindesmissbrauch behindern.
Die Arbeit von Europol erstrecke sich häufig über einen Zeitraum von mehr als sechs Monaten, so die Polizeibehörde. Dies zeigten einige der bekanntesten Fälle, die in den letzten Jahren bearbeitet wurden. "Europol wird sich von seinem Verwaltungsrat beraten lassen und den EDSB-Beschluss und seine möglichen Folgen für den Aufgabenbereich der Agentur für laufende Ermittlungen sowie die möglichen negativen Auswirkungen auf die Sicherheit der EU-Bürger bewerten", heißt es in der Stellungnahme.
Unschuldige Menschen im Visier der Polizeibehörden
Die britische Zeitung "Guardian" berichtete, dass in der Europol-Datenbank rund vier Petabyte an Daten über mindestens 250.000 Personen liegen, die nationale Strafverfolger an die europäische Behörde übermittelt hätten. Datenschützer bezeichneten die Datensammlung als "äußerst besorgniserregend" und verglichen den Fall mit der von Edward Snowden enthüllten Massenüberwachung durch die NSA vor einigen Jahren.
"Nach Feststellungen des Europäischen Datenschutzbeauftragten speichert Europol jahrelang und illegal massenhaft Daten über Millionen völlig unverdächtiger Personen, die von nationalen Eingriffsbehörden übermittelt wurden", sagte Patrick Breyer, Europaabgeordneter der Piratenpartei und stellvertretendes Mitglied des Europol-Aufsichtsgremiums JPSG. Es handele sich um große Datenmengen - darunter Handy-Standortdaten und Passagierlisten - von Personen, die in keiner Weise mit kriminellen Aktivitäten in Verbindung stünden. Die Konsequenz aus Breyers Sicht: "Unschuldige Bürger:innen laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren. Die jetzt angeordnete Speicherfrist von sechs Monaten begrenzt dieses Risiko."
EU-Innenkommissarin will Mandat für Europol stärken
Die Causa Europol sorgt auch für Diskussionen innerhalb der Gremien der Europäischen Union. So befeuert das Zerwürfnis zwischen Datenschützern und Polizei die Diskussionen darüber, was wichtiger ist: der Schutz persönlicher Daten oder die Aufklärung beziehungsweise Prävention krimineller Aktivitäten. Beistand erhält Europol von der EU-Innenkommissarin Ylva Johansson. Viele Verbrechen hinterließen digitale Fußspuren, schrieb die Schwedin auf Twitter. "Aber in einer Welt, die von Daten überschwemmt wird, kann die Suche nach Beweisen wie die Suche nach der Nadel im Heuhaufen sein." Strafverfolgungsbehörden bräuchten Instrumente, Ressourcen und die Zeit, um Daten zu analysieren.
In Europa sei Europol die Plattform, die die nationalen Polizeibehörden bei dieser Herkulesaufgabe unterstütze, stärkt Johansson den Ermittlern den Rücken. Europol sei weltweit führend bei der Nutzung von Technologien für die Strafverfolgung wie auch beim Schutz von Grundrechten hinsichtlich personenbezogener Daten. Die Innenkommissarin verweist auf eine geplante neue Verordnung, mit der die Befugnisse der europäischen Polizeibehörde neu geregelt werden sollen. Es sei wichtig, die Verhandlungen zügig abzuschließen und das Mandat für Europol zu stärken, fordert die Politikerin. Dabei gehe es vor allem um "das richtige Gleichgewicht zwischen dem Recht auf Schutz der persönlichen Daten und dem Schutz der Bürger vor schwerer Kriminalität.
Allerdings gibt es unterschiedliche Ansichten darüber, wie beide Seiten ausbalanciert werden sollten. Mit der neuen Europol-Verordnung sollen die illegalen Praktiken einfach legalisiert werden, schimpft EU-Parlamentarier Breyer. "Das ist skandalös."