EU-Datenschutzbehörde rügt Europol wegen Datenverarbeitung

Europol ist die EU-Agentur für die Zusammenarbeit im Bereich der Strafverfolgung. [Shutterstock/JPstock]

Der Europäische Datenschutzbeauftragte (EDSB) wies die Strafverfolgungsbehörde Europol an, personenbezogene Daten von Personen zu löschen, die nicht nachweislich mit kriminellen Aktivitäten in Verbindung stehen, und schloss damit eine im April 2019 begonnene Untersuchung ab.

Der EDSB leitete die Untersuchung aufgrund von Bedenken ein, dass die Datenverarbeitungsaktivitäten von Europol über sein Mandat hinausgingen und gegen seine Datenschutzbestimmungen verstießen.

Diese Bedenken wurden bestätigt, als der EDSB seine Untersuchung im September 2020 abschloss und Europol ermahnte, die noch offenen strukturellen Probleme zu lösen. Nach Ansicht der Aufsichtsbehörde verstieß die EU-Agentur gegen den Grundsatz der Datenminimierung, indem sie personenbezogene Daten von Personen einbezog, die nachweislich keinen Bezug zu kriminellen Aktivitäten hatten.

Darüber hinaus war der EDSB der Ansicht, dass diese Art der Datenverarbeitung gegen den Grundsatz der Speicherbegrenzung verstößt, der besagt, dass Daten nur so lange wie unbedingt nötig aufbewahrt werden. Die Behörde ist auch der Ansicht, dass Europol es versäumt hat, die notwendigen Änderungen vorzunehmen, um die Einhaltung der Vorschriften in beiden Fällen zu gewährleisten.

„Europol hat sich mit mehreren der Datenschutzrisiken befasst, die in der ersten Untersuchung des EDSB festgestellt wurden. Es gab jedoch keine nennenswerten Fortschritte bei der Behebung des Kernproblems – der Tatsache, dass Europol kontinuierlich personenbezogene Daten über Einzelpersonen speichert, obwohl es nicht festgestellt hat, dass die Verarbeitung den in der Europol-Verordnung festgelegten Grenzen entspricht“, sagte Wojciech Wiewiórowski vom EDSB.

Europol verteidigt seine "Big-Data-Taktiken"

Die EU-Strafverfolgungsbehörde Europol hat ihre Nutzung großer Datensätze für strafrechtliche Ermittlungen verteidigt. Die Agentur legte außerdem einen „Aktionsplan“ vor, um die Bedenken über die wohl illegale Datennutzung zu zerstreuen.

Die EDSB-Schlussfolgerungen

Europol sammelt Daten über grenzüberschreitende Fälle und stellt sie den nationalen Behörden zur Unterstützung ihrer Ermittlungen zur Verfügung. In den letzten Jahren hat sich die Agentur jedoch auf die Verarbeitung großer Datenmengen spezialisiert, um neue polizeiliche Instrumente zu entwickeln und Algorithmen zu trainieren.

Infolgedessen deckte der EDSB auf, dass die Agentur nicht mehr nur Daten verarbeitete, die für bestimmte Ermittlungen relevant waren, sondern große Datensätze von nationalen Strafverfolgungsbehörden verarbeitete. Diese Datensätze stammten aus einer unbekannten Anzahl von strafrechtlichen Ermittlungen und könnten Daten von Verdächtigen schwerer Straftaten und allen, die mit ihnen interagiert haben, enthalten.

„Es ist äußerst wichtig, dass die Strafverfolgungsbehörden bei der Verfolgung effektiver Big-Data-gesteuerter Modelle einen Weg finden, diese [Datenschutz-]Grundsätze einzuhalten und gleichzeitig die operativen Anforderungen der EU-Mitgliedstaaten zu erfüllen“, erklärte Paolo Balboni, Professor für Datenschutz an der Universität Maastricht, gegenüber EURACTIV.

Laut dem Guardian würde Europol derzeit über Daten im Wert von 1.000.000 Gigabyte verfügen.

„Datenschutz und Grundrechte müssen gewahrt werden, das ist gerade für eine Strafverfolgungsbehörde von entscheidender Bedeutung“, sagte die Grünen-Europaabgeordnete Saskia Bricmont.

Neufassung des Mandats

Als Reaktion auf die Ermahnung forderte Europol in seinem Aktionsplan die EU-Kommission auf, das Mandat von Europol zu überarbeiten. Datenschützer kritisierten dies als Versuch, ungesetzliche Praktiken zu legalisieren.

Im Gegensatz dazu argumentieren Sicherheitsbefürworter, dass diese datengesteuerten Instrumente für die Strafverfolgungsbehörden notwendig geworden sind, um mit den neuen Bedrohungen durch die digitalen Technologien Schritt zu halten.

„Für uns ist klar, dass die Strafverfolgungsbehörden Verbrechen nicht wirksam bekämpfen können, wenn sie keine großen Datenmengen verarbeiten können. Diese Datenverarbeitung erfordert eine beträchtliche Menge an Zeit“, sagte ein Sprecher der Europäischen Kommission gegenüber EURACTIV.

Der Kommissionsvertreter verwies auf den Fall der EntroChat-Operation, bei der Europol im August 2020 die französischen und niederländischen Behörden dabei unterstützte, sich in den verschlüsselten Messaging-Dienst zu hacken. Die Operation führte zu Tausenden von Verhaftungen in ganz Europa, unter anderem wegen Drogenhandel, Korruption und Gewaltverbrechen.

Die Europäische Kommission legte im Dezember 2020 ein neu gefasstes Mandat für die Agentur vor und präsentierte es als Teil einer umfassenderen Strategie zur Verstärkung der Grenzkontrollen und zur Terrorismusprävention.

Die EU-Mitgesetzgeber haben ihren Standpunkt zu dem neuen Mandat festgelegt und führen derzeit interinstitutionelle Verhandlungen. Nach Angaben einer mit der Angelegenheit vertrauten Quelle haben sich die EU-Institutionen in den meisten Punkten geeinigt und könnten in den kommenden Wochen eine Einigung erzielen.

„Europol hat zu lange außerhalb des Gesetzes gehandelt, was nicht akzeptabel ist. Die Entscheidung sendet eine dringend benötigte Botschaft an das Europäische Parlament: Vorsicht mit den Befugnissen, die Europol im Rahmen der laufenden Reform übertragen werden, da jedes Schlupfloch zum Nachteil der Datenschutzrechte der Bürger ausgenutzt wird“, sagte Chloé Berthélémy, politische Beraterin bei European Digital Rights (EDRi).

„Der Standpunkt des Parlaments hat ein angemessenes Gleichgewicht zwischen den operativen Anforderungen von Europol bei seiner Aufgabe, die Mitgliedstaaten zu unterstützen, und strengeren Datenschutzgarantien angestrebt“, sagtJavier Zarzalejos, der das EU-Parlament bei den Verhandlungen vertritt.

Polizeibehörden in Europa sollen Direktzugriff auf Bilder von Straftätern erhalten

Die Polizeibehörden in Europa sollen eine bessere Handhabe gegen die grenzüberschreitende Kriminalität erhalten. Dafür schlug die EU-Kommission am Mittwoch (8. Dezember) in Brüssel unter anderem einen intensiveren Datenaustausch vor.

Die Folgen der Entscheidung

Europol hat 12 Monate Zeit, um nachzuweisen, dass die Daten strafrechtlich relevant sind, sonst werden sie aus den aktuellen Datensätzen gelöscht. Bis jetzt weigerte sich Europol, einen festen Zeitrahmen festzulegen, da es diesen als unvereinbar mit seiner Tätigkeit ansah.

Der EDSB räumte der Agentur sechs Monate für neue Datensätze ein, um deren Relevanz zu bewerten. Diese Frist würde mit dem neuen Mandat auf 3 Jahre ausgedehnt werden, vorbehaltlich der Bestätigung während der Trilog-Verhandlungen.

„Der Zeitraum für die Vorratsdatenspeicherung sollte ausreichend lang sein, damit Europol seine Aufgaben wirksam erfüllen und seinen zusätzlichen Beitrag zur Arbeit der nationalen Strafverfolgungsbehörden leisten kann, auch in komplexen Fällen der Terrorismusbekämpfung“, fügte der Sprecher der Kommission hinzu.

[Bearbeitet von Nathalie Weatherald]

Subscribe to our newsletters

Subscribe