Der Europäische Datenschutzbeauftragte (EDSB) reichte letzte Woche eine Klage ein, die am Donnerstag (22. September) veröffentlicht wurde, gegen die EU-Mitgesetzgeber, die kürzlich ein gestärktes Mandat für die Strafverfolgungsbehörde Europol angenommen haben.
Für den EDSB, den Datenschutzbeauftragten der EU-Einrichtungen, stellen die von den Organen angenommenen Bestimmungen die Rechtsstaatlichkeit auf EU-Ebene in Frage und bedrohen die Unabhängigkeit der Aufsichtsbehörde.
Die Maßnahmen, die der Datenschutzbeauftragte vor dem EU-Gerichtshof anstrengt, hängen damit zusammen, dass das neue Mandat die Vorratsdatenspeicherung von Europol rückwirkend legalisiert. Im Ergebnis hat das Mandat die Entscheidung der EU-Datenschutzbehörde aufgehoben, die die Strafverfolgungsbehörde auf Datensätze angewiesen hat, für die sie damals keine Zuständigkeit hatte.
Für den Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski gibt es zwei Gründe für die Klage.
„Erstens, um die Rechtssicherheit für Einzelpersonen im hochsensiblen Bereich der Strafverfolgung zu wahren, wo die Verarbeitung personenbezogener Daten schwerwiegende Risiken für die betroffenen Personen birgt“, sagte Wiewiórowski.
„Zweitens, um sicherzustellen, dass der EU-Gesetzgeber im Bereich der Privatsphäre und des Datenschutzes nicht unangemessen „die Torpfosten verschieben“ kann, wo der unabhängige Charakter der Ausübung der Durchsetzungsbefugnisse einer Aufsichtsbehörde Rechtssicherheit der durchzusetzenden Vorschriften erfordert.“
Die Europol-Saga geht auf das Jahr 2019 zurück, als die Exekutivdirektorin der Strafverfolgungsbehörde, Catherine De Bolle, den EDSB um Rat zur Einhaltung seiner Datenverarbeitungspraktiken bat, da Europol immer mehr Massendaten aus den Mitgliedstaaten erhielt.
Das Problem war, dass Europol sich darauf spezialisierte, grenzüberschreitende Ermittlungen zu unterstützen, indem es Big Data verarbeitete, die nicht mehr mit Personen mit nachgewiesener Verbindung zu kriminellen Aktivitäten in Verbindung standen.
Im September 2020 kam der EDSB in einer Mahnung zu dem Schluss, dass Europol sein Mandat überschreite. Insbesondere widersprach die neue Tätigkeit der Bundesnetzagentur dem Grundsatz der Datenminimierung bei der Verarbeitung von Massendaten und Speicherbeschränkungen, da sie sich selbst keine Begrenzung für die Vorratsspeicherung von Daten gesetzt hat.
Im Dezember 2020 legte die Kommission einen Vorschlag zur Überprüfung und Erweiterung des Mandats von Europol als Teil eines umfassenderen Pakets zur Terrorismusbekämpfung vor. Für die EU-Exekutive ist die neue Expertise der Agentur im Data Crunching ein unverzichtbares Instrument zur Verbrechensbekämpfung in einer digitalisierten Welt.
Kritiker wiesen dagegen darauf hin, dass die Kommission illegale Datenverarbeitungsaktivitäten legitimiere und damit einen gefährlichen Präzedenzfall für Strafverfolgungsbehörden schaffe, die ständig testen, wie weit sie bei ihren Überwachungsaktivitäten gehen könnten.
Das neue Mandat wurde im Februar vereinbart und gibt Europol viel mehr Spielraum. Beispielsweise setzt das Mandat der Übermittlung großer Datensätze an die Agentur keine Grenzen, auch aus Ländern, die keine saubere Bilanz hinsichtlich grundlegender Befugnisse haben.
Gleichzeitig wurde die Rolle des EDSB verkleinert. Insbesondere würde die Datenschutzbehörde erst am Ende von Ermittlungen, deren Abschluss Jahre dauern kann, über neue betriebliche Datenverarbeitungen informiert.
Im ursprünglichen Vorschlag der Kommission sollte der Datenschutzbeauftragte entscheiden, ob die neuen Datensätze dem Grundsatz der Verhältnismäßigkeit und den Grundrechten entsprechen. Der angenommene Text überlässt die Entscheidung Europol, während der EDSB lediglich über die Datenübermittlung informiert wird.
Was für Wiewiórowski jedoch die Grenze überschritten hat, war die Tatsache, dass das Mandat de facto hob die Entscheidung auf, die die Behörde nach Abschluss ihrer Untersuchung getroffen hatte. Im Januar 2022 wies der EDSB Europol an, innerhalb eines Jahres alle nicht strafrechtlich relevanten Daten zu löschen.
Im Ergebnis ermöglicht das Mandat Europol, die bereits in seinem Besitz befindlichen Daten weiter zu verarbeiten. Darüber hinaus wurde die Frist für die Bewertung, ob neu eingegangene Daten mit kriminellen Aktivitäten in Verbindung stehen, von sechs Monaten nach Anordnung des EDSB auf drei Jahre verlängert.
Diese Bestimmungen schaffen einen besorgniserregenden Präzedenzfall für den Datenschutzbeauftragten, da die Mitgesetzgeber, der EU-Rat und das Parlament, eine Aufsichtsbehörde aufgrund ihres politischen Willens außer Kraft gesetzt haben. Daher besteht die Gefahr, dass Datenschutzbehörden in Zukunft durch unangemessenen politischen Druck gezwungen werden könnten, was ihre Unabhängigkeit untergräbt.
Die Nichtigkeitsklage landet nun auf dem Schreibtisch des EU-Gerichtshofs. Die Europäische Kommission hat zum Zeitpunkt der Veröffentlichung nicht auf die Bitte von EURACTIV um Stellungnahme geantwortet.
[Edited by Nathalie Weatherald]