Der Europäische Datenschutzbeauftragte (EDSB) wies die Strafverfolgungsbehörde Europol an, die personenbezogenen Daten von Personen zu löschen, die keinen nachgewiesenen Zusammenhang mit kriminellen Aktivitäten haben, und schloss eine im April 2019 eingeleitete Untersuchung ab.
Der EDSB leitete die Untersuchung aufgrund von Bedenken ein, dass die Datenverarbeitungstätigkeiten von Europol über sein Mandat hinausgehen und gegen seine Datenschutzvorschriften verstoßen.
Diese Bedenken wurden bestätigt, als der Datenschutzbeauftragte seine Untersuchung im September 2020 abschloss und Europol ermahnte, die noch offenen strukturellen Probleme anzugehen. Für die Aufsichtsbehörde verstieß die EU-Agentur gegen den Grundsatz der Datensparsamkeit, indem sie personenbezogene Daten von Personen ohne nachgewiesenen Bezug zu kriminellen Aktivitäten einbezog.
Darüber hinaus vertrat der EDSB die Auffassung, dass diese Datenverarbeitungspraktiken gegen den Grundsatz der Beschränkung der Speicherung verstoßen, der anordnet, dass Daten nur so lange aufbewahrt werden, wie es unbedingt erforderlich ist. Der Datenschutzbeauftragte ist der Auffassung, dass Europol es versäumt hat, in beiden Fällen die notwendigen Änderungen vorzunehmen, um die Einhaltung zu gewährleisten.
„Europol hat sich mit mehreren der Datenschutzrisiken befasst, die in der ersten Untersuchung des EDSB festgestellt wurden. Es gab jedoch keine nennenswerten Fortschritte bei der Bewältigung des Kernanliegens, dass Europol fortlaufend personenbezogene Daten über Einzelpersonen speichert, wenn nicht festgestellt wurde, dass die Verarbeitung die in der Europol-Verordnung festgelegten Grenzen einhält“, sagte Wojciech Wiewiórowski des EDSB.
Die EDSB-Sonde
Der Aufgabenbereich von Europol besteht darin, Daten zu grenzüberschreitenden Fällen zu sammeln und sie den nationalen Behörden zur Unterstützung ihrer Ermittlungen zur Verfügung zu stellen. In den letzten Jahren hat sich die Behörde jedoch darauf spezialisiert, riesige Datenmengen zu verarbeiten, um neue Polizeiinstrumente zu entwickeln und Algorithmen zu trainieren.
Infolgedessen gab der EDSB bekannt, dass die Agentur nicht mehr nur Daten verarbeitet, die für bestimmte Ermittlungen relevant sind, sondern große Datensätze der nationalen Strafverfolgungsbehörden verarbeitet. Diese Datensätze stammen aus einer unbekannten Anzahl von strafrechtlichen Ermittlungen und können Daten von Verdächtigen schwerer Straftaten und allen Personen enthalten, die mit ihnen interagiert haben.
„Es ist äußerst wichtig, dass die Strafverfolgungsbehörden bei der Verfolgung effektiver Big-Data-basierter Modelle einen Weg finden, diesen zu gehorchen [data protection] Prinzipien und erfüllt gleichzeitig die operativen Anforderungen der EU-Mitgliedstaaten“, sagte Paolo Balboni, Datenschutzprofessor an der Universität Maastricht, gegenüber EURACTIV.
Laut Guardian hätte Europol derzeit Daten im Wert von 1.000.000 Gigabyte.
„Der Datenschutz und die Grundrechte müssen gewahrt werden, das ist gerade für eine Strafverfolgungsbehörde von entscheidender Bedeutung“, sagte Saskia Bricmont, Europaabgeordnete der Grünen.
Neufassung des Mandats
In seinem Aktionsplan zur Reaktion auf die Ergebnisse der Ermahnung forderte Europol die Europäische Kommission auf, ihr Mandat zu überarbeiten, was von Interessenträgern als Versuch zur Legalisierung rechtswidriger Praktiken kritisiert wurde.
Im Gegensatz dazu argumentieren Sicherheitsbefürworter, dass diese datengesteuerten Tools für Strafverfolgungsbehörden notwendig geworden sind, um mit den neuen Bedrohungen durch digitale Technologien Schritt zu halten.
„Für uns ist klar, dass die Strafverfolgung die Kriminalität nicht wirksam bekämpfen kann, wenn sie keine großen Datenmengen verarbeiten kann. Diese Datenverarbeitung erfordert einen erheblichen Zeitaufwand“, sagte ein Sprecher der Europäischen Kommission gegenüber EURACTIV.
Der Vertreter der Kommission verwies auf den Fall der EntroChat-Operation, bei der Europol im August 2020 die französischen und niederländischen Behörden dabei unterstützt hatte, sich in den verschlüsselten Messaging-Dienst zu hacken. Die Operation führte zu Tausenden von Festnahmen in ganz Europa, darunter Drogenhandel, Korruption und Gewaltverbrechen.
Die Europäische Kommission hat der Agentur im Dezember 2020 ein neu gefasstes Mandat vorgelegt und es als Teil einer umfassenderen Strategie zur Verstärkung der Grenzkontrollen und der Terrorismusprävention vorgestellt.
Die gesetzgebenden Organe der EU haben ihren Standpunkt zum neuen Mandat endgültig festgelegt und befinden sich derzeit in interinstitutionellen Verhandlungen. Laut einer zu diesem Thema informierten Quelle haben sich die EU-Institutionen in den meisten Fragen geeinigt und könnten in den kommenden Wochen eine Einigung erzielen.
„Europol hat zu lange außerhalb des Gesetzes gehandelt, was inakzeptabel ist. Die Entscheidung sendet eine dringend benötigte Botschaft an das Europäische Parlament: Hüten Sie sich vor den Befugnissen, die Europol bei der laufenden Reform eingeräumt wird, da jede Lücke zum Nachteil der Datenschutzrechte der Menschen ausgenutzt wird“, sagte Chloé Berthélémy, Politikberaterin bei European Digital Rechte (EDRi).
Für Javier Zarzalejos, den Europaabgeordneten, der das EU-Parlament bei den Verhandlungen vertritt, „hat die Position des Parlaments ein angemessenes Gleichgewicht zwischen den operativen Anforderungen von Europol bei seiner Aufgabe, die Mitgliedstaaten zu unterstützen, und strengeren Datenschutzgarantien angestrebt“.
Folgen der Entscheidung
Europol hat 12 Monate Zeit, um die strafrechtliche Relevanz der Daten nachzuweisen oder sie für aktuelle Datensätze zu löschen. Bisher weigerte sich Europol, einen festen Zeitplan festzulegen, da dieser mit seinen Operationen nicht vereinbar war.
Der EDSB gab der Agentur sechs Monate Zeit, um neue Datensätze zu erhalten, um deren Relevanz zu bewerten. Dieser Zeitplan würde mit dem neuen Mandat auf 3 Jahre verlängert, vorbehaltlich einer Bestätigung während der Trilog-Verhandlungen.
„Der Zeitraum der Datenspeicherung sollte lang genug sein, damit Europol seine Aufgaben effektiv erfüllen und seinen Mehrwert für die Arbeit der nationalen Strafverfolgungsbehörden, auch in komplexen Fällen der Terrorismusbekämpfung, erbringen kann“, fügte der Kommissionssprecher hinzu.
[Edited by Nathalie Weatherald]