„Mehr als 100 Millionen“. So viele verschlüsselte Nachrichten haben französische und niederländische Strafverfolgungsbehörden nach der Infiltrierung von Encrochat im Jahr 2020 gesammelt, einem Unternehmen, das verschlüsselte Kommunikationsdienste und -geräte verkauft, schreibt Chloé Berthélémy.
Chloé Berthélémy ist Politikberaterin und Leiterin der staatlichen Überwachung bei European Digital Rights, einem europäischen Netzwerk, das Rechte und Freiheiten im Internet verteidigt.
Vor drei Monaten prahlte die Polizei in Belgien und den Niederlanden damit, Sky ECC, einen ähnlichen Anbieter von verschlüsselten Messaging-Diensten, zu Fall zu bringen. Diese Bemühungen verschafften ihnen Zugang zu „bis zu einer Milliarde Nachrichten“.
Am 8. Juni war das US-Bundeskriminalamt (FBI) an der Reihe, zu erklären, wie es Menschen dazu verleitet hatte, die von den Strafverfolgungsbehörden selbst gebaute Kommunikationsplattform ANOM zu nutzen, um die Kommunikation von Menschen auszuspionieren.
Diese „Erfolgsgeschichten“ der Polizei spiegeln die globalen und wachsenden Bemühungen der Ermittlungsbehörden wider, immer aufdringlichere Tools zu entwickeln und einzusetzen, die auch als „Government-Hacking“ bekannt sind, um illegale Aktivitäten zu untersuchen. Dies wird durch die jüngste Verabschiedung spezifischer Gesetze in mehreren EU-Mitgliedstaaten zur Legalisierung von Hacking-Praktiken belegt.
Die Infiltration eines Netzwerks ist äußerst aufdringlich, da sie Zugriff auf eine viel größere Datenmenge als herkömmliche Ermittlungstools sowie auf äußerst sensible Daten (wie den Standort und die Bewegungen einer Person, alle gespeicherten Daten wie Fotos usw.) .
Wenn eine ganze Plattform ins Visier genommen wird, werden die Daten aller abgerufen und analysiert, auch von Personen, die keine Verbindung zu kriminellen Aktivitäten haben.
Ein solches Abfangen von Massendaten könnte potenziell Personen betreffen, deren Kommunikation durch nationale Gesetze geschützt ist (wie Anwälte, Ärzte und Journalisten) oder Benutzer, die ein legitimes Bedürfnis nach strengem Datenschutz haben (wie Menschenrechtsverteidiger und Whistleblower).
Die betroffenen Grundrechte beschränken sich daher nicht auf das Recht auf Datenschutz und Privatsphäre, sondern umfassen auch das Recht auf ein faires Verfahren, die Medienfreiheit und die Meinungsfreiheit.
Diese Bedenken werden noch dadurch verschärft, dass die Strafverfolgungsbehörden Terabytes an Daten auswerten müssen, die während Massen-Hacking-Operationen gesammelt wurden. In diesen Fällen hilft der Einsatz von Data-Mining-Tools, unbekannte potenzielle Verdächtige anhand der schieren Datenmenge zu identifizieren.
Dies erfordert jedoch ausgereifte Analysetechnologien und Fachwissen – Ressourcen, über die die nationalen Behörden manchmal nicht verfügen.
Die Mitgliedstaaten verlassen sich daher auf die Kapazitäten von Europol in den Bereichen „digitale Forensik“ und Big-Data-Analyse. Die Europäische Agentur für polizeiliche Zusammenarbeit fungiert als Kompetenz- und Informationszentrum für alle Polizeikräfte in der Europäischen Union (EU).
Eine Untersuchung des Europäischen Datenschutzbeauftragten (EDSB) im vergangenen Jahr ergab jedoch, dass die Datenpraktiken von Europol rechtswidrig sind. Der EDSB stellte fest, dass Europol die Daten von Personen verarbeitete, die in keiner Weise mit kriminellen Aktivitäten in Verbindung gebracht wurden, um große Datensätze zu analysieren, die von den Mitgliedstaaten übermittelt wurden, um „kriminelle Nachrichten“ zu gewinnen.
Obwohl dies nach den aktuellen Datenverarbeitungsvorschriften von Europol rechtswidrig ist, bleiben die Methoden der Agentur ungehindert. Anstatt Lösungen vorzuschlagen, um die Praktiken von Europol mit ihrem Mandat in Einklang zu bringen, hat die Kommission im Dezember 2020 einen Vorschlag zur Legalisierung vorgelegt.
Die vorgeschlagenen Data-Mining-Befugnisse für Europol, die dem Modus Operandi von Geheimdiensten wie der US-amerikanischen National Security Agency (NSA) ähneln, könnten kritische Sicherheitsvorkehrungen im Strafprozessrecht umgehen und jede Unschuldsvermutung zunichte machen.
Sie würde sich auch auf das Recht auf Nichtdiskriminierung auswirken, da Data-Mining-Techniken auf der Priorisierung bestimmter Merkmale beruhen, die durch rassistische Annahmen und andere diskriminierende Vorurteile motiviert sein können.
Wenn Europol Big Data verwendet, kann es nicht ausschließen, dass seine Analyse unverhältnismäßige Auswirkungen auf rassistische und marginalisierte Gruppen hat.
Die monate- oder sogar jahrelange Speicherung sensibler Mitteilungen unschuldiger Personen in den Datenbanken von Europol wird den Ruf von Europol als mächtige, aber undurchsichtige und nicht rechenschaftspflichtige Behörde verschlimmern.
Dies wird das Vertrauen der Öffentlichkeit in die EU-Institutionen weiter verschlechtern. Der Vorschlag der Europäischen Kommission trägt jedoch nur sehr wenig dazu bei, das derzeit geringe Niveau der Justizaufsicht und der demokratischen Rechenschaftspflicht zu beheben, das für die Minderung potenzieller Grundrechtsverletzungen von grundlegender Bedeutung ist.
Europol wird bei seiner operativen Arbeit selten einer eingehenden Prüfung unterzogen. Allein die Tatsache, dass die Agentur selbst den EDSB über ihre „ernsthaften Compliance-Probleme“ informieren musste, zeigt die Ohnmacht ihrer Watchdogs.
Die Gemeinsame Parlamentarische Kontrollgruppe, die sich aus Mitgliedern des Europäischen Parlaments (MdEP) und der nationalen Parlamente zusammensetzt, hat keinen Zugang zu sensiblen Informationen. Daher werden seine Kapazitäten zur wirksamen Überwachung der täglichen Arbeit von Europol nach der Reform wahrscheinlich unvollständig und belanglos bleiben.
Die Überarbeitung des Mandats von Europol, das derzeit in den Händen des Europäischen Parlaments und des Rates liegt, wird sicherlich zu schwerwiegenden Eingriffen in die Grundrechte führen. Dazu gehören ein verstärkter Einsatz automatisierter Entscheidungsfindungen wie KI und Profilerstellung bei der Strafverfolgung, wodurch das Demokratiedefizit der Behörde weiter vertieft würde.
In einer Zeit, in der Polizeimissbrauch in ganz Europa zunehmend beobachtet und angefochten wird, beschließt die EU leider, undurchsichtige und nicht nachvollziehbare Strafverfolgungsbefugnisse zu stärken.
Stattdessen fordern die European Digital Rights (EDRi) mehr Rechenschaftspflicht und Kontrollmechanismen sowie strenge rechtliche Grenzen, um eine staatliche Massenüberwachung im Orwellschen Ausmaß zu verhindern.