Verknüpfung europäischer „Datentöpfe“: BKA und Europol erproben technische Umsetzung

„Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang“, erklärte der Bundesinnenminister Thomas de Maizière (CDU) nach den Anschlägen in Brüssel am Dienstag vergangene Woche in den ARD-Tagesthemen. „Datentöpfe“ europäischer Sicherheitsbehörden sollten demnach besser miteinander „verknüpft“ werden. De Maizière betonte, bereits vor den Anschlägen einen entsprechenden Vorschlag bei der Europäischen Kommission eingereicht zu haben. Sein Ministerium gab sich zwei Wochen zuvor noch ahnungslos.

Der Minister und seine Staatssekretärin Emily Haber sparen mit Details, was eigentlich mit „Verknüpfung“ gemeint sein könnte. Es geht jedenfalls nicht um die gleichzeitige Abfrage mehrerer Datenbanken, wie sie mittlerweile auch für Staatsangehörige von EU-Mitgliedstaaten beim Grenzübertritt an jeder Außengrenze der Europäischen Union systematisch erfolgt.

Die Pässe aller Reisenden werden mit dem Schengener Informationssystem (SIS II), dem Visa-Informationssystem (VIS), dem Europol Informationssystem (EIS), der Interpol-Datenbank für gestohlene Reisedokumente sowie dem nationalen Polizeisystem (in Deutschland INPOL) abgeglichen. Es fehlen lediglich Vergleiche von Fingerabdrücken, auch dies ist jedoch in Vorbereitung.

Ausschreibung auch zur heimlichen Verfolgung

Hinter dem Vorschlag der „Verknüpfung“ steckt vielmehr die Ausweitung von Kompetenzen der Polizeiagentur Europol. In Den Haag betreibt Europol mehrere Datenbanken zu besonderen Phänomenen von Terrorismus und organisierter Kriminalität sowie das übergreifende Europol Informationssystem (EIS). Nach den November-Anschlägen in Paris im vergangenen Jahr hat der Rat der Europäischen Union beschlossen, das EIS mit dem SIS II zu verknüpfen.

Europol will zunächst jeden neuen Eintrag im EIS mit dem SIS II abgleichen. Auch massenhafte Batch-Abfragen sollen möglich sein. Für die Bearbeitung in Echtzeit wäre es günstig, wenn die Datensätze bei Europol gespiegelt vorliegen würden. Das SIS II darf nach der gültigen Verordnung jedoch nicht heruntergeladen oder anderweitig gespeichert werden. Sowohl die SIS II- als auch die EURODAC-Verordnung werden deshalb erneuert.

Derzeit darf Europol nur im Einzelfall und auch nur indirekt auf das SIS II, das Visa-Informationssystem und die Fingerabdruckdatenbank EURODAC zugreifen. Das SIS II und das VIS werden über das europäische TESTA-Netzwerk betrieben. Die Europäische Kommission hat die Migration auf die neue Netzwerk-Generation TESTA-ng in Auftrag gegeben, den Zuschlag erhielt die deutsche Firma T-Systems. Europol verfügt über keinen eigenen Anschluss an die Systeme, dieser ist aber über die niederländische nationale Zugangsstelle geplant.

Europol darf auch keine eigenen Ausschreibungen in das SIS II eingeben. Nach Artikel 36 des Schengener Grenzkodex ermöglicht das SIS II auch die verdeckte Fahndung. Die Nutzung dieses Instruments zur heimlichen Verfolgung nahm in den letzten zwei Jahren rasant zu, vor allem Geheimdienste machen davon rege Gebrauch. Nun verlangt auch Europol die Möglichkeit von Fahndungen nach Artikel 36.

Zu viele und und zu schlechte Daten

Dem Abgleich von verknüpften Polizeidatenbanken stehen nicht nur rechtliche Hürden entgegen. Viele Mitgliedstaaten nutzen unterschiedliche Systeme, die nicht immer mit der Soft- und Hardware bei Europol harmonieren. Auch die Qualität der Daten ist nicht immer einheitlich. Manche Mitgliedstaaten überschütten die Systeme regelrecht mit Daten, andere beteiligen sich gar nicht am digitalen Informationsaustausch.

Die Europäische Union hat deshalb eine „Strategie zum Informationsmanagement“ gestartet. Zuständig für den Datentausch von Polizei und Justiz ist die Ratsarbeitsgruppe „Informationsaustausch und Datenschutz“ (DAPIX). Zu den früheren Projekten der DAPIX gehörte die Entwicklung einer Plattform für den Informationsaustausch von Strafverfolgungsbehörden (Information Exchange Platform for Law Enforcement Agencies, IXP). Einen ähnlichen Vorschlag machte die spanische EU-Ratspräsidentschaft 2010 zur Errichtung einer Police Information Exchange Platform (PIEP).

Zum fünften Mal will die DAPIX eine Serie von entsprechenden Pilotprojekten starten. Dabei geht es um die Vernetzung und Abfrage von Datenbanken, die teilweise noch gar nicht beschlossen oder eingerichtet sind:

PNRDEP

Noch im Sommer will die EU die Einrichtung eines Passagierdatensystems (PNR) beschließen. Ein Pilotprojekt mit dem Kürzel PNRDEP soll nun die technischen Lösungen für die von den Fluglinien übermittelten Daten untersuchen. Fluggastdaten müssen bei der polizeilichen Zentralstelle des jeweiligen Mitgliedstaates eingereicht werden (die sogenannten Passenger Information Units, in Deutschland vermutlich beim Bundeskriminalamt). Von dort werden sie dann in ein zentrales System eingestellt. Hierfür könnte entweder das polizeiliche SIRENE-Netzwerk oder das bei Europol angesiedelte Netzwerk für Finanzermittlungen genutzt werden. Möglich wäre auch das ebenfalls bei Europol eingerichtete SIENA-Netzwerk, über das eingestufte Informationen getauscht werden.

Die Analyse von Fluggastdaten macht nur Sinn, wenn diese in Echtzeit verarbeitet werden können. Welches System hierfür genutzt wird ist unklar. Für die Analyse von Daten aus Finanztransaktion hat Europol kürzlich die sogenannte Ma3tch-Technologie eingeführt. Die Kommission hatte bereits signalisiert, dass die Plattform auch für andere Informationssysteme eingesetzt werden könnte.

Die an PNRDEP beteiligten Mitgliedstaaten wollen zunächst die rechtlichen Rahmenbedingungen untersuchen und dann entsprechende Lösungen testen. Das Projekt endet im Juni 2017.

ADEP

Unter dem Titel „Automation of Data Exchange Processes“ (ADEP) arbeiten sechs Mitgliedstaaten mit Europol am verbesserten Informationsaustausch. Abfragen erfolgen nach dem „Treffer/ Kein Treffer“-Verfahren. ADEP soll mit anonymisierten Daten arbeiten und hierfür den sogenannten Bloomfilter verwenden. Die Abfragen werden verschlüsselt übertragen.

Auch das Bundeskriminalamt ist an ADEP beteiligt. Das Ziel ist die Wiederverwendung bestehender Systeme, die Bearbeitung soll vereinfacht werden und auf einem bereits bestehenden Interface aufbauen. In sechs Mitgliedstaaten wird nun die automatische Abfrage nationaler Datenbanken und dem Europol Informationssystem getestet. Das Projekt startete bereits im Dezember und soll zwei Jahre dauern.

UMF 3

Unter Leitung des Bundeskriminalamtes betreibt die Ratsarbeitsgruppe DAPIX die Einführung des standardisierten Universal Message Format (UMF 3). Ein entsprechendes Projekt startete bereits im November 2015 und dauert 30 Monate. Die Anwendung ist webbasiert und soll ebenfalls nationale Datenbanken und Europol-Informationen abfragen. Tests in Estland, Finnland, Griechenland, Polen und Spanien werden mit der Europol-Datei zu Feuerwaffen vorgenommen. Die Kosten werden mit 1,6 Millionen Euro beziffert, wovon die Kommission 90 % übernimmt.

Bei Europol firmiert das System unter dem Namen QUEST (Querying Europol Systems). Insgesamt nehmen 17 Mitgliedstaaten sowie Norwegen an dem Pilotprojekt teil, die Schweiz gilt als Beobachterin. Auch die Kommission, Europol sowie weitere EU-Agenturen gehören zu den Partnern. Vermutlich weil die Grenzagentur Frontex mittlerweile Personendaten mit Europol tauschen darf, ist auch Frontex an Bord. Ebenfalls beteiligt ist die internationale Polizeiorganisation Interpol.

Vermutlich bringt das Bundeskriminalamt seine Erfahrungen aus dem heimischen Forschungsprojekt Linked-Data-basierte Kriminalanalyse (LiDaKrA) ein. In einem teilautomatisierten Verfahren soll eine Software verschiedene Datenquellen durchsuchen und die Ergebnisse in ein einheitliches Datenformat überführen. LiDaKrA forscht auch an Möglichkeiten zur Einbindung offener Quellen aus dem Internet.

Europol-Vorschlag für neue „Datenabgleichsfähigkeiten“

In dem Europol-Arbeitsprogramm für 2016 sind weitere, entsprechende Maßnahmen angekündigt. Ein Vorschlag für neue „Datenabgleichsfähigkeiten“ soll ebenfalls folgen. Auch die Kommission will sich zur „Interoperabilität“ der Polizeidatenbanken äußern. Hinderlich ist, dass der Begriff nie EU-weit definiert worden ist.

Der Kommissionsvorschlag zu „Interoperabilität“ erfolgt vermutlich im Rahmen des Systems Intelligente Grenzen. Eigentlich sollte der erneuerte Vorschlag für das biometrische Reiseregister am 23. März vorliegen. Jedoch kommen immer wieder Forderungen zu dessen Erweiterung, zuletzt aus Frankreich. Die Regierung in Paris schlug vor, unter dem Motto „Intelligente Grenzen für Alle“ nicht nur die Fingerabdrücke und Gesichtsbilder von Drittstaatenangehörigen zu sammeln, sondern auch von den 500 Millionen EinwohnerInnen der Europäischen Union.

8 Ergänzungen

  1. Wem in der EU-Kommission muss ich schreiben, um nachzufragen,
    ob die EU-Parlaments.Resolution „P8_TA(2015)0388“ vom 28.10.2015:

    „Entschließung des Europäischen Parlaments zur Weiterbehandlung der Entschließung des Europäischen Parlaments vom 12. März 2014 zur elektronischen Massenüberwachung der Unionsbürger (2015/2635(RSP))“

    eingehalten wird:
    und Whistleblower-Schutz für Verfassungsverteidiger implementiert ist
    in diesem EUROPOL Integrations-Aufbau-Projekt ?

    1. Das wird sehr schwierig, an Dimitris Avramopoulos ( EU / Inneres ) und an Vera Jourova ( EU / Justiz ) zu schreiben: denn erschreckenderweise geht aus der Antwort vom 18.03. unserer Bundesregierung ja hervor,
      http://dip21.bundestag.de/dip21/btd/18/079/1807930.pdf
      dass die EU-Geheimdienste-„Plattform“ zur Terrorbekämpfung des „Berner Clubs“ sich außerhalb jeglicher Kontrolle befindet, da sie
      WEDER an die EU-Institutionen angegliedert zu sein scheint
      – nicht an das eher polizeiliche ECTC „European Counter Terrorism Center“(?) der EU-Kommission,
      bzw.an EUROPOL,
      – und auch nicht an das geheimdienstliche INTCEN „Intelligence Cell“(?) der EU-Kommission
      NOCH an nationale Kontrollgremien …

      Dieser „Berner Club“ mit seinem Zusammenschluss der EU Inlandsgeheimdienste entfaltet offenbar ein ungestörtes, unkontrolliertes Eigenleben?

      Damit kann ich Herrn Avramopoulos und Frau Jourova nur bitten, für ALLE Verfassungs-verteidigenden Whistleblower ein anständiges Schutzprogramm aufzulegen, unabhängig davon, wessen Machtmissbräuche sie melden: damit auch ein Whistleblower aus dem „Berner Club“ geschützt wäre, nicht nur solche, die in EUROPOL / ECTC / INTCEN Probleme gefunden haben.
      Und dann bekomme ich bestimmt wieder die Antwort, diesen Schutz könnten nur einzelne Länder realisieren => damit ich mich anschließend wieder an Herrn Voßkuhles Team und Herrn Lammerts Team abarbeiten kann.

      Was ist bloß so schwierig zu vermitteln an der Erkenntnis:
      Geheimhaltungs-Sicherheitsbehörden MIT Whistleblower-Schutz (Verfassungs-Verteidigung) sind beruhigend,
      Geheimhaltungs-Sicherheitsbehörden OHNE Whistleblower-Schutz sind bedrohlich.

      1. Antwort aus Brüssel auf mein Schreiben lautet:
        „Dear Ms. Latz,
        Thank you for your letter dated 31 March 2016 regarding the protection of
        whistleblowers in the EU institutions. Commissioners Věra Jourová and Dimitris
        Avramopoulos have asked me to reply on their behalf.
        Regarding your question concerning the protection of whistleblowers in INTCEN,
        „Berner Club“ – CTG, EUROPOL and ECTC, please be informed that:
        The so-called „Berner Club“ and the „Counter Terrorist Group“ (CTG) are informal
        intelligence sharing fora between some European States, members or not of the EU. They
        are not formally linked to the European Union and the European Commission is not
        aware about their procedures. All actions of the national intelligence authorities within
        these fora fall entirely within the scope of the respective national laws, not within the
        scope of the EU Law.
        The EU Intelligence Analysis Centre (EU INTCEN) is part of the European External
        Action Service (EEAS) and its staff is subject to the Staff Regulations of officials and the
        Conditions of Employment of other servants of the European Union (Staff Regulations).
        In line with Article 22a of the Staff Regulations, EU civil servants have an obligation to
        denounce any illegal activity that they would became aware of in the course of or in
        connection with the performance of their duties. The EU civil servants are protected from
        any prejudicial effects on the part of the institution as a result of having communicated
        such information.
        Regarding the Europol and the Europoľs European Counter Terrorism Centre, their staff
        is also subject to the Staff Regulations and the same rules regarding whistleblowers and
        their protection apply.
        Moreover, the staff members of the EU institutions and bodies, including EU INTCEN
        and Europol, can complain at any time to the European Data Protection Supervisor, who
        is the supervision authority regarding the processing of personal data by the EU
        institutions and bodies. According to Article 33 of Regulation 45/2001 no-one shall suffer prejudice on account of such complaint.“
        EU Commission, Ref.Ares, Brüssel, 28.04.2016

  2. Was sag eigentlich die Bundesbeauftragte für den Datenschutz zu dem Thema? Offenbar nutzt die ganze Unabhängigkeit nichts: Sie traut sich immer noch nicht dem Innenminister mal kräftig gegens Schienbein zu treten!

  3. Hm, wie ist das eigentlich in Firmen mit der Sicherheit und den Personalsystemen?
    Wenn eine PNR (Personalnummer) schon lange in einem Betrieb ist, dann kennt der Mitarbeiter den Betrieb oder ein neuer hat die PNR übernommen, oder den Betrieb und die ganzen alten Nummern geerbt und die Betriebliche Altersversorgung noch dazu.
    Wie ist das, wenn diese PNR durch die Netze „geistern“. Das sind Themen, die sind nicht wichtig, weil ja jeder die Gehaltsabrechnung vom Nachbarn einsehen darf, oder nicht?
    Ähnlich verhält es sich mit der Sozialversicherungsnummer, welche alle Daten an die Rentenversicherungsträger übermittelt.
    Zum Glück, ist das alles bei uns sicher. Deshalb ist das mit den komischen Fluggastdaten irgendwie auch nicht interessant, so als Otto-Normalverbraucherin. Ich würde mich viel mehr aufregen, wenn jemand in meine Sozialversicherung einzahlt und ich dann eine höhere Rente habe :-)
    Frohe Ostern und vielleicht stehen ja bald ein paar neue InformationsSysteme (IS) auf.
    Ich verstehe die Nachrichtenlage wirklich nicht mehr.
    Lieben Gruß SUSI

  4. Hm, also eines ist jedenfalls gut: T-Systems schaut nach der Sicherheit.
    Frau sollte nicht vergessen, dass Firmen immer auf verschiedenen Standbeinen stehen.
    Also mein Schwarztee, schmeckt auch anders als mein Hagebuttentee.
    Mein Schwarztee ist mit Sicherheit, sicherheitsgeprüft :-)
    Lieben Gruß SUSI

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.