Neue VerordnungEuropol wird Quasi-Geheimdienst

Die EU-Polizeiagentur verarbeitet Milliarden personenbezogene Massendaten, viele davon stammen aus staatlichen Hacks oder geheimdienstlichen Quellen. Eine besondere Rolle spielt der neue Europol-Vize, der beim französischen Militär ausgebildet wurde. Nun ist das EU-Parlament dazu gefragt.

Das Bild zeigt das Europol-Gebäude und das Logo der Agentur.
Zur Fahndung im SIS II erhält Europol auch Listen Tausender Personen von Geheimdiensten aus Drittstaaten. – Alle Rechte vorbehalten Europol

Die EU-Innenminister:innen haben sich vorgestern auf ein Mandat für Verhandlungen über die Änderung der Europol-Verordnung geeinigt. Den finalen Entwurf hat die britische Bürgerrechtsorganisation Statewatch bereits veröffentlicht. Damit können die Verhandlungen zu dem geplanten Gesetz mit dem EU-Parlament beginnen. Der Vorschlag ist strittig, da Europol in großem Umfang Daten verarbeiten dürfte, auch wenn darin Unbescholtene oder Kontaktpersonen von Verdächtigen enthalten sind.

Vor einem halben Jahr hatte die Kommission den Entwurf für die neue Europol-Verordnung vorgelegt. Dem Vorschlag zufolge soll Europol bis 2027 über zusätzliche 178 Millionen Euro und 160 neue Stellen verfügen. Weil die Polizeiagentur demnach auch Fahndungen im Schengener Informationssystem (SIS II) vornehmen soll, wird auch die vorgeschlagene Änderung der SIS-Verordnung diskutiert. Mit der neuen rechtlichen und finanziellen Ausstattung wäre Europol auf dem Weg zu einem „europäischen FBI“, wie es auch einige deutsche Innenpolitiker:innen in den letzten Monaten gefordert hatten.

Europol soll zu einer Anlaufstelle für „Big Data“ werden. Die Polizeiagentur könnte personenbezogene Daten nach Beschluss der Verordnung direkt von privaten Parteien entgegennehmen und mit eigenen Beständen oder Datenbanken wie dem SIS II abgleichen. Anschließend ermittelt Europol, welche Mitgliedstaaten an diesen Datensätzen Interesse haben könnten, und leitet diese an die dortigen Strafverfolgungsbehörden weiter.

Hack von „EnchroChat“ als Auftakt

Das Bild zeigt einen Screenshot eines "EnchroChat"-Telefons.
Nach dem Hack von „EnchroChat“ hat Europol vor einem Jahr die grenzüberschreitenden Ermittlungen koordiniert. - Alle Rechte vorbehalten Europol

Wie sich dies in der Praxis gestaltet, haben unter anderem die Ermittlungen zum verschlüsselten „EnchroChat“-Telefonnetzwerk vor einem Jahr gezeigt. Dabei handelte es sich um Millionen Mitschnitte von Chats und Gesprächen, die aus einem Hack des französischen Geheimdienstes stammen. Im Rahmen der Operation „EMMA“ hat Europol die Mitgliedstaaten bei der Zerschlagung von „Hochwertzielen“ auf Basis der „EnchroChat“-Daten unterstützt. Von März bis Juli 2020 waren dazu um die 40 Mitarbeiter:innen bei Europol mit der forensischen Analyse und Auswertung des Materials beschäftigt. Sie wurden durch rund ein Dutzend Vertreter:innen aus den Mitgliedstaaten ergänzt.

Zusammen mit Frankreich und den Niederlanden hat Europol eine gemeinsame Ermittlungsgruppe eingesetzt, an der sich Mitgliedstaaten zur Nutzung der Daten beteiligen konnten. Insgesamt sollen daraufhin mehr als 1.800 Verdächtige festgenommen worden, die „Lebensbedrohung von über 200 Menschen abgewendet“ und Bargeld im Wert von mehr als 130 Millionen Euro beschlagnahmt worden sein. Immer noch erfolgen auf Grundlage des Materials Razzien und Ermittlungen in den EU-Mitgliedstaaten.

Die Zerschlagung der „EncroChat“-Plattform erfolgte unter dem Leiter der Nationalen Kriminalpolizeilichen Direktion der französischen Gendarmerie, Jean-Philippe Lecouffe, der zuvor im Rahmen der EU-Polizeimission EUPOL Afghanistan an der französischen Botschaft in Kabul stationiert war. Der Absolvent der französischen Militärakademie wurde nun vom Rat der EU als stellvertretender Exekutivdirektor für die Abteilung „Operationen“ zu Europol berufen, vor zwei Monaten trat er sein Amt dort an.

Fragwürdige Ermittlungen gegen „Sky ECC“, „ANOM“, „Double VPN“

Auch in diesem Jahr hat Europol zahlreiche weitere ähnliche Ermittlungen koordiniert. Mit Justiz- und Strafverfolgungsbehörden aus Frankreich, Belgien und den Niederlanden hat die Agentur Daten analysiert, die aus dem eigentlich verschlüsselten Kommunikationsdienst des kanadischen Anbieters „Sky ECC“ stammen. Dies soll durch eine gefälschte Phishing-Anwendung erfolgt sein. Europol will dadurch „unschätzbare Einblicke in Hunderte von Millionen von Nachrichten“ erhalten haben. Betroffen sind rund 70.000 Nutzer:innen, erste Razzien erfolgten mit rund 50 Festnahmen in Belgien und den Niederlanden.

Vor einem Monat machte das US-amerikanische FBI mit der australischen Bundespolizei bekannt, unter dem Namen „ANOM“ eine Scheinfirma für verschlüsselte Telefone verdeckt betrieben zu haben. Die Behörden wollen mehr als 12.000 verschlüsselte Geräte an „über 300 kriminelle Syndikate in mehr als 100 Ländern“ geliefert haben. Die darüber erlangten 27 Millionen Nachrichten wurden daraufhin von Europol und 16 anderen Ländern analysiert und für 700 Razzien genutzt, dabei sollen mehr als 800 Verhaftungen erfolgt sein.

Das Bild zeigt einen Screenshot der behördlich gehackten Webseite von "DoubleVPN".
Als bislang letzten Coup leitet Europol die Ermittlungen zu dem geknackten „DoubleVPN“. - Alle Rechte vorbehalten Europol

Als bislang letzte Aktion koordiniert Europol europäische Ermittlungen, nachdem Behörden in Europa, Kanada und den USA die Server und Internetdomains des virtuellen privaten Netzwerks „DoubleVPN“ beschlagnahmt haben. Federführend war dabei die niederländische Polizei, auch das deutsche Bundeskriminalamt soll daran beteiligt gewesen sein. Wie bei den vorangegangenen Ermittlungen zu „EnchroChat“, „Sky ECC“ und „ANOM“ ist auch die EU-Justizagentur Eurojust eingebunden. Europol soll zu „DoubleVPN“ 30 Vorbereitungstreffen organisiert haben, Eurojust zusätzliche sechs.

„NSA-ähnliche“ Überwachungsmaßnahmen

Chloé Berthélémy von der digitalen Bürgerrchtsorganisation „European Digital Rights“ (EDRi) beschreibt die neuen Europol-Methoden in einem Kommentar auf der EU-Nachrichtenwebseite „Euractiv“ als „NSA-ähnliche“ Überwachungsmaßnahmen. Kritische Schutzmechanismen im Strafprozessrecht und die Unschuldsvermutung würden dabei umgangen. Das ist auf keinen Fall übertrieben, denn Europol erhält in zunehmendem Maße auch auf direktem Wege Daten von Geheimdiensten.

Die Informationen stammen beispielsweise vom Militär, das diese auf „Gefechtsfeldern“ im Irak oder Syrien eingesammelt hat. Weitere Listen mit Tausenden von Personen erhält Europol von Geheimdiensten aus den Westbalkan-Staaten oder aus Nordafrika, damit diese im SIS II zur verdeckten Kontrolle ausgeschrieben werden.

Die Grafik zeigt ein vierstufiges Modell zur Datenverarbeitung.
Europols vorgeschlagene „Datenminimierung“ nach Kritik des EDPS. - Alle Rechte vorbehalten Europol

Obwohl der Grundrechtsschutz der Betroffenen in Europa nicht überprüft werden kann, sucht Europol dann einen willigen Mitgliedstaat, der diese Eintragung vornimmt. Mit der neuen Verordnung könnte die Polizeiagentur auch selbst entsprechende Fahndungen vornehmen und die Geheimdienste der Drittstaaten dann über Ergebnisse informieren.

Nach der Einigung im Rat ist nun das Parlament zur neuen Europol-Verordnung gefragt. Die Abgeordneten müssen sich dann auch mit einer Eingabe des Europäischen Datenschutzbeauftragten (EDPS) auseinandersetzen, in der die Rechtmäßigkeit der Verarbeitung von „Big Data“ durch Europol infrage gestellt wird. Die Agentur hat auf die Kritik bereits reagiert und ein Modell zur „Datenminimierung“ versprochen. Europol will die operativen Daten allerdings nicht nur für Ermittlungen, sondern auch für Forschungszwecke nutzen, auch dies würde in der neuen Verordnung geregelt.

Eine Ergänzung

  1. Wir erinnern uns: Europol unterliegt keinerlei demokratischer Kontrolle und geniesst Immunitaet.

    Die europaeische Politik erregt sich halt nur ueber China, wenn es den eigenen finanziellen und machtpolitischen Zielen dient. Chinesische Herrschafts- und Kontrollverhaeltnisse haetten sie schon gerne, und sie arbeiten daran.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.