Seit 1999 existiert die Europäische Polizeiagentur Europol in Den Haag. Zu ihren Aufgaben gehören die Speicherung und Verarbeitung von Daten, die im Rahmen polizeilicher Ermittlungen anfallen. Europol hat dafür ein umfassendes Informationssystem (EIS) eingerichtet, das derzeit rund 1,3 Millionen Sachen und 250.000 Personen enthält. Es wird von Polizeien aus den EU-Mitgliedstaaten mit einem „Data Loader“ in einem automatisierten Verfahren befüllt. Außerdem betreibt die Agentur zu verschiedenen Kriminalitätsbereichen Dateien in sogenannten Analyseprojekten, darunter etwa zu Terrorismus, organisiertem Verbrechen, Cyber- oder Drogenkriminalität.
Europol ist nur zuständig, wenn eine begangene oder mutmaßlich bevorstehende Straftat zwei oder mehr Mitgliedstaaten betrifft. Dann darf die Agentur aber auch Informationen zu Kontaktpersonen verarbeiten, außerdem zu Zeug:innen oder Opfern von Straftaten. Diese Daten werden von einer Software auf sogenannte Kreuztreffer durchsucht. Von dieser Suche nach Zusammenhängen zwischen Taten oder Täter:innen verspricht sich Europol neue Ermittlungsansätze.
Personendaten für Training von „Strafverfolgungsalgorithmen“
Der Europäische Datenschutzbeauftragte hat dieses Verfahren im vergangenen Jahr kritisiert und darauf verwiesen, dass für eine Rasterfahndung in Massendaten keine Rechtsgrundlage existiert. Derzeit diskutieren die EU-Mitgliedstaaten über die Neufassung der Europol-Verordnung, wonach Europol eine solche „Analyse umfangreicher und komplexer Datensätze“ zukünftig erlaubt werden soll. In dem Vorschlag der Kommission wird dies als „Big Data“ bezeichnet.
Die Verordnung soll es außerdem ermöglichen, die umfangreichen Personendaten für das „Entwickeln, Trainieren, Erproben und Validieren“ von Algorithmen einzusetzen. So hatte es der Vizedirektor von Europol, Jürgen Ebner, im November letzten Jahres auf einer hochrangigen Konferenz der Datenbankagentur eu-LISA vorgetragen. Für das Training von „Strafverfolgungsalgorithmen“ müssten operative Daten genutzt werden, weil nur diese „die Realität widerspiegeln“.
Zu den Vorschlägen gehört, dass Europol vor Beginn einzelner „Forschungs- und Innovationsprojekte“, wenn diese eine auf Algorithmen basierende Verarbeitung personenbezogener Daten umfassen, eine Folgenabschätzung vornimmt und den Europäischen Datenschutzbeauftragten unterrichtet. Europol soll außerdem die Zahl entsprechender Projekte veröffentlichen. Etwas versteckt findet sich dort auch der Hinweis, dass hiervon auch „KI-gestützte Instrumente“ umfasst sind.
„Riesige Datenmengen“ durchsuchen
Die verstärkte Nutzung von Algorithmen zur Strafverfolgung hatte die EU-Kommission vor einem Jahr in einem „White Paper“ angekündigt. Künstliche Intelligenz ist deshalb einer der Schwerpunkte des neu eingerichteten „Innovationslabors“ bei Europol, mit dem die Agentur die EU-Sicherheitsforschung in verschiedenen Bereichen koordinieren soll. Europol fungiert außerdem als Beobachtungsstelle zu „Risiken, Bedrohungen und Chancen“ neuer Technologien. Mit dem „Innovationslabor“ forscht Europol auch selbst in entsprechenden Programmen. Sie werden von der Kommission über das Forschungsrahmenprogramm „Horizon 2020“ finanziert. Mit PROTON und INSIKT wurden zwei dieser Vorhaben bereits abgeschlossen, drei weitere laufen derzeit.
Das mit 6,8 Millionen Euro ausgestattete und von der Rüstungssparte des Airbus-Konzerns angeführte Projekt „Immerse Interact Investigate“ (INFINITY) soll es erleichtern, „riesige Datenmengen“ nach Auffälligkeiten zu durchsuchen. Aus Deutschland beteiligen sich daran die Hochschule für den öffentlichen Dienst in Bayern und das öffentlich-private Deutsche Forschungszentrum für Künstliche Intelligenz. Im Fokus stehen „Cyberkriminelle, Terroristen und hybride Bedrohungen“. Ein Ende-zu-Ende-verschlüsseltes System soll ermöglichen, dass Behörden in verschiedenen Mitgliedstaaten mithilfe von Augmented-Reality-Technologien an gemeinsamen Ermittlungen arbeiten können. Die dabei erlangten Erkenntnisse sollen gerichtsverwertbar sein.
Unter dem Titel „Analytics for Law Enforcement Agencies“ (AIDA) forscht Europol mit Polizeibehörden, Firmen und Instituten außerdem an der Vorhersage von Cyberkriminalität und Terrorismus. Die Beteiligten wollen dabei eine „deskriptive und prädiktive Datenanalyseplattform“ und dazugehörige „Werkzeuge“ zur Suche in Massendaten entwickeln. Das Gesamtprojekt kostet 8,9 Millionen Euro, das meiste davon trägt die Kommission. Als einzige deutsche Teilnehmerin ist das privat betriebene Cybercrime Research Institute an Bord.
Forschungen mit Trojanerbehörde
Auch im Projekt „Global Response Against Child Exploitation“ (GRACE) ist das Cybercrime Research Institute beteiligt. Dabei geht es um Straftaten zur sexuellen Ausbeutung von Kindern. Die Technologie soll im Internet angebotenes Material automatisch erkennen, auch im Rahmen von Ermittlungen beschlagnahmte Bild- und Videodateien werden damit durchsucht.
Die Projektbeschreibung passt zudem auf Methoden zur Entschlüsselung von Dateien, die über Messengerdienste verschickt werden. Darauf hatten die EU-Mitgliedstaaten im vergangenen Jahr in einer Resolution gedrängt und technische sowie rechtliche Lösungen gegen messengerbasierte Ende-zu-Ende-Verschlüsselung gefordert. Vermutlich nimmt deshalb aus Deutschland auch die Trojanerbehörde ZITiS an dem Projekt teil.
Die neuen KI-Instrumente würden vermutlich im „Data Analysis Development Team“ eingesetzt, das Europol kürzlich in Den Haag eingerichtet hat. Die „hochspezialisierte“ Abteilung soll die Ermittlungen der verschiedenen Zentren bei Europol „technisch und analytisch“ unterstützen. Als besondere Bereiche nennt ein Planungsdokument die Nutzung von Geodaten, die Überwachung öffentlich zugänglicher Quellen im Internet und Satellitenbilder.
Frontex-Profiling von Reisenden
Während bei Europol noch an Künstlicher Intelligenz geforscht wird, ist Frontex bereits einen Schritt weiter. Die EU-Grenzagentur betreibt die Zentraleinheit des neuen „Reiseinformations- und Autorisierungssystems“ (ETIAS). Alle Reisenden müssen dann vor einer Einreise in die Europäische Union einem digitalen Avatar 15 Fragen beantworten und werden dabei mithilfe ihrer Webcam auf auffällige Mimik hin beobachtet. Hält das System eine Auskunft für gelogen, wird die Person beim späteren Grenzübertritt entsprechend überprüft.
Im Hintergrund des Lügendetektors arbeitet eine Profiling-Software, die die Reisewilligen zunächst mit einschlägigen Datenbanken und einer von Frontex geführten „Watchlist“ abgleicht. Dabei nutzt ETIAS vordefinierte Risikoindikatoren und Screening-Regeln, für deren Erstellung ebenfalls Frontex zuständig ist. Mit iBorderCtrl hat die Kommission bereits ein entsprechendes Forschungsprojekt gefördert.
Eu-LISA hat nun ein weiteres Projekt vorgeschlagen, in dem der Einsatz Künstlicher Intelligenz beforscht werden soll. Die Agentur beruft sich dabei auf die ETIAS-Verordnung, in der „eine automatisierte Profilerstellung von Reisenden“ ausdrücklich gefordert wird. Einem neuen Europol-Dokument zufolge wäre dies „einer der ersten Anwendungsfälle“, bei dem Künstliche Intelligenz in einer großen EU-Datenbank genutzt wird. Die Technik soll spätestens mit der Inbetriebnahme des ETIAS Ende 2022 zur Verfügung stehen.
Wir erinnern uns: Europol unterliegt keiner demokratischen Kontrolle und geniesst Immunität.
Das wurde damals damit entschuldigt, dass es ja eine rein koordinierende Organisation sozusagen ohne reale Auswirkungen auf Personen sei.
Wer war so dumm, das zu glauben?
Vielen Dank für den sehr interessanten, wenn auch für mich sehr alarmierenden Artikel. Ich würde freuen, wenn ihr noch eine rechtliche Einordnung der Neufassung, der Europol-Verordnung geben könntet und wie diese mit anderen Gesetzen in Einklang zu bringen ist, oder autonom davon für sich besteht.
Spannend wäre auch , inwiefern die Frontex-KI bereits hinsichtlich von Diskriminierungsmustern untersucht wurde/wird und ob es hier Prozesse gibt die Prüfverfahren offen zu legen und Einspruchsmöglichkeiten zu bieten. Wie würdet ihr dort eine allgemeine Einordnung in die Debatte und Kritik rund um predictive policing vornehmen?
„Europol hat dafür ein umfassendes Informationssystem (EIS) eingerichtet, das derzeit rund 1,3 Millionen Sachen und 250.000 Personen enthält.“
„Sachen“? Sind evtl. Daten gemeint?
Nein es sind Dinge, Objekte, gemeint, siehe den Link. Zusätzlich können auch Ereignisse gespeichert werden.