EuropolEU-Polizeibehörde lässt offen, ob sie illegale Datensammlung löscht

Die EU-Polizeibehörde Europol sammelt massenhaft Ermittlungsdaten – ohne rechtliche Grundlage. Der Europäische Datenschutzbeauftragte ordnet nun Löschungen an. Doch ob das auch geschieht, ist unklar.

Europol
Europol: Sitzt in Den Haag und gibt ungern etwas über seine Arbeit preis. – Alle Rechte vorbehalten IMAGO / IP3press

Die EU-Polizeibehörde Europol hat einen wahren Schatz an Ermittlungsdaten angehäuft. Daten aus Ermittlungen in EU-Staaten und Daten von Asylsuchenden landeten jahrelang bei Europol, auch wenn sie in den Datenbanken der Mitgliedsstaaten längst gelöscht waren. Einige Medien sprechen in diesem Zusammenhang von einer „Datenarche“. Das soll wohl Assoziationen an die Arche Noah wecken, mit der der biblische Patriarch Tier und Mensch vor der Flut rettete. Interne Europol-Dokumente, aus denen der Spiegel, der Guardian und andere Medien zitieren, sprechen von vier Petabyte an Daten – so viel wie drei Millionen CD-ROMs.

Das Problem für Europol: Viele dieser Daten hätte die Polizeibehörde nie speichern dürfen. Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski ordnete am Montag die Löschung aller persönlichen Daten an, die nicht mit einer konkreten Straftat im Zusammenhang stehen. Datenschützer:innen kritisieren die „Datenarche“ als eine Form der unzulässigen Massenüberwachung, die Anklänge an die NSA-Affäre habe. Europol drohe zu einer Art „schwarzen Loch“ für Daten von Millionen von Europäer:innen zu werden, sagt Chloé Berthélémy vom NGO-Verband European Digital Rights zum Spiegel und zum britischen Guardian.

Einzelne Beispiele machen deutlich, wie problematisch die Europol-Datensammlung sein könnte. Der Spiegel berichtet über einen niederländischen Aktivisten, der wegen eines antirassistischen Protestes auf einer Terrorliste der Behörden landete. Selbst nachdem der Eintrag in den Niederlanden gestrichen wurde, blieben die Daten bei Europol. Wann solche Daten bei Europol als nicht mehr notwendig gelöscht werden, sei nicht ausreichend klar, kritisiert der EU-Datenschutzbeauftragte.

Palantir ist mit im Spiel

Bemerkenswert ist auch, dass die Datenarche von Europol offenbar mit einer Software der umstrittenen Überwachungsfirma Palantir durchkämmt wurde. Dessen Software „Gotham“ hatte die EU-Behörde 2016 für die Rasterfahndung eingekauft, laut einem Bericht des „Spiegel“ hätten die Zuständigen inzwischen aber „desillusioniert“ die Zusammenarbeit wieder beendet. Die Löschanordnung des Europäischen Datenschutzbeauftragten hält fest, dass die Nutzung der Palantir-Software im dritten Quartal 2021 auslaufen soll. Näheres dazu ist nicht bekannt – etwa ob Beschäftigte des US-Überwachungskonzerns direkt Zugriff auf die Daten hatten. Auf eine Presseanfrage von netzpolitik.org danach antwortete Europol zunächst nicht.

Offen bleibt fürs Erste auch, wie Europol nun weiter verfahren wird. Die Behörde hatte im Prüfverfahren des EU-Datenschutzbeauftragten insistiert, dass eine schnellere Einordnung und Löschung des Datenschatzes nicht möglich sei. Die Anordnung gibt Europol nun bis zu zwölf Monate Zeit, um nicht mehr notwendige Daten zu löschen. Ob die Polizeibehörde dieser Aufforderung tatsächlich nachkommen wird, ließ ein Pressesprecher auf unsere Anfrage offen – es sei Sache des Verwaltungsrates, darüber zu entscheiden. Im Rat sitzen Vertreter:innen der EU-Staaten und der EU-Kommission.

Sollten die Europol-Chef:innen die Datenarche unverändert weiterbetreiben wollen, kann der Datenschutzbeauftragte der EU allerdings wohl wenig ausrichten: Das liegt an der neuen Europol-Verordnung, an der EU-Verhandler:innen derzeit arbeiten. Diese könnte nach Berichten die Befugnisse der Behörde zu Datensammlung eher ausweiten als schmälern und die Datensammlung nachträglich legalisieren.

5 Ergänzungen

  1. >> Die Löschanordnung des Europäischen Datenschutzbeauftragten hält fest, dass die Nutzung der Palantir-Software im dritten Quartal 2021 auslaufen soll. <<

    Es bleibt zu hoffen, dass zuständige Datenschutzbeauftragte ganz genau hinsehen, welche Daten Palatir zur Verfügung gestellt wurden. Insbesondere wäre darauf zu achten, ob Löschverfügungen ggf. auch bei dieser Firma durchgesetzt werden müssen.

    Ganz speziell zu Prüfen wäre, ob Palatir schwach gehashte Daten in eigenen Verfügungsbereiche übertragen hat, die nicht wirklich "Einweg-Hashes" waren.

  2. Europol wurde von den Exekutiven der Mitgliedsstaaten als Exekutive ohne parlamentarische Kontrolle gegruendet. Sollte also niemanden wundern.

    Fand‘ IIRC auch netzpolitik.org damals nicht so schlimm, weil das war ja europaeisch und die hatten ja keine operativen Befugnisse.

    1. Eine Art Verfasstheit gibt es aber schon, man könnte mal beginnen zu hinterfragen, ob Menschenrechte oder Grundsätze mit solchen Konstruktionen in Frage gestellt sind.

  3. Verstehe ich das richtig: Europol bekommt von allen Polizeien der EU-Länder Daten zugeschmanzt – und wenn ein Gericht aus Land X die Polizei von Land X zum Löschen unrechtmäßig erhobener/gespeicherter Daten auffordert verbleiben die Daten danach einfach bei Europol? (Könnte die Polizei von Land X bei Europol überhaupt die selbst bereitgestellten Daten wieder löschen lassen?)
    Sollte das so korrekt sein klingt das für mich wie ein „Polizei-Datenbunker“ der durch kein Gericht kontrolliert werden kann und niemandem Rechenschaft ablegen muss …

    1. Auch für sowas wurde Europol gegründet.

      Man sollte sich von dem Gedanken verabschieden, dass Law Enforcement Exekutiven intrinsisch für Bürgerrechte arbeiten, sie arbeiten offensichtlich idR dagegen soweit die parlamentarische Kontrolle das zulässt.

      Vertrauensvorschuss ist absolut unangebracht, auch aus rechtstheoretischer Perspektive. Unser GG ist übrigens in diesem Sinne verfasst, dessen Eltern wussten, warum.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.