Europäischer DatenschutzbeauftragterMigration, KI und Chatkontrolle dominierten das letzte Jahr

Wojciech Wiewiórowski kontrolliert, dass die Institutionen der EU sich an den Datenschutz halten. Er hat nun seinen Jahresbericht für 2023 veröffentlicht, der klare Schwerpunkte zeigt.

Wiewiórowski steht neben einer Glaswand, in der er sich spiegelt.
Der Europäische Datenschutzbeauftragte hat viele Themen zu bearbeiten. – Alle Rechte vorbehalten EDPS

Darf das EU-Parlament die Fingerabdrücke seiner Abgeordneten nutzen, um festzustellen, ob sie bei einer Sitzung anwesend sind? Wie kann die EU-Kommission die Office-Programme von Microsoft nutzen, obwohl dabei Daten in andere Länder übertragen werden? Für solche Fragen ist Wojciech Wiewiórowski zuständig. Er ist seit 2019 der Europäische Datenschutzbeauftragte (EDPS) und kontrolliert, ob sich die europäischen Institutionen und Behörden an ihre Datenschutzregeln halten.

Gestern hat Wiewiórowski im Innenausschuss des europäischen Parlaments seinen Jahresbericht für 2023 (PDF) vorgestellt. Dabei standen einige Themen im Vordergrund, die auch im laufenden Jahr noch aktuell geblieben sind: das Datensammeln an den EU-Außengrenzen, das neue Pflichtfach Künstliche Intelligenz und das Chatkontrolle-Vorhaben der Kommission.

Dauerclinch mit Frontex

Wie schon in den Jahren davor sind 2023 Menschen auf dem Weg in die EU im Mittelmeer ertrunken. Über die, die es an die Außengrenzen geschafft haben, sammelt die Europäische Agentur für die Grenz- und Küstenwache, kurz Frontex, Daten. Seit Jahren gibt es Beschwerden darüber, wie Frontex das tut und was danach mit den Daten passiert. Im Oktober 2022 schaute der EDPS deshalb im Hauptquartier von Frontex in Warschau vorbei.

Das Ergebnis dieses Besuchs: eine Liste mit 36 Kritikpunkten. Besonders ging es dabei um die Frontex-Praxis, mit manchen Migrant:innen sogenannte „Debriefing“-Interviews durchzuführen und die Ergebnisse dieser Interviews mit anderen Behörden zu teilen. Der EDPS habe „ernste Zweifel“ daran, ob diese Interviews in ihrer aktuellen Form den geltenden Datenschutzregeln entsprechen, hieß es im Bericht zur Untersuchung.

Frontex reagierte und änderte seine Regeln zum Umgang mit Daten. Aber diese Änderungen gingen Wiewiórowski nicht weit genug, wie Euractiv berichtete: In einem Brief an Frontex kritisierte der Datenschutzbeauftragte unklare Formulierungen, „besonders dazu, welche Daten für welchen Zweck und unter welchen Rahmenbedingungen gesammelt und verarbeitet werden können.“

Die „Privatsphäre der Verwundbarsten“

Der EDPS eröffnete auf Basis seines Berichts und seiner Empfehlungen eine Voruntersuchung. Außerdem besuchte der Datenschutzbeauftragte Frontex im Sommer erneut – aber diesmal nicht im Büro, sondern vor Ort auf der griechischen Insel Lesvos. Diesmal ging es auch um das Sammeln der Fingerabdrücke von Migrant:innen.

„Wir glauben fest daran, dass die Privatsphäre der Verwundbarsten ein höheres Risiko hat, grundlegend getroffen zu werden“, sagte Wiewiórowski gestern im Innenausschuss. „Als Aufsichtsbehörde sind wir bis an die Grenzen gegangen – buchstäblich“, so der Datenschutzbeauftragte zur Untersuchung auf Lesvos.

Um Fingerabdrücke wird es heute auch im EU-Parlament gehen, das stimmt nämlich zu einem neuen „Migrationspakt“ ab. Der soll auch die Eurodac-Datenbank reformieren, die Millionen an Fingerabdrücken etwa von Asylsuchenden enthält. In Zukunft soll sie auch biometrische Fotos erfassen. Bürgerrechtsorganisationen wie EDRi kritisierten die geplante Reform.

Neue Gesetze sollen Daten schützen

Der EDPS überprüft nicht nur, ob sich europäische Institutionen an geltende Datenschutzregeln halten: Er mischt sich auch ein, wenn die EU an neuen Gesetzen arbeitet, die den Datenschutz berühren. Im vergangenen Jahr hat er das besonders zu zwei Themen getan, nämlich zu Künstlicher Intelligenz und zur Chatkontrolle.

Im Oktober hat der Datenschutzbeauftragte auf eigene Initiative einen Bericht zur KI-Verordnung vorgelegt. Darin forderte er besonders, dass das Gesetz KI-Systeme komplett verbieten sollte, die inakzeptable Risiken für Grundrechte darstellen. Damit waren etwa Systeme gemeint, die versuchen, automatisch Emotionen zu erkennen, ebenso wie die biometrische Überwachung. Leider konnte sich Wiewiórowski mit diesen Forderungen nicht durchsetzen: Die fertige KI-Verordnung sieht große Ausnahmen für solche Verbote vor.

Besser sieht es bei der Chatkontrolle aus. Hier konnten die Gegner:innen von zusätzlicher Überwachung zumindest bis jetzt verhindern, dass die EU gegen die Verschlüsselung privater Nachrichten vorgeht. Auch der Datenschutzbeauftragte hatte sich klar gegen das Vorhaben gestellt. Im November lud er Expert:innen ins EU-Parlament ein, die das geplante Gesetz scharf kritisierten, im Januar warnte er vor einer Verlängerung der aktuell geltenden freiwilligen Regeln. Die dauerhafte Chatkontrolle stockt momentan im EU-Rat, weil genug Mitgliedstaaten dagegen sind.

Eine weitere Warnung hat Wiewiórowski in Sachen Finanzierung. Es sei ja gut, dass der AI Act jetzt KI reguliere und dabei auch seiner Behörde viel Verantwortung gebe. Wenn aber die EU-Institutionen nun selbst KI-Tools für alle möglichen Anwendungen entwickeln, dann müsse der EDPS dass auch kontrollieren können, sagte er gestern. „Damit das passieren kann, muss der EDPS mit Ressourcen ausgestattet werden, die wir momentan noch nicht bekommen. Das stellt unsere Fähigkeit in Frage, die Funktionen auszuüben, die uns auferlegt worden sind.“

5 Ergänzungen

  1. (23905, {’name‘: ‚Europäischer Datenschutzbeauftrager‘, ’slug‘: ‚europaeischer-datenschutzbeauftrager‘}) <- Falschschreibung
    (7043, {'name': 'europäischer datenschutzbeauftragter', 'slug': 'europaeischer-datenschutzbeauftragter'})

  2. „Besser sieht es bei der Chatkontrolle aus“

    Dachte ich bislang auch…
    Doch heute liest man dann zum einen hier

    https://www.patrick-breyer.de/eu-parlament-stimmt-fuer-verlaengerung-der-flaechendeckenden-chatkontrolle-durch-us-internetkonzerne/

    dass das EU-Parlament dann jetzt doch für die Verlängerung der freiwilligen Chatkontrolle gestimmt hat und sie bis April 2026 verlängert wird.
    Und wer war’s bei den Deutschen mal wieder überwiegend, der dafür war? Union und SPD.

    Und zum anderen liest man dann hier
    https://www.patrick-breyer.de/piraten-klage-landgericht-verweigert-entscheidung-ueber-zulaessigkeit-der-freiwilligen-chatkontrolle/

    dass das Landgericht Kiel die Klage von Patrick Breyer gegen die freiwillige Chatkontrolle mit vollkommen lächerlichen Begründungen abgewiesen hat.

  3. Nachtrag zu meinem Kommentar (hatte zu viele Zeichen)

    Halten wir also mal alle Fakten zum aktuellen Zustand fest:
    1. Die EU-Kommission will nach wie vor die Chatkontrolle so wie im Vorschlag vom Mai 2022 durchsetzen

    2. Im Rat gab es ursprünglich eine Sperrminorität, wie das jetzt aber mit dem „neuen“ Vorschlag den Belgien gemacht hat, aussieht… keine Ahnung.
    Dieser neue Vorschlag enthält die gleichen Probleme wie der der Kommission im Mai 2022, ist halt nur anders verpackt… und die Politiker merken das scheinbar nicht bzw wollen es nicht merken.
    Belgien ist auf jeden Fall offenbar ein Hardliner der Pro-Chatkontrolle-Fraktion. Und wenn ich mir anschaue, wer nach Belgien die nächsten Ratspräsidentschaften innehat… Da sind scheinbar die meisten Hardliner pro Chatkontrolle

    3. Das EU-Parlament hatte zwar im November letzten Jahres einen Vorschlag gemacht, der die schlimmsten Punkte aus dem Kommissionsentwurf eliminiert und sichere Verschlüsselung garantiert hätte, hat aber offenbar kein Rückgrat, diese Position gegenüber Kommission und Rat zu verteidigen.

    4. Die neue geplante Abstimmung über die verpflichtende Chatkontrolle soll am 13. oder 14, Juni sein.

    Insgesamt sieht das aktuell meiner Meinung nach also alles andere als gut aus

    1. „4. Die neue geplante Abstimmung über die verpflichtende Chatkontrolle soll am 13. oder 14, Juni sein.“

      Auf Biegen und Brechen noch vor der Konstituierung des neuen EU-Parlaments über sowas abzustimmen ist schon arg frech! Zur Erinnerung: Die Europawahl ist (in Deutschland) am 9. Juni. Die konstituierende Plenartagung findet am 16. Juli.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.