Europol muss personenbezogene Daten löschen
Europol speichert massenhaft personenbezogene Daten – teils jahrelang und ohne Rechtsgrundlage. Dagegen geht nun der EU-Datenschutzbeauftragte vor: Die europäische Polizeibehörde muss Daten von Personen, die nicht in Verbindung mit einer Straftat stehen, spätestens nach sechs Monaten löschen. Eine entsprechende Anordnung hat der Datenschutzbeauftragte Wojciech Wiewiórowski am Montag veröffentlicht. Bisher verstoße die Behörde gegen die in der Europol-Verordnung verankerten Grundsätze zur Datenminimierung und Speicherbegrenzung – das stelle ein Risiko für die Grundrechte der Betroffenen dar.
Gemäß der Europol-Verordnung darf die Behörde nur Daten von Personen verarbeiten, die in Verbindung zu kriminellen Aktivitäten stehen – das können beispielsweise Verdächtige, aber auch Zeugen sein. Der EU-Datenschützer teilte mit, Europol speichere bisher “kontinuierlich personenbezogene Daten”, ohne zu kontrollieren, ob deren Verarbeitung mit den Vorschriften in Einklang stehen. Wiewiórowski monierte: “Eine solche Sammlung und Verarbeitung von Daten kann zu einer riesigen Menge an Informationen führen, deren genauer Inhalt Europol oft erst dann bekannt ist, wenn sie analysiert und extrahiert werden – ein Prozess, der oft Jahre dauert.”
Europol muss alle gespeicherten Daten prüfen
In seiner Anordnung schreibt der Datenschützer Europol nun eine maximal sechsmonatige Aufbewahrungsfrist vor. In dieser Zeit muss die im niederländischen Den Haag ansässige Polizeibehörde eine Voranalyse vornehmen. Sind Daten älter und stammen von Personen, bei denen keine Verbindung zu einer kriminellen Aktivität nachgewiesen wurde, müssen sie gelöscht werden. Dies gilt für alle an die Behörde seit dem 4. Januar übermittelten Daten.
Zusätzlich wird Europol eine Frist von zwölf Monaten eingeräumt, um zu prüfen, welche der zuvor bereits gespeicherten Daten gelöscht werden müssen. Sollten die Datensätze bis dahin nicht geprüft worden sein, müssen auch diese gelöscht werden.
Wiewiórowski kommentierte: “Ein Zeitraum von sechs Monaten für die Voranalyse und Filterung großer Datensätze sollte Europol in die Lage versetzen, den operativen Anforderungen der EU-Mitgliedstaaten gerecht zu werden, die Europol um technische und analytische Unterstützung bitten, und gleichzeitig die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren.”
Untersuchung lief seit 2019
Der europäische Datenschutzbeauftragte hatte seine Untersuchung zur Datenspeicherung bei Europol bereits im Jahr 2019 eingeleitet und die Behörde im folgenden Jahr ermahnt. Zwar habe Europol daraufhin “einige Maßnahmen” ergriffen. Allerdings sei die Behörde das “Kernproblem” nicht angegangen und habe weiter “kontinuierlich” personenbezogene Daten gespeichert.
Europol kritisierte die nun gesetzte Frist in einer Stellungnahme: Ermittlungen erstreckten sich häufig über einen längeren Zeitraum. Es sei nicht möglich, große Datensätze immer fristgerecht zu untersuchen.
Nach Ansicht von Wiewiórowski reicht die Frist jedoch aus, damit Europol die nationalen Behörden der EU-Mitgliedstaaten unterstützen kann. Gleichzeitig würden die Rechte von EU-Bürgern und anderen Personen, deren Daten bei Europol gespeichert sind, geschützt. Denn die Verarbeitung personenbezogener Daten in einer EU-Strafverfolgungsdatenbank könne schwerwiegende Folgen für Betroffene haben: Personen liefen Gefahr, fälschlicherweise mit kriminellen Aktivitäten in Verbindung gebracht zu werden – was potenziell Schäden des Privat- und Berufslebens nach sich ziehen könne.
4 Petabyte Daten
Die bei Europol gespeicherten Daten werden hauptsächlich von Strafverfolgungsbehörden der EU-Staaten übermittelt. Wie der britische Guardian berichtet, sammelt Europol seit 2016 beispielsweise aber auch Daten von Asylsuchenden, um mutmaßliche Terroristen zu finden. Auch hierzu habe der EU-Datenschutzbeauftragte bereits festgestellt, dass es keine Rechtsgrundlage für die Erhebung dieser Daten gebe. Sie könnten in eine Strafverfolgungsdatenbank gelangen, ohne dass die Betroffenen tatsächlich Verbindungen zu Straftaten oder Terrorismus haben.
Laut Guardian hat Europol mindestens 4 Petabyte Daten angehäuft. Bei einer Debatte in einem Ausschuss des EU-Parlaments im Juni 2021 habe Wiewiórowski darauf hingewiesen, dass die Polizeibehörde in Bezug auf die Datenspeicherung ähnlich argumentiere wie der US-amerikanische Auslandsgeheimdienst NSA zur im Jahr 2013 aufgedeckten Massenüberwachung. Die NSA habe den Europäern damals erklärt, die Daten zu sammeln und nur zu verarbeiten, wenn sie für Ermittlungen relevant seien. Wiewiórowski stellte fest: “Das ist etwas, das nicht mit dem europäischen Ansatz zur Verarbeitung personenbezogener Daten übereinstimmt.”
Der Guardian berichtet auch, die EU-Kommission habe den Datenschutzbeauftragten gedrängt, seine öffentliche Kritik an Europol abzuschwächen.
Unterdessen wird in der EU über eine neue Europol-Verordnung verhandelt, die unter anderem neue Befugnisse zur Datenverarbeitung vorsieht. (js)