Europol, die Strafverfolgungsbehörde der Europäischen Union, wurde angewiesen, eine riesige Sammlung personenbezogener Daten zu löschen, die in den letzten sechs Jahren von Polizeibehörden in EU-Mitgliedstaaten gesammelt wurden. Die Löschanordnung kommt vom Europäischen Datenschutzbeauftragten (EDSB), einer Überwachungsbehörde, die die Einhaltung der Datenschutzgesetze durch die EU-Institutionen überwacht.
Der EDSB hat Europol ein Jahr Zeit gegeben, seine Datenbanken zu überprüfen und dann alle Daten zu entfernen, die nicht mit einer strafrechtlichen Untersuchung in Verbindung gebracht werden können.
Das Gesamtdatenvolumen, das in den Systemen von Europol gespeichert ist, beläuft sich laut Berichten im Guardian auf rund 4 Petabyte – das entspricht Hunderten von Milliarden Seiten gedruckter Texte – und umfasst Daten zu mindestens einer Viertelmillion aktuellem oder früherem Terror und schwerer Kriminalität Verdächtige, zusammen mit anderen Personen in seinen Kontaktnetzwerken. Die Daten stammen aus strafrechtlichen Ermittlungen der nationalen Polizeibehörden in EU-Ländern, die dann an Europol weitergegeben wurden.
„Europol ist den Aufforderungen des EDSB, eine angemessene Frist für die Datenspeicherung festzulegen, nicht nachgekommen“
Im Text des Beschlusses zitiert der EDSB eine erste Untersuchung zum Umgang von Europol mit sensiblen Daten im Jahr 2019, die zu dem Schluss kam, dass Europol personenbezogene Daten von kriminellen und terroristischen Verdächtigen speicherte, ohne angemessen zu prüfen, ob die Überwachung gekennzeichneter Personen gerechtfertigt war. Ein Jahr später richtete der EDSB eine Abmahnung an Europol, weil sie die Datenschutzvorschriften nicht einhält und die Gefahr besteht, dass EU-Bürger fälschlicherweise mit kriminellen Aktivitäten in Verbindung gebracht werden.
“Obwohl einige Maßnahmen ergriffen wurden Seitdem Europol von Europol eingeführt wurde, ist Europol den Aufforderungen des EDSB nicht nachgekommen, einen angemessenen Zeitraum für die Datenspeicherung festzulegen, um die gemäß der Europol-Verordnung zur Analyse zugelassenen personenbezogenen Daten zu filtern und zu extrahieren“, schrieb der EDSB in einer Pressemitteilung, die der Entscheidung.
In Ermangelung einer klaren Vorgehensweise ist der EDSB nun energischer eingetreten und hat Europol ein Jahr Zeit gegeben, um die vorhandenen Daten zu durchsuchen, um herauszufinden, was rechtmäßig aufbewahrt werden kann, und angewiesen, alle neu erhobenen Daten zu löschen, die nicht in diese Kategorie eingeordnet sind sechs Monate.
„Es ist unklar, welche genauen Arten von Daten Europol so eifrig festhalten möchte, aber wir wissen, dass es sich um große Datensätze handelt, die zumindest teilweise aus Daten über Personen bestehen, die Europol derzeit nicht in die Kategorien ‚Verdächtige‘, ‚potenzielle Zukunft‘ einordnen zu können glaubt Kriminelle“, „Kontakte und Mitarbeiter“, „Opfer“, „Zeugen“ und „Informanten““, sagte Michael Veale, außerordentlicher Professor für digitale Rechte und Regulierung an der juristischen Fakultät des University College London.
Dieses Spektrum an Kategorien sei bereits sehr breit gefächert, sagte Veale, so dass die Speicherung von Daten, die nicht in diese Kategorien fallen, Anlass zur Sorge gab, dass Europol eine ungerechtfertigte Überwachung von Gruppen durchführt, die als “verdächtig” oder “gefährlich” bezeichnet werden.
Klar scheint, dass die Entscheidung des EDSB eine heftige Debatte darüber auslösen wird, wo die EU die Grenze zwischen Datenschutz und Sicherheit ziehen sollte. Einige hochrangige europäische Beamte reagierten schnell: Eine, die EU-Kommissarin für Inneres Ylva Johansson, drückte kurz nach der Bekanntgabe der Entscheidung ihren Unmut aus.
„Strafverfolgungsbehörden brauchen die Werkzeuge, Ressourcen und die Zeit, um Daten zu analysieren, die ihnen rechtmäßig übermittelt werden“, sagte Johansson gegenüber The Guardian. „Europol ist in Europa die Plattform, die die nationalen Polizeibehörden bei dieser Herkulesaufgabe unterstützt.“
Johansson erläuterte PoliticoEU ihre Bedenken und deutete an, dass kleinere nationale Polizeibehörden keinen Sinn machen könnten von Big Data, ohne auf die Expertise von Europol zurückzugreifen.
„Eine Polizei, die die Grundrechte nicht respektiert, kann letztendlich nicht effektiv sein“
Aber andere Datenschutzaktivisten haben das Urteil begrüßt, das als Bestätigung gefeiert wurde der digitalen Rechte der EU-Bürger.
„Diese Entscheidung … zeigt einmal mehr, dass die Rechte auf Privatsphäre und Datenschutz in der EU Grundrechte sind und als solche geschützt werden, sogar wenn der Druck auf diese Rechte von der Polizei ausgeht“, sagte Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Think Tank Future of Privacy Forum.
„In einer Rechtsstaatlichkeit müssen polizeiliche Aktivitäten dem rechtlichen Rahmen folgen. Eine Polizei, die die Grundrechte nicht respektiert, kann letztendlich nicht effektiv sein“, sagte Zanfir-Fortuna.