Polizeiliche Datenbankgesellschaft
EU-Parlamentarier opponieren gegen die geplante "IT-Agentur" zur Verwaltung polizeilicher Datenhalden. Ein Ende der Errichtung neuer Informationssysteme ist indes nicht absehbar
Cecilia Malmström, Innenkommissarin der Europäischen Union, hat eine umfassende Übersicht aller EU-Informationssysteme mit Personendaten angekündigt. In einer Mitteilung an den LIBE-Ausschuss (Bürgerliche Freiheiten, Justiz und Inneres) des Europäischen Parlaments verspricht Malmström, das Papier diese Woche vorzulegen. Die Initiative war zuletzt im Aktionsplan zum "Stockholmer Programm" festgeschrieben, in der eine "Mitteilung über Informationsbeschaffung und -austausch (Übersicht)" noch für 2010 gefordert wurde.
Die Übersicht dürfte Licht ins Dunkel des immer noch ausufernden europäischen Datentauschs bringen: Die Polizeien der EU-Mitgliedsstaaten haben zahlreiche Abkommen zum vereinfachten Zugriff auf nationale Datenbanken verabredet, darunter die Schwedische Initiative und der Vertrag von Prüm. Zudem betreibt die EU selbst weitgehende Informationssysteme wie das Schengener Informationssystem (SIS), die Fingerabdruckdatenbank EURODAC oder das Visa-Informationssystem (VIS), das noch dieses Jahr in Betrieb gehen soll.
Auch die Polizeiagentur Europol unterhält zahlreiche Datensammlungen, darunter 20 sogenannte "Analysedateien" (AWF), in denen eine unbekannte Zahl von Personendossiers abgelegt sind. Europol darf dort sogar Angaben zu politischer Einstellung, Lebensweise oder sexueller Orientierung speichern (Europol in der dritten Generation). Die EU-Polizeibehörde verweigert jegliche Stellungnahme zur Anzahl der in den AWF gesammelten Personendaten, die einzige hierzu verfügbare Angabe liegt inzwischen immerhin 7 Jahre zurück. In einer Fragestunde im Bundestag erklärte die Bundesregierung 2003, dass damals insgesamt 146.143 Personen erfasst waren.
Die größte AWF zu Mitteilungen von Finanzinstituten über Geldwäsche verdächtige Transaktionen und grenzüberschreitenden Bargeldverkehr enthielt allein 68.870 Personen. Nach endgültigem grünen Licht für das SWIFT-Abkommen zum Finanzdatentausch mit den USA dürfte gerade diese Europol-Analysedatei großen Zuwachs erfahren. Europol ist gemäß dem beschlossenen SWIFT-Vertrag Empfänger aller aufbereiteten "Treffer" des US-Departments für Homeland Security, also den bereits mit anderen US-Datenhalden abgeglichenen und analysierten Datenspuren über verdächtige finanzielle Transaktionen. Ausgerechnet Europol als jene EU-Behörde, die ein gesteigertes Eigeninteresse am Anhäufen von Personendaten hegt, soll nun im Rahmen des SWIFT-Abkommens die permanenten, alltäglichen transatlantischen Datendeals auf ihre Rechtmäßigkeit überwachen (Europol wird internationaler Daten-Marktplatz).
Niederlage des EU-Parlaments
In ihrem Brief an den LIBE-Ausschuss nimmt Kommissarin Malmström Bezug auf das kürzlich eingetütete SWIFT-Abkommen und hält den Vertragsschluss gar für einen "Sieg aller beteiligten Parteien". Das dürften alle datenschutzrechtlich Engagierten als Schlag ins Gesicht empfinden, zumal der erste größere Aufstand des Parlaments nach dem Lissabon Vertrag bezüglich des SWIFT-Deals in einer ebenso großen Niederlage mündete. Bürgerrechtler, Aktivisten oder Datenschützer können vom derzeitigen Parlament wenig erwarten. Die Mitteilung von Malmström kommt am Ende beinahe besänftigend daher, wenn von der geplanten "transparenten Übersicht" des Austauschs von Personendaten die Rede ist.
Das angekündigte Dokument mag zwar den Status quo von Informationssystemen und der Praxis europaweiter bzw. internationaler Datendeals liefern. Die Entwicklung einzelner Maßnahmen der letzten Jahre wäre allerdings ebenfalls eine Analyse wert. Zahlreiche Initiativen zum grenzüberschreitenden Datentausch wurden nach ihrer Errichtung schrittweise erweitert und fortschreitend mehr Polizei- und Geheimdienstbehörden Zugriff gewährt. Das Schengener Informationssystem etwa war als System zur offenen oder verdeckten Fahndung nach Personen oder Sachen begründet worden. Heute wird das SIS mit Abstand größtenteils durch Daten von Migranten, die zur Ausreise bzw. Einreiseverweigerung ausgeschrieben sind gespeist und abgefragt (Artikel 96). Ähnlich verhält es sich mit der EU-Fingerabdruckdatei EURODAC, die ebenfalls hauptsächlich Migranten bevorratet, um per Fingerabdruck ihren Schengen-Einreisestaat nachzuvollziehen. EURODAC soll nun nach Willen der Kommission zur polizeilichen Fahndung geöffnet werden.
Nicht nur der EU-Datenschutzbeauftragte Peter Hustinx hat hierzu schwerwiegende Bedenken angemeldet und an ein wichtiges Datenschutzprinzip erinnert, dass nämlich Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie erhoben wurden. Trotzdem lässt die EU im Fünfjahresplan "Stockholmer Programm" weitere Schranken zur grenz- und ressortübergreifenden Polizeizusammenarbeit fallen:
Außerdem müssen wir alle Hindernisse aus dem Weg räumen, die einer wirkungsvollen Zusammenarbeit der einzelstaatlichen Strafverfolgungsbehörden entgegenstehen. EU-Agenturen und -Einrichtungen wie der Außengrenzagentur Frontex, Europol, Eurojust und dem OLAF kommt eine außerordentlich wichtige Rolle zu. Sie müssen besser zusammenarbeiten und die notwendigen Befugnisse und Mittel erhalten, damit sie ihre Ziele innerhalb des ihnen zugewiesenen Aufgabenbereichs erreichen.
Aktionsplan zum "Stockholmer Programm"
Noch mehr Deals zum "Daten-Tsunami"
Dass Datenschutz und Datensparsamkeit noch nie zu Leitlinien der Europäischen Kommission gehörten, illustrieren die Pläne über neue, teilweise noch dieses Jahr zu beschließende zukünftige internationale Datendeals. So soll etwa die noch junge EU-Migrationspolizei Frontex bald mit einer neuen Verordnung ermächtigt werden, nicht nur auf vorhandene Informationssysteme zuzugreifen, sondern selbst personenbezogene Daten zu sammeln (Europas Borderline).
Nach Unterzeichnung des SWIFT-Abkommens droht die EU, mit den USA weitere Vereinbarungen zum Datenaustausch auszuhandeln. Ein umfassendes Abkommen soll hierfür schon 2011 fertig ausgearbeitet auf dem Tisch liegen. Damit wird Realität, was der EU-Innenminister-Stammtisch "Future Group" schon vor drei Jahren unter Leitung des deutschen Innenministers Wolfgang Schäuble ankündigte (Die Wünsche der EU-Innenminister). In einem Diskussionspapier zur Verabschiedung des "Stockholmer Programms" forderten die Minister, dass die EU bis 2014 über ihre Position zu einer "transatlantischen Kooperation" in den Bereichen Justiz und Inneres entscheiden soll. Damit würde faktisch die NATO-Allianz auch im Bereich innerer Sicherheit abgebildet, entsprechende legislative und operative Maßnahmen im Zuge eines zivil-militärischen "umfassenden Ansatzes" damit drastisch erleichtert. Zwar hat es die Formulierung der "transatlantischen Kooperation" nicht in den endgültigen Fünfjahresplan zur Inneren Sicherheit in der EU geschafft, die anvisierten Maßnahmen indes durchaus.
Im damaligen Diskussionspapier hatten die Innenminister ihre unverhohlene Freude über einen "Daten-Tsunami", zum Ausdruck gebracht. Gemeint war neben den polizeilichen Datenbanken auch das Internet. Diese "Unmengen von Daten" sollten demnach für die Verfolgungsbehörden in der EU nutzbar gemacht werden. Auch hier schafft die Kommission Fakten: Unter dem Überbegriff "Initiativen im Bereich Grenzregime und Datenaustausch" forciert sie noch dieses Jahr mehrere neue EU-übergreifende und internationale Verträge.
Neben dem Abkommen mit den USA zum Austausch von Passagierdaten (PNR) soll die EU demnach eine gleichlautende Vereinbarung mit Kanada und Australien abschließen, die ebenfalls Strafverfolgungsbehörden Zugriff auf alle im Rahmen einer Reise erhobenen Datensätze gewährt. In Planung ist zudem, PNR-Daten zukünftig auch an andere Drittstaaten weiterzureichen. Perspektivisch will die Europäische Union ein eigenes PNR-System aufbauen (EU-PNR).
Noch im dritten Quartal will die Kommission die "Angemessenheit des Schutzes personenbezogener Daten in Israel" prüfen, darunter Daten aus Finanztransfers und Telekommunikation. Unter anderem wurde Europol 2005 aufgefordert, einen Entwurf eines formalen Kooperationsabkommens zum Datentausch mit Israel vorzulegen. Der ist zwar fertig, sorgt allerdings für Verstimmung. Problematisch ist etwa die Anerkennung der Besetzung Ostjerusalems 1967, die von der EU diplomatisch nie vollzogen wurde. Weil Israel dort auch ein Polizeihauptquartier betreibt, würde diese Politik durch das geplante Europol-Abkommen unterlaufen. Wäre bis Anfang des Monats kein Widerspruch eines EU-Mitgliedsstaates eingelegt worden, hätte die Kommissions-Initiative ungebremst ihren Weg in die nächste Instanz genommen. Nun hat Irland rechtzeitig Einspruch erhoben. Die Regierung in Dublin begründet den Schritt unter anderem mit den mutmaßlichen Passfälschungen des israelischen Geheimdienstes rund um die Tötung eines palästinensischen Politikers in Dubai.
Am Freitag hat die frischgebackene belgische EU-Präsidentschaft gemeldet, die Union werde der seit letztem Jahr geplanten "Strategie für die Innere Sicherheit" spätestens 2014 einen eigenen Aktionsplan folgen lassen. Mit noch mehr polizeilichen Begehrlichkeiten zum Datensammeln kann also gerechnet werden, immerhin werden regelmäßig weitere Papiere herausgegeben, die einen "umfassenden Ansatz" im Kampf gegen "Terrorismus, organisierte Kriminalität und illegale Migration" predigen und stets neue Grundsatzpapiere herausgeben (EU leuchtet digitale und andere Untergründe aus).
Streit um Datenschutz in der IT-Agentur
Neues gibt es auch von der geplanten "IT-Agentur", von der sich die EU mehr administrative Ordnung ihres Datenbank-Unwesens verspricht. Die sogenannte "Agentur für das Betriebsmanagement von IT-Großsystemen im Bereich "Freiheit, Sicherheit und Recht" soll zunächst die polizeilichen Datenbanken SIS, EURODAC und VIS verwalten und laut EU-Kommission einen "kontinuierlichen, ununterbrochenen Datenaustausch gewährleisten". Später könnten andere "IT-Großsysteme" des Bereichs "Freiheit, Sicherheit und Recht" hinzukommen. Nach gegenwärtigem Stand gelten Frankreich und Estland als aussichtsreichste Kandidaten zur Beherbergung des neuen IT-Apparats.
Bis zum 17. Mai hatten die EU-Mitgliedsstaaten Zeit für ihre Stellungnahmen. Zuvor hatte die Kommission fünf mögliche Szenarien durchgespielt, wie die administrative Leitung der drei polizeilichen Datenbank-Flaggschiffe gewährleistet werden könnte. Im Gespräch war die Beibehaltung des Status quo (Behörden der Mitgliedstaaten sind für das Betriebsmanagement zuständig, EURODAC verbleibt bei der Kommission) oder als weitere "Minimallösung" der Verbleib des Managements aller drei Datenhalden bei den Mitgliedstaaten. Im Gespräch war ebenso eine Federführung entweder von Frontex oder Europol für die drei Systeme. Die Europol-Option ließ sich allerdings angesichts der gleichzeitig diskutierten neuen Europol-Verordnung nicht durchsetzen. In der vergleichenden Analyse ging die Option einer neuen Regulierungsagentur "als Sieger hervor" (O-Ton EU-Kommission).
Im Juni 2009 hatte die Kommission ein sogenanntes "Legislativpaket" vorgelegt, das zum einen den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Errichtung der Agentur sowie einen Vorschlag für einen Beschluss des Rates zur Übertragung der Aufgaben des Betriebsmanagements der Systeme enthielt.
Kritik kam bald nach Veröffentlichung des Kommissionsvorschlags unter anderem vom deutschen Bundesrat. Er betont, dass die Initiative im Widerspruch "zu seiner grundsätzlichen Haltung über die Errichtung europäischer Agenturen" stehe, wonach "Gemeinschaftsagenturen nur in begründeten Ausnahmefällen" eingerichtet werden dürfen. Inzwischen hat auch der Juristische Dienst des Europäischen Parlaments seine Bedenken ventiliert, die jedoch eher die Sonderrolle Großbritanniens, Irlands und Dänemarks im Bereich Justiz und Inneres betreffen. Die Regierungen würden womöglich nicht an der "IT-Agentur" teilnehmen. Großbritannien hat sich hierzu inzwischen positiv geäußert.
Im März hatte sich der Datenschutzbeauftragte der EU zur "IT-Agentur" zu Wort gemeldet. Wie viele andere europäische Datenschützer lehnt er ihre Errichtung nicht grundsätzlich ab, fordert aber, dass "Risiken, die sich erheblich auf die Privatsphäre von Personen auswirken könnten", im Gründungsakt ausreichend berücksichtigt werden. Der oberste Datenhüter der EU argwöhnt eine "schleichende Ausweitung der Zweckbestimmung" des Systems – eine Befürchtung, die sich angesichts des Umgangs mit polizeilichen EU-Datenhalden in den letzten Jahren geradezu aufdrängt. Hustinx fürchtet, dass die neue Agentur "von sich aus neue IT-Großsysteme schaffen und sie in einem derzeit noch nicht vorherzusehenden Maße mit bereits bestehenden verbinden könnte". Das Risiko von Fehlern bzw. missbräuchlicher Verwendung personenbezogener Daten steige, weshalb die Gesamtzahl von IT-Großsystemen, die von ein und derselben Agentur verwaltet werden, beschränkt werden müssten um "Datenschutzgarantien" zu gewährleisten.
Hustinx äußerte sich ebenso zu einer der früheren Optionen, gemäß der Frontex oder Europol die Agentur verwalten sollten. Dies wird von Seiten des Datenschutzes abgelehnt, da die Organisationen "im Rahmen ihrer Aufgabenwahrnehmung ein Eigeninteresse an der Nutzung von personenbezogenen Daten haben" und das Risiko des Datenmissbrauchs folglich stiege - ein Argument, das in den Verhandlungen um das SWIFT-Abkommen offensichtlich wenig interessierte.
Im Moment liegt der Ball beim Europäischen Parlament, das sich mit dem Kommissionsvorschlag zur Errichtung der neuen Agentur beschäftigt. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat im Juni etliche Änderungsvorschläge eingebracht, gefolgt von Eingaben von Jan Philipp Albrecht und Cornelia Ernst, Abgeordnete der Grünen und der Linken im Europaparlament. Weil die IT-Agentur in zahlreichen Dokumenten und Programmen der EU festgeschrieben ist, lässt sich ihre Einrichtung nicht mehr grundsätzlich verhindern. Kritiker versuchen deshalb, auf die Errichtungsverordnung im Sinne des Datenschutzes Einfluss zu nehmen, etwa dass eine Verbindung der Datenbanken nicht erlaubt ist oder eine Datenschutzaufsicht eingerichtet wird. Zudem sollen neue Datensammlungen nur mit Zustimmung des Europäischen Parlaments integriert werden dürfen – eine dürftige Firewall angesichts der erbärmlichen Zustimmung des Parlaments zum SWIFT-Abkommen.