Mögliche illegale Datensammlung bei Europol
der Abgeordneten Martina Renner, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Anke Domscheit-Berg, Dr. André Hahn, Jan Korte, Ina Latendorf, Cornelia Möhring, Petra Pau, Sören Pellmann, Dr. Petra Sitte und der Fraktion DIE LINKE.
Vorbemerkung
Am 30. April 2019 eröffnete der Europäische Datenschutzbeauftragte (EDPS) Wojciech Wiewiórowski eine Untersuchung der Verarbeitung großer Datensätze bei Europol, die dort der strategischen und operativen Analyse dienen sollen. Dabei entstanden Bedenken hinsichtlich der Einhaltung von datenschutzrechtlichen Prinzipien der Datenminimierung und der Erforderlichkeit. Nach einer längeren Auseinandersetzung mit Europol verfügte der EDPS am 3. Januar 2022 die Löschung aller Daten, die länger als sechs Monate bei Europol gespeichert sind und bei denen keine Verbindungen zu kriminellen Aktivitäten bestätigt werden konnten. Mutmaßlich betrifft dies auch zahlreiche personenbezogenen Daten, die aus Deutschland zu Europol übermittelt worden sind.
Nach Informationen, die dem internationalen Rechercheverbund Lighthouse Reports vorliegen und über die in Deutschland „DER SPIEGEL“ (www.spiegel.de vom 10. Januar 2022, „Europas Datenmonster“) berichtete, sind bei Europol derzeit 4 Petabyte an Daten gespeichert (ein Petabyte sind 1 024 Terabyte). Die Rede ist von einer „Big Data Arche“. Daten werden auf Vorrat gesammelt und dann weiterverarbeitet, wenn sie relevant werden. In einer Debatte des LIBE-Ausschusses des Europäischen Parlaments hatte Wojciech Wiewiórowski dieses Vorgehen kritisiert: „Das ist etwas, das nicht mit dem europäischen Ansatz zur Verarbeitung personenbezogener Daten übereinstimmt“, zitiert ihn „DER SPIEGEL“.
Die Daten stammen aus der Tätigkeit von Europol als Zentralstelle für den Datenaustausch der nationalen Polizeibehörden, beispielsweise der Sicherstellung von Millionen Nachrichten des „EncroChat“-Dienstes, dem Screening von Asylsuchenden nach ihrer Ankunft in der EU, den Zulieferungen der nationalen Kontaktstellen für die Polizei (in Deutschland das Bundeskriminalamt, BKA). Auch aus Deutschland werden Massendaten für die Auswertung bei Europol angeliefert, wie aus der Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/24778 hervorgeht. Dabei werden Daten, die im Rahmen von Ermittlungs- und Auswertungsverfahren angefallen sind, an das Europol-Informationssystem ausgeleitet. Große, zum Teil unstrukturierte, forensische Datenbestände werden dabei über das „Large Exchange File“-Verfahren (LFE) angeliefert. Die Anlieferung von Daten an das Europol-Informationssystem (EIS) und über das LFE-Verfahren umfasst auch Daten aus der Telekommunikationsüberwachung und Daten zu Kontaktpersonen, die also selbst nicht straffällig in Erscheinung getreten sind. Auch die Bundespolizei liefert solche Daten zum Abgleich im Europol-Informationssystem an. Von den zum damaligen Stand (1. April 2020) im EIS gespeicherten 1 514 803 Objekten stammten 279 321 aus Deutschland.
Die Übermittlung wird mittels eines dataloaders vorgenommen, der die Daten stapelweise, komplett zu einem Vorgang aus dem Vorgangsbearbeitungssystem, übermittelt. Um redundante Speicherungen aus mehreren Teilnehmerstaaten auszuschließen, werden die übermittelten Daten mittels eines „Cross Border Crime Check“ (CBCC) genannten Mechanismus mit dem Datenbestand im EIS abgeglichen und erkannte Redundanzen von einem Sachbearbeiter bearbeitet. Die angelieferten Daten werden schließlich von Analysten in den Analyst working Files (AWF) für weitere Analysen aufbereitet.
Zukünftig sollen die bisherigen Systeme zur Datenspeicherung (u. a. das EIS) und Datenaufbereitung (AWFs) in einem „New Environment for Operations“ (NEO) zusammengeführt werden, also einem data warehouse, mit dem das Konzept eines Integrierten Datenmanagements (Integrated Data Management, IDM) bei Europol umgesetzt werden soll (vgl. Europol Programming Document 2021 bis 2023 vom 29. Januar 2021, S. 34). Durch die Ersetzung der bislang genutzten Informations- und Kommunikationstechnologien sollen Ressourcen u. a. für den Einsatz von Künstlicher Intelligenz freigesetzt werden.
Zu befürchten ist nach Ansicht der Fragestellerinnen und Fragesteller also für die Zukunft eher noch die Ausweitung der Sammlung großer Mengen von unstrukturierten Daten, die auch personenbezogene oder personenbeziehbare Daten von Personen enthalten, die keinen Anlass zu polizeilicher Bearbeitung gegeben haben.
Wir fragen die Bundesregierung:
Fragen21
Wie viele Personen und Objekte sind nach Kenntnis der Bundesregierung derzeit im EIS gespeichert, und wie viele dieser Daten stammen von deutschen Behörden (bitte soweit möglich differenziert nach Personen bzw. Objekten und übermittelnden Behörden angeben)?
Wie viele Suchanfragen wurden nach Kenntnis der Bundesregierung 2020 und 2021 an das EIS gesendet, und wie viele davon stammten von deutschen Behörden (bitte soweit möglich differenziert wie zu Frage 1 angeben)?
Welche Angaben im Sinne der Fragen 1 und 2 kann die Bundesregierung diesbezüglich zu den anderen Europol-Teilnahmestaaten machen?
Welche dieser Teilnahmestaaten nutzen derweil den dataloader zur stapelweisen Übermittlung an Europol?
Wie ist der derzeitige Umsetzungsstand bei der Inbetriebnahme eines neuen, UMF-fähigen dataloaders durch Europol?
In welchem Umfang liefern deutsche Behörden u. a. unstrukturierte Massendaten über das LFS bei Europol an?
a) Wie hoch ist der Anteil der aus Deutschland angelieferten Daten in den Analysis Working Files (AWF)?
b) Welche Verfahren zum Schutz der persönlichen Grundrechte und Freiheiten existieren bei der weiteren Verarbeitung in den AWFs durch Europol?
Welche EU-Mitgliedstaaten testen nach Kenntnis der Bundesregierung die Anwendung „Querying Europol Systems“ (QUEST), bzw. welche Änderungen haben sich zur Antwort zu Frage 3 auf Bundestagsdrucksache 19/19440 ergeben?
War die Prüfung durch den Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski Thema bei den Sitzungen des Europol-Aufsichtsrats, zu welchen Sitzungen, und wurden hierzu Beschlüsse des Aufsichtsrats gefasst?
Welche Schlussfolgerungen und Konsequenzen hat die Bundesregierung oder haben die ihr nachgeordneten Behörden aus den Prüfvorgängen und den vorgebrachten Bedenken des EDPS der Datenverarbeitung von Europol gezogen?
Welche Erkenntnisse hat die Bundesregierung zur Speicherung von personenbezogenen Daten, die Europol im Rahmen des sogenannten Screenings von unerlaubt eingereisten Drittstaatsangehörigen in Griechenland und Italien gewonnen hat?
War die Bundesregierung zu einem Zeitpunkt des Prüfverfahrens des EDPS zu einer Stellungnahme aufgefordert, was war die Fragestellung, und was war der Tenor der Stellungnahme der Bundesregierung?
In welchen Verfahren speichert und verarbeitet Europol von den Teilnehmerstaaten übermittelte Informationen zu Personen und Objekten auch außerhalb des EIS?
Welche Speicher- bzw. Aussonderungsprüffristen gelten für die von deutschen Behörden an Europol übermittelten Daten, ggf. bezogen auf die unterschiedlichen Anlieferungswege und Verarbeitungsumgebungen?
Wie wird die Einhaltung dieser Speicher- bzw. Aussonderungsprüffristen von deutscher Seite nachgehalten, und in welcher Weise?
Wie wird die Einhaltung dieser Speicher- bzw. Aussonderungsprüffristen nachgehalten, wenn die betroffenen Daten von weiteren Teilnahmestaaten aus dem EIS abgerufen und in die eigenen polizeilichen Informationsoder Vorgangsbearbeitungssysteme übernommen worden sind?
Welche Maßregeln und Verfahren gelten, wenn die Daten eines als „Extremist“ verdächtigen Bürgers durch die übermittelnde Polizeibehörde selbst gelöscht werden, weil sich der Verdacht nicht erhärten ließ oder widerlegt wurde, die Person aber wie im Falle des niederländischen Bürgers Frank v. d. L. bereits im Informationssystems eines Mitgliedstaates gespeichert wurde (vgl. www.spiegel.de vom 10. Januar 2022)?
Wurden nach dem missglückten Versuch, die Anwendung „Gotham“ des Softwareherstellers „Palantir“ zur Auswertung der Daten bei Europol einzusetzen (https://www.spiegel.de/netzwelt/netzpolitik/palantir-europol-nutzt-software-von-umstrittenem-us-anbieter-a-ec089fab-a7d3-4e6e-b356-0d3469d0d665), nach Kenntnis der Bundesregierung weitere Versuche, Projekte etc. angestoßen, um eine automatisierte Auswertung der Daten vornehmen zu können?
a) Mit welcher Zielrichtung sollte diese automatisierte Auswertung vorgenommen werden?
b) Welche Rolle spielt dabei das Europol Analysis Project „Cyborg“, und aus welchen Quellen und welchen Operationen (Palmbeach, Emotet takedown etc.) werden dort Daten verarbeitet?
Dient die Art der Datenspeicherung und Datenauswertung bei Europol als Vorbild bei der Umsetzung des Programms Polizei 2020 (bzw. Polizei 20/20; bitte aktuelle Projektbezeichnung angeben), um auch für die von den Länderpolizeien, dem BKA und der Bundespolizei im Polizeilichen Informationssystem automatisiert Auswertungen vornehmen zu können, und wenn ja, inwiefern?
Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung aus der vom EDPS nun geforderten Löschung aller Daten, die älter als sechs Monate sind und bei denen es nicht erforderlich ist, sie weiter zu speichern?
Wird nach Kenntnis der Bundesregierung Europol eine Löschung der nach Ansicht des EDPS rechtswidrig gespeicherten Daten vornehmen bzw. prüfen, ob sie zur Aufgabenerfüllung noch erforderlich sind, und wenn ja, wie schnell?
Waren auch die Europol-Analysedateien (AWFs) und das Europol Analysis System Gegenstand der Prüfung durch den EDPS, wenn ja, mit welchem Ergebnis, wenn nein, inwiefern sind nach Einschätzung der Bundesregierung die Kritikpunkte aus der Prüfung des EIS auch auf die Analysedateien übertragbar?
Welche Konsequenzen hätte dies für die Datenübermittlung an die und für die Datenverwaltung der Europol-Analysedateien durch deutsche Behörden?