Europol muss sich erneut Kritik an seiner umfangreichen Datensammlung gefallen lassen. Eine Recherche von Correctiv, der griechischen Redaktion Solomon und des britischen Magazins Computer Weekly bringt mehr Licht in ein dunkles Kapitel der Strafverfolgung. Den Berichten zufolge betrieb die Behörde jahrelang eine Art „Schatten-IT-Umgebung“, die weitgehend außerhalb der gesetzlich vorgeschriebenen Sicherheits- und Datenschutzvorkehrungen stand.
Nach außen hin tritt Europol als Hüterin von Recht und Gesetz auf. Die nun zutage getretenen internen Abläufe lassen den Schluss zu, dass das Amt diese Standards intern unterlaufen hat. Frühere Mitarbeiter beschreiben ein System, das parallel zur offiziellen Infrastruktur existiert habe und teils gezielt vor dem EU-Datenschutzbeauftragten Wojciech Wiewiórowski geheim gehalten worden sei.
Das Ausmaß der intransparenten Datenverarbeitung ist beachtlich. Einem bislang unter Verschluss gehaltenen internen Bericht von 2019 zufolge, den Europol nach einer Informationsfreiheitsanfrage herausgab, speicherten und verarbeiteten Mitarbeiter auf einer dieser Plattformen zeitweise 99 Prozent der gesamten operativen Daten der Behörde. Es handelte sich also wohl um das Herzstück der kriminalistischen Analyse.
Ein bekanntes Problem in neuem Licht
Über diese Systeme hatten Mitarbeiter Zugriff auf hochsensible Informationen wie Standort- und Verbindungsdaten, Finanztransaktionen und Ausweisdokumente. Tatsächlich gewährten die EU-Gesetzgeber 2022 Europol die Befugnis, umfangreiche und komplexe Datensätze zu verarbeiten und mit derlei Big-Data-Analysen die Mitgliedstaaten in ihrem Kampf gegen schwere Kriminalität und Terrorismus zu unterstützen. Das Amt darf damit auch Daten Unverdächtiger im großen Stil auswerten. Nun kommt heraus: Eine ordnungsgemäße Protokollierung, wer wann auf welche Daten zugriff oder diese veränderte, fand offenbar nicht statt.
Wiewiórowski rügte schon 2020, dass Europol für Big-Data-Analysen zu viele Informationen sammelt und an einem biometrischen Abhörsystem beteiligt ist. 2022 klagte er gegen die Lizenz der Behörde zur Massenüberwachung, um Daten Unverdächtiger außen vorzuhalten. Die nun erlangten Dokumente legen jetzt erstmals das Ausmaß interner Verschleierungstaktiken und die Existenz konkreter Schattensysteme nahe.
Nachträgliches Reinwaschen statt Aufarbeitung?
Interne E-Mails deuten auf eine Datenbank mit dem bezeichnenden Namen „Pressure Cooker“ hin. In einer als hochdringlich eingestuften Nachricht vom Oktober 2022 warnte ein Beschäftigter die Behördenleitung vor einer „irregulären Situation“. Es war zu befürchten, Wiewiórowski könne von der Existenz dieses Netzwerks erfahren, in dem operative Einheiten Aktivitäten ohne jegliche IT-Kontrolle entwickelten. Die IT-Abteilung von Europol soll intern mehrfach darauf gedrängt haben, diesen „Schnellkochtopf“ abzuschalten oder in ein reguläres, kontrolliertes System zu überführen. Sie erreichte damit den Berichten zufolge aber wenig.
Europol weist die Vorwürfe zurück und betont, man habe gegenüber dem Datenschutzbeauftragten stets transparent über alle Systeme berichtet. Die Darstellung, Informationen seien bewusst versteckt worden, sei falsch. Ein hochrangiger früherer Insider gab gegenüber den Reportern indes an, dass die Behörde derzeit versuche, das fragwürdige Instrument nachträglich zu legitimieren. Unter der Bezeichnung „IFOE-QRA“ werde es Wiewiórowski als geplante Neuheit präsentiert.
Generell gelten Polizeidatenbanken auch hierzulande bei Bund und Ländern als kaum entwirrbares Knäuel, das mit „Polizei 2020“ aber vereinheitlicht werden soll. Europol mit Sitz in Den Haag kritisieren Beobachter schon seit Jahrzehnten als „Datenwaschanlage“, da dort zusätzlich auch Informationen hingelangten, die nationale Stellen in Eigenregie nicht verarbeiten dürften.
(dahe)
English (US) ·