von Tony Bunyan
Die EU will die „Hindernisse“ für den grenzüberschreitenden Austausch von Polizeidaten beseitigen. Sie beseitigt damit gleichzeitig die Voraussetzungen des Datenschutzes.
„Mit Wirkung vom 1. Januar 2008 sollte sich der Austausch dieser Informationen nach den für den Grundsatz der Verfügbarkeit geltenden Bedingungen richten.“ So steht es im Haager Programm, dem Fünfjahresplan für die Innen- und Justizpolitik, den die Staats- und Regierungschefs der EU, der Europäische Rat, im November 2004 angenommen haben.[1] Dieses Prinzip „bedeutet, dass unionsweit ein Strafverfolgungsbeamter in einem Mitgliedstaat, der für die Erfüllung seiner Aufgaben Informationen benötigt, diese aus einem anderen Mitgliedstaat erhalten kann und dass die Strafverfolgungsbehörde in dem anderen Mitgliedstaat, die über diese Informationen verfügt, sie – unter Berücksichtigung des Erfordernisses in diesem Staat anhängiger Ermittlungen – für den erklärten Zweck bereitstellt …“. Anders ausgedrückt: Wenn die Polizei eines EU-Staates über Informationen verfügt, muss sie diese auf Anfrage an einen anderen Mitgliedstaat herausrücken. Der polizeiliche Datenaustausch im Rahmen der EU wird damit weitgehend denselben Bedingungen unterstellt, die im nationalen Kontext gelten.
Bisher richtet sich der Informationsaustausch nach bi- oder multilateralen Rechtshilfeabkommen. Das „Problem“ der Strafverfolgungsbehörden ist dabei, dass sie in jedem Einzelfall ein Ersuchen stellen müssen. Der Austausch ist zeitraubend, auch wenn er durch das Schengener Durchführungsübereinkommen und das im August 2005 in Kraft getretene EU-Rechtshilfe-Übereinkommen vereinfacht wurde. Wenn die gewünschten Daten als Beweismittel im Strafverfahren verwendet werden sollen oder für ihre Erhebung Zwangsmaßnahmen erforderlich sind, bedarf es zudem nach wie vor einer richterlichen Genehmigung.
Um den Datenaustausch zu beschleunigen, fordert das Haager Programm bei der Umsetzung des neuen Prinzips „die neuen Technologien in vollem Umfang“ zu nutzen. Seit den 90er Jahren bedeutete dies vor allem, gemeinsame Informationssysteme auf EU-Ebene wie das Schengener Informationssystem, die Datenbanken von Europol oder das Zollinformationssystem zu schaffen, über deren schnelles Wachstum selbst der Ministerrat zwischenzeitlich erstaunt war.[2] Dennoch bezogen sich die gemeinsamen Datensysteme nur auf bestimmte Aspekte polizeilicher Arbeit. Vor allem aber blieb der Datenaustausch davon abhängig, dass die Mitgliedstaaten ihre Daten tatsächlich in die Informationssysteme eingaben. Statt „neue zentralisierte europäische Datenbanken“ zu schaffen, setzt die EU nun auf den „gegenseitigen Zugriff auf nationale Datenbanken oder deren Interoperabilität oder direkten (Online-)Zugang, auch für Europol“.
Die Anfänge
Dass in einigen EU-Staaten sowohl für die Erhebung bestimmter Daten als auch für deren Übermittlung ins Ausland eine justizielle Genehmigung notwendig ist, sei ein Hindernis für die effiziente Zusammenarbeit. Dies war das Ergebnis einer Umfrage, die die niederländische EU-Präsidentschaft im Juli 2004 in der Strafrechtsarbeitsgruppe des Rates durchführen ließ. Den Fragebogen über „besondere Ermittlungsmethoden“, in dem es neben diversen verdeckten Maßnahmen auch um die rechtlichen Bedingungen für den Austausch von Daten und Erkenntnissen ging, hatten die USA zuvor bereits unter den Mitgliedern der G8 zirkulieren lassen. Die Gruppe der acht größten Industriestaaten hatte sich seit 2002 regelmäßig mit diesem Thema befasst.[3] Hintergrund dessen war zunächst die Terrorismusbekämpfung nach dem 11. September 2001. Die Debatte wurde jedoch schnell auf „organisierte Kriminalität“ und schließlich Kriminalität im Allgemeinen ausgedehnt. Ihre Wirkungen waren auch in der EU bereits spürbar, bevor der ominöse Fragebogen zirkulierte.
Mit der auf dem EU-Gipfeltreffen am 25. März 2004, zwei Wochen nach den Anschlägen von Madrid, verabschiedeten „Erklärung zur Bekämpfung des Terrorismus“ war die „Vereinfachung des Informationsaustauschs zwischen den Strafverfolgungsbehörden der Mitgliedstaaten“ endgültig auf die Tagesordnung der EU gerückt. Von einer Begrenzung auf Terrorismus-relevante Daten war dabei weder in der Erklärung selbst noch in den daran anknüpfenden Vorschlägen die Rede.[4]
Wie gefordert legte die Kommission bereits im Juni dem Rat ihre Mitteilung „betreffend den verbesserten Zugang zu Informationen für Strafverfolgungsbehörden“ vor, in der sie einen „freien Verkehr“ von Strafverfolgungsdaten propagiert und sowohl für die zuständigen nationalen Behörden als auch für Europol und Eurojust „ein Recht auf gleichberechtigten Zugang zu Daten“ vorschlägt.[5]
Vom freien Datenverkehr zum „Prinzip der Verfügbarkeit“ war es nur ein kleiner Schritt. Eine Woche vor der Ratstagung vom 30. September präsentierte die niederländische Präsidentschaft einen Vermerk zum Thema „Informationsaustausch“, in dem es heißt: „Außer mangelnder Bereitschaft gibt es rechtliche und technische Hindernisse für den Informationsaustausch. Diese Hindernisse fortbestehen zu lassen, ist mit den Grundprinzipien des Raums der Freiheit, der Sicherheit und des Rechts unvereinbar und im Hinblick auf die Terrorismusbekämpfung unverantwortlich.“ Die Konsequenz: „Vom 1. Januar 2008 an muss der Informationsaustausch in den Politikbereichen des Raums der Freiheit, der Sicherheit und des Rechts auf dem Grundsatz der Verfügbarkeit beruhen.“ Vorrangig sei, „dass gegenseitiger Zugang zu einzelstaatlichen Datenbanken gewährt wird.“[6]
Als Anfang Oktober der erste Entwurf des Haager Programms vorlag, war das „Prinzip der Verfügbarkeit“ in Stein gemeißelt.[7] Auf dem Gipfeltreffen am 5. November 2004 wurde das Programm ohne Debatte durchgewunken – die Staats- und Regierungschefs hatten offenbar Wichtigeres zu diskutieren. Das Arbeitsprogramm von Kommission und Parlament für die folgenden fünf Jahre und mit ihm die Verpflichtung, einen polizeilichen Datenaustausch ohne Grenzen zu ermöglichen, war damit innerhalb weniger Wochen hinter verschlossenen Türen ausgehandelt worden und über die Bühne gegangen, ohne dass eine parlamentarische oder gar öffentliche Debatte hätte stattfinden können.
Die Siebenerbande
Die grundsätzliche Entscheidung sollte nun in konkrete Vorschläge einfließen. Einen ersten Versuch, das Prinzip der Verfügbarkeit auszubuchstabieren, startete die nun luxemburgische Ratspräsidentschaft im März 2005 mit einem „Vermerk“ über „effizienten Informationsaustausch“.[8] Die Liste der auszutauschenden Informationen müsse „so umfangreich und die für den Austausch notwendigen Anstrengungen so gering wie möglich“ sein. Im Klartext: „nur minimale Formalitäten, Genehmigungen, Verfahren – wenn überhaupt welche.“
Die Polizei- und andere Strafverfolgungsbehörden der Mitgliedstaaten sollen demnach erstens umfassenden Zugang zu allen EU-Informationssystemen im Bereich Justiz und Inneres erhalten. Das Papier nennt hier u.a. Eurodac, das System für Fingerabdrücke von Asylsuchenden, das bisher nur von Asyl- und Ausländerbehörden abfragbar ist. Die Mitgliedstaaten sollen sich zweitens gegenseitig den polizeilichen Zugriff auf nationale Verwaltungsdatenbanken gestatten: „Register über Personen, Fahrzeuge, Schusswaffen, Ausweise, und Führerscheine sowie Flug- und Schifffahrtsregister.“ Gegenseitig abfragbar – und zwar auf einer „hit/no hit-Basis“ – sollen drittens auch nationale Polizeisysteme, in erster Linie Fingerabdruck- und DNA-Profil-Datenbanken, sein.
Wie Letzteres funktionieren sollte, zeigte zwei Monate später der Vertrag von Prüm, den sieben EU-Staaten am 27. Mai 2005 unterzeichneten: Luxemburg, Belgien, die Niederlande, Frankreich, Österreich, Spanien und Deutschland.[9] Italien hat sein Interesse an einem Beitritt bekundet. Neben anderen Fragen der polizeilichen Zusammenarbeit behandelt der Vertrag den gegenseitigen Online-Zugriff auf Fingerabdruck- und DNA-Datenbanken – und zwar auf besagter „hit/no hit-Basis“. Die Polizeien der Vertragsstaaten können die jeweiligen Indices abfragen. Bei DNA-Datenbanken ist dies nur zu Strafverfolgungszwecken, bei den Fingerabdrucksystemen zusätzlich zur Gefahrenabwehr und zur vorbeugenden Bekämpfung von Straftaten erlaubt. Entscheidend ist das Recht des ersuchenden Staates. Wenn die Abfragenden dabei die Fingerabdrücke oder das DNA-Profil der betreffenden Person finden, also einen „hit“, einen „Treffer“ erzielen, erhalten sie zusätzlich auf konventionellem Wege die weiteren Informationen, die zu dieser Person verfügbar sind. Falls das DNA-Profil der betreffenden Person nicht vorhanden ist, kann der jeweilige Vertragsstaat um dessen Erhebung ersuchen. Darüber hinaus soll es regelmäßige Gesamtabgleiche der nationalen DNA-Datenbanken geben. Der Vertrag erlaubt ferner die Abfrage der jeweiligen Kraftfahrzeugregister.
Freunde der Präsidentschaft
Der Vertrag von Prüm lag – zumindest in den einschlägigen Gremien – schon auf dem Tisch, als der Rat im April 2005 eine Gruppe von „Freunden der Präsidentschaft“ (FOP) einsetzte. Diese Gruppe von ExpertInnen aus der Kommission, dem Generalsekretariat des Rates und den Mitgliedstaaten sollte die „technischen Modalitäten zur Umsetzung des Prinzips der Verfügbarkeit“ ergründen. Praktisch hieß das, dass die EU sich daran machte das auszuarbeiten, was die Siebenerbande von Prüm außerhalb der EU-Strukturen vorgegeben hatte.
Der Bericht der FOP-Gruppe liegt seit dem 24. Oktober 2005 vor, bis heute jedoch sind die Seiten 4-42 des Textes, d.h. alle wichtigen Details, für die Öffentlichkeit gesperrt.[10] Die Gruppe sollte sich mit sechs Datenkategorien befassen: DNA-Profile, Fingerabdrücke, ballistische Daten, Fahrzeug- und Führerscheindaten, Telefonnummern und Telekom-Verbindungsdaten sowie Daten aus Zivilstandsregistern.
Bei DNA-Profilen folgt die Arbeitsgruppe dem im Vertrag von Prüm vorgeschlagenen Modell des gegenseitigen Direktzugriffs auf einer „hit/no hit-Basis“. Langfristig möchten die ExpertInnen jedoch auch das Interpol-Generalsekretariat, dessen Datenbank eine der wichtigsten Ressourcen für DNA-Profile ist, in die Zusammenarbeit einbinden. Sie schlagen dafür die Einrichtung einer „kombinierten Suchmaschine“ vor, die die DNA-Datenbanken der EU-Staaten, Interpols und von Drittstaaten verbinden soll.
Diskussionen nach Vorlage des Berichts ergaben, dass einige EU-Staaten bisher noch keine DNA-Datenbanken aufgebaut hatten. Sie wurden aufgefordert, dies schnellstens nachzuholen. Erhebliche Unterschiede zwischen den Mitgliedstaaten existieren auch bei den rechtlichen Regelungen zur Erhebung und Aufbewahrung von DNA-Daten: Die britische Polizei erhebt DNA-Profile von allen Festgenommenen und bewahrt sie für immer auf. Dabei spielt es keine Rolle, ob das Verfahren eingestellt oder die Person freigesprochen wird. Die Folge ist, dass bereist sechs Prozent der britischen Bevölkerung in dieser Datenbank erfasst ist. Die meisten anderen Staaten haben die Erfassung auf Verdächtige und Verurteilte „schwerer“ oder „erheblicher“ Straftaten beschränkt und rund ein Prozent ihrer EinwohnerInnen gespeichert.
Bei den Automatisierten Fingerabdruck-Datenbanken (AFIS) kommt die Arbeitsgruppe zu denselben Ergebnissen. Sie empfiehlt als ersten Schritt den Direktzugriff nach dem Prümer Modell und langfristig eine kombinierte Suchmaschine unter Einbeziehung von Interpol. Darüber hinaus sollen die Polizeibehörden Zugriff zu Eurodac und zu künftigen biometrischen Datensystemen, d.h. auch zu dem im Aufbau befindlichen Visa-Informationssystem der EU, erhalten.
Den direkten polizeilichen Zugriff auf die nationalen Register empfiehlt die Gruppe auch in Bezug auf Fahrzeugdaten. Darüber hinaus ist ein EU-Datensystem für Fahrzeuge und Führerscheine (EUCARIS, European Car and Driving Licence Information System) im Aufbau.
Telekommunikationsdaten, so meint die Arbeitsgruppe, sollen die Polizeien jeweils „direkt von den relevanten Datenbanken der Anbieterfirmen in den jeweiligen Mitgliedstaaten“ abrufen können. Erstaunlicherweise findet sich in dem Papier kein Hinweis auf die Verhandlungen über die EU-Richtlinie zur Vorratsspeicherung von Verbindungsdaten, die dann im Dezember 2005 verabschiedet wurde. Sie zwingt die Telekom-Firmen zwar zur Aufbewahrung dieser Daten, ermöglicht den Strafverfolgungsbehörden aber nur einen (indirekten) Zugang auf Ersuchen. Der automatische Abruf stand – zumindest bisher – nicht zur Debatte.
Nachdem sie durchgängig Online-Abfragen befürwortet hat, ist es nicht erstaunlich, dass die Arbeitsgruppe in ihren Schlussbemerkungen die Praxis der richterlichen Genehmigung für „zuweilen überaus langsam und schwerfällig“ hält und in dieser Hinsicht die „Notwendigkeit zur Überprüfung der Verfahren“ sieht.
Nullgröße Datenschutz
Im Oktober 2005 legte die Kommission ihren Vorschlag eines Rahmenbeschlusses vor.[11] Danach sollen die „verfügungsberechtigten“ Behörden jedes EU-Staates den „gleichwertigen zuständigen Behörden“ der anderen Mitgliedstaaten sowie Europol jeweils den Online-Zugang entweder zu den entsprechenden Datenbanken selbst oder, vor allem wenn es sich um nicht digitalisierte Informationen handelt, zu Indexdateien eröffnen. Um diese Informationen zu erhalten, müsste nicht mehr ein „(Rechtshilfe-)Ersuchen“, sondern nur noch eine „Informationsanfrage“ gestellt werden, der sich die „verfügungsberechtigte Behörde“ nur in wenigen Ausnahmen entziehen kann. Bedarf es für die Weitergabe einer richterlichen Anordnung, so müsste diese nicht von der Behörde des anfragenden Staates, sondern von der „verfügungsberechtigten“ inländischen Behörde eingeholt werden.
Die Kommission hat damit eine generelle Regelung vorgelegt, die vorerst aber nur auf die im Anhang genannten sechs Datenkategorien – jene, die auch Gegenstand des FOP-Berichts waren – anwendbar sein soll. Bis Mitte 2007 sollten die Mitgliedstaaten die notwendigen Angaben vorlegen. Der Rat zieht stattdessen eine „graduelle“ Lösung für jede der einzelnen Datenkategorien vor und hat deshalb die weitere Beratung des Vorschlags zunächst zurückgestellt. Grundsätzliche Einigung hat er dagegen über einen schwedischen Vorschlag erreicht, der zwar nicht den digitalisierten Austausch regelt, aber sämtliche im Rahmenbeschluss über den EU-Haftbefehl enthaltene 32 Deliktgruppen betrifft und der die Mitgliedstaaten dazu zwingt, Informationsersuchen innerhalb von knappen Fristen – im Eilfall acht Stunden – zu beantworten.[12]
Der gegenseitige Online-Zugriff auf Polizeidaten ist damit keineswegs erledigt. Ende März forderten die Innenminister von Frankreich, Italien, Spanien, Britannien, Deutschland und Polen (G6) eine Beschleunigung der Verhandlungen und eine Konzentration auf DNA-, Fingerabdruck- und Fahrzeugdaten.[13] Obwohl nur drei der G6-Staaten den Vertrag von Prüm unterzeichnet haben, optierten sie für die baldige Anwendung dieses „zukunftsträchtigen Modells“ in der EU, das in der Tat in einigen Arbeitsgruppen des Rates schon so behandelt wird, als wäre es offizieller Bestandteil des rechtlichen Besitzstandes, des Aquis, der Dritten Säule. In ihren Schlussfolgerungen beharren die G6-Minister ferner darauf, „dass die zügige Umsetzung des Grundsatzes der Verfügbarkeit nicht von der vorherigen Verabschiedung eines Rahmenbeschlusses zum Datenschutz in der Dritten Säule abhängen darf.“
Damit sind auch die Prioritäten für die im Haager Programm enthaltenen Aufgaben klar. Hinter dem freien Markt für Polizeidaten muss selbst der zahnlose Vorschlag eines Rahmenbeschlusses über den Datenschutz zurückstehen, den die Kommission bereits im Oktober 2005 vorgelegt hatte.[14] Dieser sieht zwar individuelle Rechte auf Information und Auskunft über die gespeicherten und übermittelten Daten, aber auch weitgehende Verweigerungsmöglichkeiten vor (laufende Ermittlungen, Gründe der öffentlichen Sicherheit und Ordnung etc.). Da es sich um einen Rahmenbeschluss handelt, bleibt die konkrete Ausformulierung dieser Rechte zudem den jeweiligen Mitgliedstaaten überlassen.
Wenn Polizeibehörden sich online an Daten anderer Mitgliedstaaten bedienen können (oder die Übermittlung von Daten innerhalb kürzester Frist und ohne wirkliche Weigerungsmöglichkeit zur Pflicht wird, wie im schwedischen Vorschlag), werden externe Kontrollinstanzen über den Datenaustausch hinweggespült. Der Grundsatz der Verfügbarkeit macht das datenschützerische Alptraumszenario möglich, nämlich dass Daten über eine Person im Staat A zu einem bestimmten Zweck erhoben, dann zu einem anderen Zweck an die Polizei des Staates B übermittelt und dort weiter bearbeitet und ergänzt werden, um schließlich bei der nächsten Gelegenheit an den Staat C zu gelangen. Dass ein Individuum diesen Weg seiner eigenen Daten nachvollziehen könnte, ist kaum vorstellbar.
Zunächst als Instrument der Terrorismusbekämpfung verkauft und dann hinter verschlossenen Türen abgeschotteter Gremien politisch auf den Weg gebracht, demonstriert das Prinzip der Verfügbarkeit erneut den undemokratischen Charakter des politischen Prozesses in der EU. Es ist ein Beispiel dafür, wie die EU-Regierungen den „Krieg gegen den Terror“ dazu nutzen, den heranwachsenden europäischen Staat mit weitreichenden Überwachungs- und Kontrollbefugnissen auszustatten.