Mobile Daten – begrenzte Kontrolle – Auf dem Weg zum europäischen Informationsverbund

von Eric Töpfer

Mit dem Auslaufen des „Haager Programms“ geht die Entwicklung des grenzüberschreitenden Informationsaustausches in eine neue Runde. Hatte die Europäische Union mit dem „Grundsatz der Verfügbarkeit“ bereits 2004 einen Paradigmenwechsel eingeleitet und fortan die Vernetzung nationaler Datenbanken vorangetrieben, ist das neue Ziel die „Konvergenz“ der Plattformen, um eine Zusammenarbeit in Echtzeit zu ermöglichen. Der Datenschutz bleibt dabei auf der Strecke.

Im April 2008 ging mit dem sTESTA-Netzwerk eine gemeinsame Kommunikationsinfrastruktur für den europaweiten Austausch von „sensiblen“ Daten in Betrieb. Das für 210 Millionen Euro von einem Konsortium aus der France-Telecom-Tochter Orange Business Services und Hewlett Packard aufgespannte sTESTA (Secured Trans-European Services for Telematics between Administrations) löste verschiedene, parallel existierende Netze ab, die bis dato nationale Verwaltungsintranets miteinander verbanden. Auf Beschluss der Europäischen Kommission, des Europäischen Polizeiamtes Europol und der Europäischen Eisenbahnagentur eingerichtet, soll es als Breitband-Backbone dem gesicherten Datenaustausch auch im Rahmen diverser europäischer Projekte und Agenturen der Polizei- und Justizzusammenarbeit sowie der Migrationskontrolle dienen, so z.B. dem Schengen-Informationssystem der zweiten Generation (SIS II), dem Datenaustausch von Fingerabdrücken der erkennungsdienstlich behandelten Asylsuchenden im Rahmen von EURODAC, dem Visa-Informationssystem (VIS), der Kommunikation des Europäischen Polizeiamtes Europol mit den Mitgliedstaaten, dem Austausch von Daten über LKW-Fahrtenschreiber im Rahmen von TACHONET, dem Kommunikations- und Informationssystem für Katastrophenfälle CECIS, den Financial Intelligence Units der nationalen Polizeibehörden zur Aufdeckung von Geldwäsche, dem europäischen Bildspeicherungssystem FADO zum Austausch von Informationen über echte und falsche Dokumente oder dem europäischen KFZ- und Führerschein-Informationssystem EUCARIS.[1]

Auch wenn der internationale (kriminal-)polizeiliche Austausch von Informationen nichts Neues ist, zeigen die Zahl der Informationssysteme und die physikalische Zusammenlegung ihrer Datenübermittlung auf sTESTA an, dass die grenzüberschreitende informationelle Zusammenarbeit im europäischen „Raum der Freiheit, der Sicherheit und des Rechts“ mittlerweile eine neue Qualität erreicht hat. Zu den geschäftigsten Projekten auf dieser Großbaustelle gehören derzeit der Aufbau des SIS II und die Einrichtung des VIS sowie die Vernetzung nationaler polizeilicher Datenbanken getreu dem Motto vom „Grundsatz der Verfügbarkeit“.[2]

„Digitale Grenzen“ aus einem Guss: SIS II und VIS

Für 40 Millionen Euro erteilte die Europäische Kommission am 26. Oktober 2004 einem multinationalen Konsortium unter Führung von Steria-France und Hewlett-Packard-Belgien den Zuschlag für die Entwicklung der zentralen Komponenten des SIS II und des VIS auf einer gemeinsamen technischen Plattform.[3] Das SIS war in die Jahre gekommen. Als „Ausgleichsmaßnahme“ für den Wegfall der Kontrollen an den Binnengrenzen bereits am 26. März 1995 in Betrieb gegangen, war das Fahndungssystem ursprünglich nur für den Anschluss von acht Mitgliedstaaten angelegt. Obwohl seine Kapazitäten im Laufe der Zeit sukzessive auf 18 Anschlüsse erweitert worden waren, erklärte der Schengen-Exekutivausschuss angesichts der absehbaren Engpässe bereits im Dezember 1996 die Weiterentwicklung des SIS für notwendig.[4] Spätestens mit der Überführung des Schengen-Besitzstandes in den Rahmen der EU im Jahr 1999 war klar, dass angesichts der bevorstehenden Erweiterungsrunde dringender Handlungsbedarf bestand, wollte man den Neumitgliedern eine wesentliche Voraussetzung für die Anwendung der „Ausgleichsmaßnahmen“ als Bedingung für den Wegfall der Grenzkontrollen garantieren. Am 6. Dezember 2001 wurden die Rechtsgrundlagen für den Aufbau des SIS II innerhalb der Ersten und Dritten Säule der EU verabschiedet. Die Verantwortung für Finanzierung und Entwicklung wurde der Europäischen Kommission übertragen. Bereits damals war klar, dass es nicht nur um den Ausbau der Kapazität gehen würde, sondern auch um die Ergänzung „neuer Leistungsmerkmale“.[5] Nach diversen Studien, intensiven Diskussionen und verschiedenen Vorschlägen der Kommission erließen des EU-Parlament und der Rat am 20. Dezember 2006 die Verordnungen über die Einrichtung, den Betrieb und die Nutzung des SIS II in der Ersten Säule,[6] also insbesondere zum Zweck der Migrationskontrolle. Am 12. Juni 2007 folgte der Ratsbeschluss zur Einrichtung des SIS II für die polizeiliche und justizielle Zusammenarbeit.[7]

In der Summe ergeben sich als Neuerungen gegenüber dem alten System eine Ausdifferenzierung und Erweiterung der Kategorien von Personen und Gegenständen, die zur Fahndung ausgeschrieben werden können, sowie eine Ausweitung der Kategorien gespeicherter Daten insbesondere um biometrische Informationen in Form von Lichtbildern und Fingerabdrücken. Erweitert wurde der Kreis zugriffsberechtigter Behörden um Europol, Eurojust, die nationalen Staatsanwaltschaften, die Ausländer- und Asylbehörden sowie, aufgrund einer eigenen Verordnung, die Kraftfahrzeugzulassungsstellen.[8] Verlängert wurde die Speicherfrist für einige Daten auf bis zu zehn Jahre. Neu ist auch die Möglichkeit, Personen- und Sachdaten miteinander zu verknüpfen. Vorerst verzichtet wurde, obwohl längere Zeit im Gespräch, auf die Möglichkeiten, DNA-Profile zu speichern oder „gefährliche Störer“ zur Fahndung auszuschreiben. Auch ist Europol die Übertragung von Daten aus dem SIS II in seine eigenen Computersysteme untersagt. Allerdings sind alle Optionen offen, hieß es doch bereits 2003 in einer Studie der Kommission: „Im Idealfall sollte das System nach seiner Einrichtung so flexibel sein, dass sowohl neue Funktionen als auch neue Daten und Regeln ohne große technische Veränderungen integriert werden können.“[9]

Die Realisierung des Großprojektes gestaltet sich aus politischen und technischen Gründen schwierig. Bereits mehrfach wurde der Termin der Inbetriebnahme verschoben. War ursprünglich 2006/2007 avisiert, heißt es nun, dass das System im September 2009 ans Netz gehen kann. Um die zehn neuen Mitgliedstaaten nicht noch länger zu vertrösten, beschloss der Rat fast zeitgleich mit der Entscheidung zur Einrichtung des SIS II im Dezember 2006 die Aufrüstung des alten Systems zum „SIS one4all“ als Zwischenlösung. Das Provisorium ging im September 2007 ans Netz, so dass nun auch die Neumitglieder am Schengener Fahndungsverbund teilnehmen konnten und damit eine wesentliche Bedingung für den Wegfall der Grenzkontrollen im erweiterten Schengen-Raum am 21. Dezember 2007 gegeben war.

Die Einrichtung des SIS II geht mittlerweile in die dritte und letzte Phase. Der jüngste Fortschrittsbericht der Kommission meldet, dass die Entwicklungs- und Testphase für das zentrale System und dessen Verbindungen zu den nationalen Systemen voraussichtlich Ende 2008 abgeschlossen werde.[10] Die Vorbereitungen für die Generalprobe und die Migration der Daten vom alten aufs neue System, so heißt es, liefen bereits. Angesichts gewisser Risiken könnte es zwar durchaus sein, dass sich der auf September 2009 datierte Start des SIS II nicht halten lässt, aber spätestens 2010 dürften dann 25 EU-Mitgliedstaaten (Bulgarien und Rumänien sitzen noch auf der Wartebank), Norwegen, Island, die Schweiz sowie Europol und Eurojust Zugriff auf das modernisierte Fahndungssystem haben.

Daran, dass das SIS, in dem mit überwältigender Mehrheit Personen zur Einreiseverweigerung und Identitätsdokumente zur Fahndung ausgeschrieben sind, primär ein Instrument der Kontrolle und Abschottung gegenüber illegalisierten MigrantInnen ist und weniger eines der klassischen Fahndung nach flüchtigen StraftäterInnen, wird sich allerdings auch mit seiner zweiten Version nichts ändern. Vielmehr dürfte der Kontrolldruck gegen diese Bevölkerungsgruppe durch die Möglichkeiten der biometrischen Identifizierung und die Einbeziehung neuer Agenturen noch steigen.

Die Planungen für das VIS gehen auf den Gipfel der europäischen Staats- und Regierungschefs am 21. und 22. Juni 2002 in Sevilla zurück, als diese unter der Überschrift „Maßnahmen zur Bekämpfung der illegalen Einwanderung“ die „möglichst baldige Einrichtung eines gemeinsamen Systems für die Visa-Identifizierung“ forderten.[11] Nicht mehr dem Pass der Herkunftsländer, so die Botschaft, soll bei der Identifizierung von Reisenden aus Drittstaaten vertraut werden, sondern primär dem von Konsulaten der EU-Staaten ausgestellten Visum. Mit seinem Beschluss vom 8. Juni 2004 besiegelte der Rat schließlich den Plan zur Einrichtung des VIS, für dessen Umsetzung der Kommission die Verantwortung übertragen wurde.[12] Das Projekt ist ambitioniert: Die Kommission schätzt, dass etwa 12.000 Kontrollstellen an den Außengrenzen der Europäischen Union sowie weltweit 3.500 Konsulate von 27 Mitgliedstaaten an das System angeschlossen werden müssen, und rechnet mit 20 Millionen Visumanträgen jährlich.[13]

Angesichts dieser Dimensionen ist „Synergie“ das Zauberwort. Um Investitions- und Betriebskosten zu sparen, wurde bereits 2003 die technische Integration von VIS und SIS II auf zentraler Ebene vorgeschlagen. Darüber hinaus, so die Kommission, würde die Nutzung einer beide Systeme integrierenden Infrastruktur auch in den Mitgliedstaaten Kosten sparen und die tägliche Arbeit der EndnutzerInnen vereinfachen und vereinheitlichen. Nicht minder entscheidend ist aber ein funktionales Argument: Obwohl die Einträge beider Datenbanken getrennt zu speichern sind, sollen VIS-NutzerInnen in Auslandsvertretungen der Mitgliedstaaten bei der Visumerteilung das SIS II abfragen können, um zu ermitteln, ob AntragstellerInnen zur Einreiseverweigerung ausgeschrieben sind, während SIS-NutzerInnen an Grenzkontrollstellen sowie in Ausländer- oder Polizeibehörden die Echtheit eines Visums oder die Identität Reisender mittels Zugriff auf das VIS überprüfen können sollen.[14] Konsequenterweise werden VIS und SIS II daher nicht nur vom gleichen Konsortium entwickelt, sondern haben auch eine identische Systemarchitektur mit jeweils einem zentralen System in Straßburg und einem Ausfallsystem bei Salzburg, nutzen mit sTESTA das gleiche Netzwerk und werden – ebenso wie bereits EURODAC – von dem am 16. Dezember 2002 gegründeten Referat „EU-Informationssysteme“ der Generaldirektion für Justiz, Freiheit und Sicherheit koordiniert.[15]

Nach langwierigen Diskussionen wurde im Juni 2007 schließlich das Legislativpaket zum VIS beschlossen, bestehend aus der VIS-Verordnung und dem VIS-Ratsbeschluss.[16] Damit stehen die wesentlichen Details der Einrichtung des Systems fest. Gespeichert werden dürfen alphanumerische Daten zu den Personalien der Visum-AntragstellerInnen, gegebenenfalls zu einladenden Personen oder Unternehmen, zum Reisedokument und dem Visum sowie Angaben über frühere Anträge. Daneben ist die Speicherung von biometrischen Daten in Form von Lichtbildern und den Abdrücken aller zehn Finger vorgesehen. Dass Konsortialpartner Steria bereits die Geräte für die „Fingerprint Image Transmission“ zwischen den nationalen Behörden und der EURODAC-Datenbank geliefert hatte, lässt ahnen, dass die Interoperabilität zwischen SIS II, VIS und EURODAC im Bereich automatischer Fingerabdruck-Identifizierung gesichert ist.[17] Festgeschrieben ist nun auch, dass neben den Konsulaten und anderen für die Visumausstellung und -kontrolle zuständigen Stellen nationale Polizei- und Strafverfolgungsbehörden und Europol zum Zweck der „Verhütung, Aufdeckung und Untersuchung terroristischer und anderer schwerwiegender Straftaten“ Zugriff auf das VIS haben werden.

Ursprünglich sah der Zeitplan für die Einrichtung des Systems vor, dass dieses im März 2007 für einen Verbund von vorerst sechs Staaten mit jeweils mindestens einem Konsulat in Betrieb gehen sollte. Das „Biometric Matching System“ (BMS) sollte erst später implementiert werden. Allerdings intervenierte der Rat im Februar 2005 und forderte, das BMS von Beginn an als integralen Bestandteil des VIS zu nutzen. Aus diesem Grund sowie aufgrund des wider Erwarten zähen Ringens um die Rechtsgrundlagen wurde der Zeitplan im September 2006 angepasst. Vorgesehen ist nun ein schrittweises Roll-out in den Konsulaten, beginnend in Nordafrika. Nachdem bereits im Herbst 2007 die VIS-Hardware in der Straßburger Zentrale und dem Ausfallzentrum bei Salzburg installiert worden war und im Sommer 2008 alle Mitgliedstaaten ans sTESTA-Netzwerk angeschlossen wurden, laufen derzeit die Tests zur Einbindung des BMS und die Auslieferung der System-Komponenten an die Konsulate. Bleibt man im Zeitplan, so hofft der jüngste Fortschrittsbericht der Kommission, ist mit einer Inbetriebnahme des VIS im Mai 2009 zu rechnen.[18] Mit der Speicherung von Informationen über geschätzte 70 Millionen Menschen wird das VIS dann die größte biometrische Datenbank der Welt sein und im Verbund mit SIS II und EURODAC eine unsichtbare „digitale Grenze“ durch Europa ziehen, die der handfesten Abschottung an den Außengrenzen im Hinterland den Rücken stärkt.[19]

„Grundsatz der Verfügbarkeit“ und ein Umweg über Prüm

Das zweite Großprojekt der digitalen Polizei- und Justizzusammenarbeit ist die Vernetzung der nationalen Polizeidatenbanken. Immer wieder hatte man sich auf europäischer Ebene beklagt über das mangelnde Interesse und die geringe Nutzung insbesondere der zentralen Computersysteme Europols und des Zollinformationssystems der Betrugsbekämpfungsagentur OLAF durch die Polizei- bzw. Zollbehörden der Mitgliedstaaten. Angesichts dessen forderte der Europäische Rat im Haager Programm vom November 2004 ein „innovatives Konzept für den grenzüberschreitenden Austausch von strafverfolgungsrelevanten Informationen“ und erklärte den „Grundsatz der Verfügbarkeit“ zum neuen Leitmotiv. Im Klartext heißt das: „Der bloße Umstand, dass Informationen Grenzen überschreiten, sollte nicht länger von Bedeutung sein“. Unionsweit wollte man mit Wirkung zum 1. Januar 2008 den Polizeibehörden, inklusive Europol, einen gleichberechtigten und möglichst unmittelbaren Zugang zu Informationen einräumen – gegebenenfalls durch den gegenseitigen (Online-)Zugriff auf nationale und die bestehenden zentralen europäischen Datenbanken. Neue zentralisierte Systeme sollten nur noch geschaffen werden, wenn ihr „Zusatznutzen“ aufgezeigt werden kann. Damit stellt der Grundsatz der Verfügbarkeit einen eindeutigen Paradigmenwechsel dar.[20]

Allerdings hatten zu diesem Zeitpunkt im Hintergrund bereits Staaten eines innenpolitischen „Kerneuropa“ die Initiative übernommen. Schon im November 2003 hatte der deutsche Innenminister Otto Schily Österreich zu Verhandlungen über einen Vertrag zur Vereinfachung der grenzüberschreitenden Zusammenarbeit eingeladen, denen sich bald die drei Benelux-Staaten und, in letzter Minute, Spanien und Frankreich anschlossen.[21] Am 27. Mai 2005 unterzeichneten RegierungsvertreterInnen dieser sieben Staaten schließlich den Vertrag von Prüm in der gleichnamigen Stadt in der Eifel.[22] Der Vertrag „über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration“ sieht für den Bereich der informationellen Zusammenarbeit nicht nur einen automatisierten grenzüberschreitenden Abgleich und Abfragen forensischer DNA-Datenbanken zur Strafverfolgung vor, sondern darüber hinaus die automatisierte Abfrage nationaler Fingerabdruckdatenbanken und Fahrzeugregister auch zu präventiv-polizeilichen Zwecken und – im Falle der Fahrzeugregister – selbst zur Verfolgung von Ordnungswidrigkeiten. Zudem verpflichten sich die Prüm-Staaten – im Rahmen des geltenden nationalen Rechts – zur Rechtshilfe bei der zwangsweisen Erhebung und Übermittlung von DNA-Profilen, wenn sich Personen, gegen die in einem Vertragsstaat Ermittlungsverfahren laufen, in einem anderen Vertragsstaat aufhalten. Mittlerweile haben die Regierungen von zehn weiteren EU-Staaten den Beitritt ihrer Länder zu dem Vertrag erklärt. In Finnland, Ungarn und Slowenien ist der Ratifizierungsprozess bereits abgeschlossen, in Italien, Portugal, der Slowakei, Schweden, Bulgarien, Rumänien und Griechenland läuft er noch.

Im November 2006 unterzeichneten die Vertragsstaaten das Durchführungsabkommen. Unmittelbar darauf begannen Deutschland und Österreich mit dem automatisierten Abgleich ihrer DNA-Datenbanken. Im Mai 2007 schlossen sich Spanien und Luxemburg an. Slowenien folgte – noch im Teilbetrieb – im April 2008 und die Niederlande schließlich im Juli. Die automatisierte Abfrage der Fingerabdruckdatenbanken ist bis heute einzig zwischen Deutschland und Österreich möglich, wo sie im Juni 2007 begann. Auch die automatisierte Suche in Kraftfahrzeugregistern findet bisher nur in einem Verbund von fünf Prüm-Staaten statt.[23] Beim Datenbank-Abgleich bzw. der Abfrage zur Suche nach DNA-Profilen oder Fingerabdrücken werden nach dem Prinzip „Treffer/Kein Treffer“ Übereinstimmungen in einer Indexdatenbank gesucht, die keine Angaben zur entsprechenden Person enthält. Im Falle eines Treffers kann die vertraglich vorgesehene nationale Kontaktstelle, hierzulande das Bundeskriminalamt, auf Grundlage der Indexnummer um Übermittlung von „vorhandenen personenbezogenen Daten und sonstigen Informationen“ auf dem Wege der Rechtshilfe ersuchen. Einzig bei der Abfrage von Fahrzeugregistern entfällt dieser Weg, da direkt auf Nominaldaten der Fahrzeughalter zugegriffen wird.

Über den Erfolg der neuen Möglichkeiten lässt sich streiten. Während Bundesinnenminister Wolfgang Schäuble die „enorme Zeitersparnis und den erheblichen Effizienzgewinn“ für die grenzüberschreitende Zusammenarbeit betont und Fahndungserfolge bei spektakulären Gewaltverbrechen beworben werden, zeigt eine Zwischenbilanz des deutschen DNA-Datenabgleichs mit Österreich, Spanien und Luxemburg vom 27. Dezember 2007, dass von den damals 2.330 Treffern nicht einmal zwei Prozent (40 Fälle) auf Straftaten gegen das Leben oder die sexuelle Selbstbestimmung entfielen. Zudem handelt es sich nur bei knapp 45 Prozent der Treffer (1.046 Fälle) um eine Übereinstimmung offener Tatortspuren aus Deutschland mit einem Personeneintrag in der DNA-Datenbank der anderen Staaten.[24] Die Mehrzahl der Treffer lieferte somit zwar Hinweise auf Serientaten, gab aber keinen Aufschluss über mögliche Täter. Insofern hat sich an der bisherigen Bilanz der nationalen Datenbanken auch mit ihrer europäischen Vernetzung nichts geändert: Wenn überhaupt, liegt ihr quantitativer kriminalistischer Nutzen im Bereich der Eigentumskriminalität.

Gleichwohl entwickelte sich der Vertrag von Prüm zum Modell für den grenzenlosen polizeilichen Informationsaustausch. Aufgefordert durch das Haager Programm, bis Ende 2005 Konzepte zur Realisierung des Verfügbarkeitsgrundsatzes zu unterbreiten, legte die Europäische Kommission im Oktober desselben Jahres ihren Vorschlag für die Umsetzung vor.[25] Dieser ähnelt in vieler Hinsicht dem Vertrag von Prüm, sieht allerdings nicht mehr den Weg über nationale Kontaktstellen vor, sondern einen direkten Draht „gleichwertiger zuständiger Behörden“. Zudem erweitert er die Zahl der Datenkategorien von drei auf sechs: Neben DNA-Profilen, Fingerabdrücken und Fahrzeugregisterdaten nennt er auch ballistische Erkenntnisse, Kommunikationsdaten sowie Mindestauskünfte zur Identifizierung von Personen aus Personenstandsregistern. Überholt wurde der Vorschlag der Kommission allerdings von einer Initiative der Prüm-Unterzeichnerstaaten, deren Kreis bis 2007 auf 15 Länder angewachsen war. Auf ihren Druck hin erklärte der Rat der Innen- und JustizministerInnen im Juni 2007 seine Bereitschaft, wesentliche Teile des Vertrages von Prüm in EU-Recht zu überführen. Im Juli 2008 schließlich verabschiedeten die MinisterInnen den entsprechenden Ratsbeschluss.[26] Nun haben die Mitgliedstaaten bis Mitte 2009 Zeit, die Regelungen umzusetzen. Für die technische Realisierung der automatisierten Datenbankabfragen und -abgleiche räumt der Beschluss eine Frist bis 2011 ein.

Auch in anderen Bereichen der polizeilichen und justiziellen Zusammenarbeit setzt sich der Grundsatz der Verfügbarkeit derweil durch: Nachdem der MinisterInnenrat im November 2005 die Vernetzung und den automatisierten Datenaustausch zwischen den europäischen Strafregistern beschlossen hatte, legte die Kommission im Mai 2008 ihren Vorschlag für ein „European Criminal Records Information System“ (ECRIS) vor.[27] Ein Rahmenbeschluss hierzu wurde auf dem Ratstreffen der Innen- und JustizmininsterInnen am 24. Oktober 2008 verabschiedet. Ein Pilotprojekt zur Umsetzung läuft derzeit zwischen 14 Ländern.[28] Für Antworten auf nicht-automatisierte Anfragen der Polizeibehörde eines EU-Mitgliedstaates bei KollegInnen in einem anderen Mitgliedstaat gelten mittlerweile die Regeln der „Schwedischen Initiative“, die im Dezember 2006 in einen Rahmenbeschluss des Rates zur Vereinfachung des Informationsaustausches gegossen wurden und der derweil von den Mitgliedstaaten in nationales Recht umgesetzt wird.[29] Demnach sollen Anfragen künftig in dringenden Fällen binnen acht Stunden beantwortet werden, spätestens aber nach 14 Tagen.

Konvergente Plattformen für die Kooperation in Echtzeit

Behindert wird die Realisierung der grenzüberschreitenden Verfügbarmachung polizeilicher Informationen noch durch Probleme der sogenannten Interoperabilität. Gemeint ist damit nicht nur die Kompatibilität von technischen Komponenten und die Standardisierung von Datenformaten, sondern auch die Übereinstimmung der Semantik, also der Bedeutung, von Daten sowie Fragen ihrer gegenseitigen rechtlichen Anerkennung.

Zu den Kernforderungen der „Future Group“ für das kommende Fünfjahresprogramm der europäischen Innenpolitik gehört daher die „Umsetzung einer Strategie der Europäischen Union des Informationsmanagements (EU Information Management Strategy, IMS), die einen kohärenten Ansatz zur Entwicklung von Informationstechnologie und zum Informationsaustausch fördert“ (Rz. 44).[30] Die wichtigsten Bausteine einer solchen Strategie sind aus Sicht der Gruppe die „Verbesserung der Datenübertragung“ von den Mitgliedstaaten an Europol durch die „Einrichtung automatischer Datenübermittlungsinstrumente“ (Rz. 7 und 46), die Zusammenführung der technischen Verwaltung europäischer Datenbanken wie SIS, VIS und Eurodac „innerhalb einer einzigen Struktur“ (Rz. 9) und die Erstellung einer „‚top 10‘-Liste mit den zehn wichtigsten Datenkategorien“ (Rz. 45). „Langfristig“, so heißt es hierzu, „kann nur ein gemeinsamer europäischer Standard zur Datenspeicherung und ‑übertragung, darunter Kompatibilitätsleitlinien und harmonisierte technische Datenformate, die Bedingungen für einen effizienteren Informationsaustausch verbessern“ (Rz. 36). Die Ziele sind die „automatisierte Datenanalyse“ und die „Zusammenarbeit in Echtzeit“ (Rz. 134). Gefordert wird ein „Plattformansatz“. „Dieser“, so ist zu lesen, gehe „über die Interoperabilität hinaus“ und sei „dienstorientiert, so dass Ergebnisse verschiedener Teile des Systems ausgetauscht (innerhalb von und zwischen Organisationen) und Elemente des Systems einfach und schnell wieder verwendet werden können“ (Rz. 136). Die Mitgliedstaaten müssten daher den „Aufbau konvergenter Plattformen vorantreiben – sie müssen konvergente Netzwerke einrichten (oder nötigenfalls Lösungen, die dafür sorgen, dass ihre Netzwerke miteinander ‚kommunizieren‘ können) und sicherstellen, dass alle Datenströme digital übertragen und zusammengeführt werden können“ (Rz. 137).

Auch wenn die Forderungen der „Future Group“ mitunter wie schrille Zukunftsmusik klingen, schreiben sie letztlich nur Trends fort, die sich seit längerem abzeichnen. Bereits heute nutzen mindestens fünf Staaten „Automatic Data Loader“, um Informationen aus ihren nationalen Polizeisystemen an Europol weiterzuspielen.[31] Die Diskussionen um einen gemeinsamen Exekutivausschuss für SIS II, VIS und EURODAC sind fast so alt wie die Planungen der Systeme selbst – zudem wurde das Projektmanagement für diese bereits durch das 2002 gegründete Referat „Europäische Informationssysteme“ der Generaldirektion für Justiz, Freiheit und Sicherheit der Kommission koordiniert.[32] Die Wunschliste für weitere Datenkategorien, die grenzüberschreitend verfügbar gemacht werden sollten, knüpft an eine Liste von 49 Arten als relevant erachteter Informationen an, die bereits 2005 von den „Freunden der Präsidentschaft“, einer Gruppe von ExpertInnen aus der Kommission, dem Generalsekretariat des Rates und den Mitgliedstaaten, zusammengestellt wurde.[33] Auch die Bemühungen um die Konvergenz der Plattformen sind bereits in vollem Gange; stand doch auf der Sommertagung der „Chief Information Officers of Police Forces in Europe“ bereits ein dreistufiges „IT Interoperability Programme“ auf der Tagesordnung.[34] Worauf kann angesichts dieser unüberschaubaren Geschäftigkeit setzen, wer allen paternalistischen Sicherheitsversprechen der europäisch entfesselten Exekutive zum Trotz deren Kontrolle für essenziell hält?

Datenschutz zwischen allen Säulen

Um den Datenschutz war es im „Raum der Freiheit, der Sicherheit und des Rechts“ noch nie sonderlich gut bestellt. Als kleinster gemeinsamer Nenner für das Schutzniveau in der Dritten Säule galt lange die Europaratskonvention über die automatisierte Datenverarbeitung von 1981, ein Zusatzprotokoll von 2001 sowie ein unverbindliches Dokument für den Polizeibereich von 1987, das im Kern lediglich die Existenz einer nationalen Rechtsgrundlage empfiehlt, wenn Daten für „die Prävention und Verfolgung von Straftaten sowie zur Aufrechterhaltung der öffentlichen Ordnung“ erhoben und verarbeitet werden.[35] War diese gegeben, beschränkte sich der Rechtsrahmen im Wesentlichen auf Forderungen nach Datenintegrität, -aktualität und -sicherheit. Zwar hat der Europäische Datenschutzbeauftragte einen Fuß in der Tür, da das sTESTA-Netzwerk in seine Zuständigkeit fällt. Auch hat er die Aufsicht über das VIS und EURODAC sowie die „ersten Säulen“ des SIS II und des Zollinformationssystems der Betrugsbekämpfungsbehörde OLAF.[36] Intervenieren kann er allerdings nur bei absehbarem oder tatsächlichem Missbrauch der Systeme und der in ihnen gespeicherten Daten – gerade im Bereich der Migrationskontrolle wird diese Hilfe für Betroffene allerdings in den meisten Fällen zu spät kommen. Hilflos zusehen muss er zudem dem fortschreitenden „Function Creep“, der die Zweckbestimmungen für die Datenbanken ständig ausweitet und sie dem Zugriff eines immer größeren Kreises von NutzerInnen öffnet.

Auch die „Gemeinsamen Kontrollinstanzen“ (GKI) für Schengen, Europol und die Zollkooperation mit ihrem gemeinsamen Sekretariat in Brüssel erweisen sich trotz ihres ambitionierten Namens und durchaus umfassender Auskunfts- und Inspektionsrechte als schwacher Schutzwall für die Rechte der BürgerInnen – geschweige denn für jene der Nicht-BürgerInnen. Die Ergebnisse ihrer Überprüfungen haben lediglich Empfehlungscharakter. Das letzte Wort haben die VertreterInnen der Exekutiven. Betroffenen BürgerInnen, so sie denn überhaupt von ihren Auskunftsrechten Gebrauch machen und Kenntnis von ihrer Erfassung in einem der diversen Informationssysteme erlangen, bleibt im Ernstfall nur der langwierige und kostenintensive Rechtsweg.

Angesichts der offenkundigen Defizite wurde bereits seit längerem – vergleichbar der Datenschutzrichtlinie für die Erste Säule der EU – ein verbindlicher Rechtsrahmen für den Datenschutz in der polizeilichen und justiziellen Zusammenarbeit gefordert. Mit ihrem Vorschlag für einen Rahmenbeschluss des Rates legte die Europäische Kommission im Oktober 2005 ein entsprechendes Papier vor.[37] Zwar wurde diesem bescheinigt, in einigen Bereichen Fortschritte zu bringen, allerdings ziehen sich großzügige Ausnahmeklauseln von den schützenden Grundsätzen wie ein roter Faden durch das Dokument. Seine Umsetzung, so lautete das Urteil kritischer Juristen, drohe „die Abkehr von wesentlichen Grundsätzen des Datenschutzrechtes zu besiegeln“.[38]

Wenig verblüffend also, dass die überraschende Verabschiedung des Rahmenbeschlusses am 27. November 2008 dem Rat der Innenminister nicht einmal eine Pressemeldung wert war.[39] Der Vorschlag der Kommission war in den vorausgegangenen dreijährigen Verhandlungen nicht etwa, wie von Datenschützern und Europäischem Parlament gefordert, nachgebessert, sondern vielmehr zusätzlich ausgehöhlt worden. Begraben hat man beispielsweise die Idee eines, wenngleich zahnlosen, beratenden Gremiums der Datenschutzbeauftragten. Zudem beschränkt sich der Anwendungsbereich des Rahmenbeschlusses nunmehr auf den Datenaustausch zwischen den Behörden der EU-Mitgliedstaaten, lässt aber die Datenverarbeitung auf nationaler Ebene unberührt. Vorrangig geht es dem Rahmenbeschluss, so ist in der Vorrede zu lesen, darum, zur Unterfütterung des Grundsatzes der Verfügbarkeit das „gegenseitige Vertrauen zwischen den zuständigen Behörden“ zu fördern und sicherzustellen.[40] Gegenüber diesem Ziel ist der Schutz von Grundrechten zweitrangig. Einer grenzenlosen Zirkulation personenbezogener Daten und ihrer Anreicherung und Weiterverarbeitung durch die Polizeien der EU jenseits einer effektiven Kontrolle durch die Betroffenen wurde somit einmal mehr der Weg geebnet.

Eric Töpfer ist Politikwissenschaftler am Zentrum Technik und Gesellschaft der TU Berlin und Mitglied der Redaktion von Bürgerrechte & Polizei/CILIP.
[1] siehe Pressemitteilungen der Europäischen Kommission IP/06/1301 v. 3.10.2006 und http://europa.eu.int/idabc/en/document/2097/556
[2] für einen Überblick über die zentralisierten Informationssysteme SIS, ZIS, TECS und VIS siehe Busch, H.: Der Traum von der restlosen Erfassung. Stand und Planung der EU-Informationssysteme, in: Bürgerrechte & Polizei/CILIP 84 (2/2006), S. 29-43 sowie zur aktuellen Entwicklung von Europols Computersystemen den Beitrag von Busch in diesem Heft, S. 33-41
[3] Pressemitteilung der Europäischen Kommission IP/04/1300 v. 26.10.2004
[4] siehe Amtsblatt der Europäischen Gemeinschaften (ABl. EG) L 239 v. 22.9.2000, S. 440
[5] ABl. EG L 328 v. 13.12.2001 und ABl. EG L 328 v. 13.12.2001, S. 1 bzw. 4
[6] Amtsblatt der Europäischen Union (ABl. EU) L 381 v. 28.12.2006, S. 1-23
[7] ABl. EU L 205 v. 7.8.2007, S. 63 ff.
[8] ABl. EU L 381 v. 28.12.2006, S. 1 ff.
[9] KOM(2003) 771 endg. v. 11.12.2003, S. 6
[10] Ratsdok. 15930/1/08 v. 25.11.2008
[11] Ratsdok. 13463/02 v. 24.10.2002, S. 8
[12] ABl. EU L 213 v. 15.6.2004, S. 5 ff.
[13] KOM(2003) 771 v. 11.12.2003, S. 28
[14] ebd., S. 30
[15] ebd., S. 12
[16] Pressemitteilung der Europäischen Kommission IP/07/802 v. 12.6.2007
[17] Aus, J.: Der Krieg im Innern. Biometrische Kontrollen nach dem 11. September, in: Bürgerrechte & Polizei/CILIP 76 (3/2003), S. 41
[18] KOM(2008) 714 endg. v. 10.11.2008
[19] Broeders, D.: The New Digital Borders of Europe. EU Databases and the Surveillance of Irregular Migrants, in: International Sociology Vol. 22(1), January 2007, pp. 71-92
[20] ABl. EU C 53/1 v. 3.3.2005
[21] Hager, K.: The Prüm Treaty, in: Maximising the Opportunities for Sharing DNA Information across Europe. Seminar Report (UK Home Office), January 2006, p. 24
[22] Der Vertragstext findet sich unter: www.statewatch.org/news/2005/jul/schengenIII-german-full.pdf
[23] Auskunft der Pressestelle des Bundesinnenministeriums v. 2.10.2008
[24] www.dnasporen.nl/docs/literatuur/Prüm-Poster.pdf
[25] KOM(2005) 490 endg. v. 12.10.2005
[26] Beschluss 2008/615/JI des Rates v. 23.6.2008, ABl. EU L 210 v. 6.8.2008, S. 1
[27] Pressemitteilung der Europäischen Kommission IP/08/823 v. 30.5.2008
[28] Ratsdok. 14667/08 (Presse 299) v. 24.10.2008, S. 19
[29] ABl. EU L 386 v. 29.12.2006, S. 89 ff.
[30] Future Group: Freiheit, Sicherheit, Privatheit – Europäische Innenpolitik in einer offenen Welt. Bericht der Informellen Hochrangigen Beratenden Gruppe zur Zukunft der Europäischen Innenpolitik, Juni 2008, siehe www.bmi.bund.de oder Ratsdok. 11657/08 v. 9.7.2008
[31] House of Lords. European Committee: 29th Report of Session 2007-08. Europol. Report with Evidence. HL Paper 183 v. 12.11.2008, p. 31
[32] KOM(2003) 771 v. 11.12.2003, S. 12
[33] Bunyan, T.: The Shape of Things to Come. EU Future Report, London 2008, p. 39, www.statewatch.org/analyses/the-shape-of-things-to-come.pdf
[34] BT-Drs. 16/9987 v. 15.7.2008
[35] Council of Europe Recommendation No. R (87) 15 of the Committee of Ministers to Member States regulating the use of personal data in the police sector v. 17.9.1987
[36] siehe www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/92
[37] KOM(2005) 475 endg. v. 4.10.2005
[38] Meyer, F.: Der Grundsatz der Verfügbarkeit, in: Neue Zeitschrift für Strafrecht 2008, H. 4, S. 194
[39] www.datenschutz.de/news/detail/?nid=3176
[40] Ratsdok. 9260/08 v. 24.6.2008, S. 3

Bibliographische Angaben: Töpfer, Eric: Mobile Daten – begrenzte Kontrolle. Auf dem Weg zum europäischen Informationsverbund, in: Bürgerrechte & Polizei/CILIP 91 (3/2008), S. 19-32