von Chloé Berthélémy und Jesper Lund
Die Zeiten, in denen die EU-Agentur für die Zusammenarbeit im Bereich der Strafverfolgung nur den Mitgliedstaaten unterstellt war, sind vorbei. Die jüngste Reform des Europol-Mandats bestätigt den Trend, ihr mehr exekutive Befugnisse und Autonomie zu geben.
Ihren Vorschlag für die jüngste Europol-Reform hat die Europäische Kommission im Dezember 2020 zusammen mit einer neuen Agenda zur Terrorismusbekämpfung veröffentlicht.[1] Die Dokumente belegen ein ehrgeiziges Projekt der europäischen operativen Sicherheits-zusammenarbeit. Einst wurde Europol als „unfähig, Schaden anzurichten“,[2] bezeichnet. Jetzt soll die Agentur neue unabhängige Befugnisse erhalten und große Datenmengen sammeln, verarbeiten und mit nationalen Behörden und privaten Parteien teilen dürfen. Ohne Rechenschaftspflicht und angemessene rechtliche Garantien sollen diese quasi-operativen Befugnisse eingeführt werden.
Europol wurde 1995 als zwischenstaatliche Einrichtung durch ein Übereinkommen gegründet, das die Agentur außerhalb des EU-Rechtsrahmens und der Zuständigkeit des Gerichtshofs der Europäischen Union (EuGH) stellte. Sie erbte ihre wichtigsten Eigenschaften von früheren Foren der polizeilichen Zusammenarbeit, wie z. B. von der 1975 gegründeten TREVI-Gruppe (Terrorismus, Radikalismus, Extremismus, internationale Gewalt): eine transnationale Netzwerkstruktur, eine Logik der Geheimhaltung mit Schwerpunkt auf dem Informationsaustausch.
Schon kurz nach ihrer Gründung konnte Europol ihre Kompetenzen rasch ausweiten.[3] Eine Reihe von Änderungen und Protokollen in den frühen 2000er Jahren erweiterte die Liste krimineller Aktivitäten, für die Europol zuständig war, und ermöglichte die Teilnahme an Gemeinsamen Ermittlungsteams. Europol konnte Informationen von den Mitgliedstaaten anfordern und erhielt Zugang zu EU-Datenbanken wie dem Schengener Informationssystem und dem Visa-Informationssystem.[4]
Diese Schritte drängten Europol in eine operativere Rolle und damit auch zu einer ersten Debatte über die potenzielle Zukunft als föderale Strafverfolgungsbehörde nach Vorbild des US-amerikanischen Federal Bureau of Investigation (FBI). Der damalige deutsche Kanzler Gerhard Schröder forderte Anfang der Jahrtausendwende, Europol „mit exekutiven Befugnissen nach dem Vorbild des Bundeskriminalamtes“ zu stärken.[5] Auch sein französischer Kollege Lionel Jospin wünschte sich einen „Kern einer operativen Kriminalpolizei auf europäischem Niveau“. 2003, inmitten eines föderalistischen Impulses in der Geschichte der europäischen Integration, sah die französische Nationalversammlung ebenfalls eine solche Umwandlung vor.[6]
Derartige Befugnisse hat Europol jedoch nie erhalten. Der föderalistische Impetus wurde durch die Ablehnung des Verfassungsvertrags im Jahr 2005 zunichtegemacht; der Vorrang der Exekutivfunktion der nationalen Polizeibehörden konnte deshalb nicht aufgehoben werden.
Parlament wird ausgebootet
Jedoch haben die Mitgliedstaaten stets versucht, Europol möglichst wenig parlamentarischer und gerichtlicher Kontrolle zu unterwerfen.[7] Eilig vor dem Inkrafttreten des Vertrags von Lissabon, der dem Europäischen Parlament eine Rolle als Mitgesetzgeber in der EU-Politik der polizeilichen Zusammenarbeit zuweist, wandelte der Rat das Europol-Übereinkommen 2009 in einen Ratsbeschluss um. Ausgehend von einem rein zwischenstaatlichen Amt wurde Europol durch die undurchsichtige Entscheidungsfindung des Rates als technokratisches Gremium konzipiert, das hinter verschlossenen Türen arbeitet. Dieses Ausbooten des Parlaments verdeutlicht ein weiteres Merkmal der Entwicklung von Europol: ein eklatanter Mangel an Transparenz und Rechenschaftspflicht. Unter den Parlamentarier*innen auf EU- und nationaler Ebene wurden aus diesem Grund schnell Bedenken laut.
Im Zuge der aufeinander folgenden Reformen wurden auch neue Kontrollmechanismen eingeführt. So unterliegt Europol denselben Regeln für den Zugang zu Dokumenten und Transparenz wie andere EU-Organe und -Einrichtungen. Als Europol 2009 den Status einer EU-Agentur erhielt, wurde auch die supranationale Kontrolle verstärkt. Die Agentur unterliegt der gerichtlichen Kontrolle durch den EuGH, das EU-Parlament überwacht den Haushalt. Mit der Verordnung von 2016, der ersten Rechtsvorschrift mit parlamentarischer Mitentscheidungs-befugnis, wurde eine Gemeinsame Parlamentarische Kontrollgruppe aus nationalen und EU-Abgeordneten geschaffen. Der Europäische Datenschutzbeauftragte (EDSB) erhielt Befugnisse zur Untersuchung und Durchsetzung der Datenschutzvorschriften von Europol.
Dennoch bleibt die Kluft zwischen einem angemessenen Kontrollniveau und den wachsenden operativen Befugnissen von Europol bestehen. Die EU-Kommission hat die eingeschränkte parlamentarische Kontrolle – etwa der alltäglichen Arbeit von Europol – stets mit begrenzten Befugnissen und der Autonomie der Agentur begründet. Spätestens angesichts der laufenden Reform, die die operativen Kapazitäten und die Initiativbefugnis von Europol erweitern wird, gilt dieses Argument aber nicht mehr.
Reform zur Massenüberwachung
Die Notwendigkeit größerer operativer Befugnisse wurde durch zwei wichtige Ereignisse begründet. Im Jahr 2019 gelangte der EDSB zu der Erkenntnis, dass die Datenerhebung von Europol seit Jahren außerhalb ihrer rechtlichen Grenzen erfolgt. Ein Jahr später ermahnte er die Agentur, dass die Verarbeitung großer Datensätze, die als „Big Data Challenge“ bezeichnet wird, rechtswidrig ist. Im Januar 2022 folgte die Anordnung, die unrechtmäßig erlangten Informationen zu löschen.[8] Denn die personenbezogenen Daten, die Europol als große Datensätze von den Mitgliedstaaten und anderen Quellen erhält, seien nicht auf die in der Verordnung von 2016 zulässigen Kategorien beschränkt. Einer in der Zeitung „Guardian“ veröffentlichten Untersuchung von Lighthouse Reports zufolge umfasst der Datenbestand mindestens 4 Petabyte, was einem Fünftel des gesamten Inhalts der US Library of Congress entspricht.[9] Dies ist für eine Polizeibehörde, die eigentlich gezielte Informationen sammeln soll, in jeder Hinsicht übertrieben.
Dessen ungeachtet will die Kommission, dass Europol diese Beschränkungen „ausnahmsweise“ umgehen darf. Der Verordnungs-vorschlag passt das Gesetz an bestehende, rechtswidrige Praktiken an. Dabei macht sich die Kommission den staatlichen Zugang zu mehreren verschlüsselten Messengerdiensten wie EncroChat[10] und SkyECC[11] durch Polizeien und Geheimdienste aus EU-Mitgliedstaaten zunutze. Ihr massenhaftes Hacken („Bulk hacking“) führte zur Sammlung riesiger Datenmengen und erfordert ausreichende Data-Mining-Kapazitäten, um diese sinnvoll zu erschließen.[12] Europol ist zuständig, dieses Material an Mitgliedstaaten weiterzugeben und koordiniert grenzüberschreitende Ermittlungen.
Neue Rechtsgrundlage für große Datensätze
Die Datenschutzbestimmungen der geltenden Europol-Verordnung verlangen, dass jede gespeicherte Person eine nachgewiesene Verbindung zu einer kriminellen Tätigkeit haben muss, sei es als Verdächtige, potenzielle künftiger Straftäter*in, Zeug*in, Opfer, Kontakt- und Begleitperson oder Informant*in. Für jede der sechs Kategorien betroffener Personen enthält Anhang II der Europol-Verordnung eine erlaubte Liste personenbezogener Daten. So soll der Grundsatz der Datenminimierung umgesetzt und sichergestellt werden, dass Europol keine großen Mengen an Informationen über unschuldige Personen speichert.
Dieses Erfordernis einer gezielten Datenerhebung muss auch von Behörden der Mitgliedstaaten gewährleistet werden, bevor sie Informationen an Europol übermitteln. Big-Data-Analysen, bei denen Datensubjekte in großen unstrukturierten Datensätzen erst in einer späteren Analysephase kategorisiert werden, sind nach den derzeitigen Vorschriften also nicht zulässig. Der aktuelle Verordnungsvorschlag erweitert die Möglichkeiten von Europol, große, unstrukturierte Datensätze zu erhalten und zu verarbeiten, jedoch erheblich. Zu den geplanten Datenquellen gehören private Stellen wie Kommunikations-, Bank- und Verkehrsunternehmen.
Die zulässigen Kategorien betroffener Personen in Anhang II werden an sich nicht geändert, doch wird Europol gestattet, von geltenden Datenschutzvorschriften abzuweichen. Europol darf große Datensätze vorübergehend zu dem Zweck verarbeiten, um festzustellen, ob personenbezogene Daten den Anforderungen des Anhangs II genügen. Ergibt die Vorabanalyse, dass diese nicht den Bestimmungen entsprechen, müssen sie gelöscht werden. Der verbleibende Teil kann jedoch gespeichert werden. Dies wird die wahllose Datenerhebung erleichtern, um unbekannte Personen von Interesse zu finden, deren Daten dann von Europol rechtmäßig verarbeitet werden können.
Obwohl Europol weder über eigene Ermittlungskapazitäten noch über Zwangsbefugnisse verfügt (wodurch es sich etwa von einem „europäischen FBI“ unterscheidet), weist sie zunehmend Gemeinsamkeiten mit Geheimdiensten auf. Die aktuelle Reform verstärkt diese Entwicklung. Damit wird Europol dem Modus Operandi von Diensten wie der National Security Agency in den USA ähnlich. Das birgt die Gefahr, dass kritische Schutzmaßnahmen im Strafprozessrecht und die Unschuldsvermutung umgangen werden.[13] Im Fall EncroChat gab Europol die wahllos gesammelten Kommunikationsdaten etwa an Mitgliedstaaten weiter, auch wenn dies nach ihrem innerstaatlichen Recht umstritten ist.
Die vorgeschlagene Verordnung enthält auch keine Garantien oder Beschränkungen für die eigentliche Erhebung der Daten, die sogar von Geheimdiensten in einem Drittstaat außerhalb der EU-Rechtsordnung erfolgen kann. Dies birgt die Gefahr von Eingriffen in das Recht auf Datenschutz und andere Grundrechte, die gegen die Grundrechte-Charta verstoßen. Wie die Urteile des EuGH zur Vorratsdatenspeicherung[14] zeigen, reicht es nicht aus, dass das EU-Recht den Zugang zu den für Strafverfolgungszwecke gespeicherten Daten begrenzt. Auch die polizeiliche Datenerhebung selbst muss auf das absolut Notwendige beschränkt werden.
Europol darf diese Vorschriften aber laut dem Verordnungsvorschlag umgehen, wenn es eine Ermittlungsakte von einem Mitgliedstaat, der Europäischen Staatsanwaltschaft oder einem Drittstaat erhalten hat und zu der Einschätzung gelangt, dass die operative Analyse ohne die Verarbeitung personenbezogener Daten, die nicht mit Anhang II übereinstimmen, nicht möglich wäre. Europol soll also ermächtigt werde, sich selbst von dem Verbot der Verarbeitung von Daten über Personen, die nicht mit einer kriminellen Tätigkeit in Verbindung stehen, zu befreien, wenn es seine operativen Analysemöglichkeiten einschränkt. Dadurch wird der Zweck der erwähnten Beschränkungen fragwürdig. Denn es ist schwer vorstellbar, dass Europol sich aus eigener Abwägung gegen seine eigenen operativen Interessen entscheidet und in solchen Fällen personenbezogene Daten nur innerhalb der üblichen rechtlichen Grenzen verarbeitet.
Vorausschauende Polizeiarbeit als neue Norm?
Die vorgesehenen Änderungen werden weitreichende Auswirkungen auf die Tätigkeit von Europol und die polizeiliche Zusammenarbeit zwischen den Mitgliedstaaten haben. Der Vorschlag institutionalisiert das Paradigma der prädiktiven Polizeiarbeit („Predictive Policing“), das oft mit der berüchtigten US-Big-Data-Analyse-Firma Palantir in Verbindung gebracht wird (deren Software Europol ebenfalls beschafft hat). Gleichwohl fehlt eine angemessene demokratische Debatte über die Folgen dieser Entwicklung, darunter die unverhältnismäßigen Auswirkungen auf rassifizierte und marginalisierte Gemeinschaften, die eine prädiktive Polizeiarbeit bekanntermaßen hat.[15] Diese Auswirkungen gehen über Europol selbst hinaus, da die Agentur mit ihrer Big-Data-Infrastruktur auch Mitgliedstaaten unterstützt. Dies könnte dazu führen, dass prädiktive Polizeiarbeit auf nationaler Ebene durch die Hintertür eingeführt wird.
Die Konzentration auf Big Data wird sich unweigerlich auf die Genauigkeit der in den Datenbanken von Europol gespeicherten personenbezogenen Daten auswirken. In der Recherche von Lighthouse Reports wird ein niederländischer politischer Aktivist erwähnt, der fälschlicherweise auf eine nationale Überwachungsliste gesetzt wurde, die mit Europol geteilt wurde. Viele nationale Fahndungslisten weisen eine geringe Datengenauigkeit auf, und diese Probleme können sich nur noch verschlimmern, wenn diese an Europol weitergeleitet und mit prädiktiven polizeilichen Systemen analysiert werden, um die Nadel (z. B. unbekannte Verdächtige) in einem ständig wachsenden Heuhaufen zu finden. Das Ausmaß dieses Problems lässt sich nur schwer abschätzen, da Personen, die auf derartigen Listen stehen, selten benachrichtigt werden.
Das Paradigma der prädiktiven Polizeiarbeit wird durch das ebenfalls vorgeschlagene Mandat, das die Rolle von Europol in den Forschungs- und Innovationsinitiativen der EU bestimmt, weiter gefestigt. Europol soll seine bestehenden Datenbanken für die Entwicklung von Algorithmen und KI-Technologien nutzen dürfen. Entsprechende Datenschutzgarantien sind vage und die Aufsichtsfunktion durch den EDSB ist begrenzt. Personenbezogene Daten, die im Rahmen der Forschungen verarbeitet werden, können nicht verwendet werden, um Entscheidungen zu treffen, die diese Personen betreffen. Das hindert Europol jedoch nicht daran, die daraus resultierenden Algorithmen für Maßnahmen zu verwenden, die dieselbe Gruppe von Personen betreffen.
Ein bemerkenswerter Aspekt des Vorschlags ist auch der fast vollständige Mangel an Übereinstimmung mit dem wegweisenden Legislativvorschlag der Kommission für eine KI-Verordnung vom April 2021, in dem prädiktive Polizeiarbeit als risikoreich angesehen wird.[16] Auch das EU-Parlament bleibt hierzu indifferent. Zur gleichen Zeit, als die Abgeordneten einen bahnbrechenden (aber nicht bindenden) Bericht des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres annahmen, der sich gegen KI zur Vorhersage von kriminellem Verhalten ausspricht, erhielt Europol einen Blankoscheck für die Nutzung von Personendaten in der KI-Forschung.[17]
Operative Macht für EU-Agenturen
Im Jahr 2006 beschrieb Mark Holzberger in CILIP Frontex, die Agentur für die Grenz- und Küstenwache, als „kleine Schwester von Europol“, da sie in Bezug auf die operativen Kapazitäten nur langsam aufhole.[18] Während Europol vor zehn Jahren noch als „die größte der Agenturen des Raums der Freiheit, der Sicherheit und des Rechts“ galt,[19] sieht es heute ganz anders aus. Angesichts einer angeblichen „Migrationskrise“ profitiert Frontex von einer erheblichen Ausweitung ihrer Aufgaben sowie in der enormen Aufstockung der finanziellen und personellen Ressourcen.[20] Davon profitiert aber auch Europol. Laut mehrerer Kooperationsvereinbarungen[21] soll Frontex Europol mit Informationen versorgen, die über das Überwachungsnetzwerk EUROSUR gesammelt wurden, sowie mit personenbezogenen Daten von Verdächtigen grenzüberschreitender Straftaten. Berichten zufolge überprüft Europol Migrant*innen in Lagern in Italien und Griechenland und speichert seit 2016 Daten von „Zehntausenden von Asylbewerbern“ in ihren strafrechtlichen Datenbanken, selbst wenn keine Verbindung zum Terrorismus festgestellt wurde. [22]
Trotz des Widerstands der Mitgliedstaaten, ihre souveränen Vorrechte in den Bereichen Grenzkontrolle und innere Sicherheit aufzugeben, bewegen sich beide Agenturen im „Raum der Freiheit, der Sicherheit und des Rechts“ mit ähnlichem, anhaltendem Tempo, in dieselbe Richtung: hin zu größeren operativen Aufgaben.