Am 16. September 2022 ging der seit Monaten andauernde Konflikt um die Massendatenverarbeitung durch Europol in die nächste Runde. Der Europäische Datenschutzbeauftragte (EDPS) schaltete den Europäischen Gerichtshof (EuGH) ein und beantragte, zwei Bestimmungen der geänderten Europol-Verordnung für nichtig zu erklären, die am 28. Juni des Jahres in Kraft getreten war.[1] Die beiden Bestimmungen, die durch Verordnung (EU) 2022/991 eingefügten Artikel 74a und 74b, legalisieren rückwirkend die Verarbeitung von Daten zu Personen, ohne dass diese in Verbindung zu Straftaten stehen. Am 3. Januar 2022 hatte der EDPS angeordnet, Massendatendatensätze, die Europol u. a. im Rahmen der Encrochat-Verfahren aus den Mitgliedstaaten erhalten hatte, bis spätestens Anfang Januar 2023 zu löschen, nachdem die Sechs-Monats-Frist verstrichen war, welche die alte Verordnung Europol eingeräumt hatte, um angelieferte Daten zu prüfen und Informationen zu Unbeteiligten, Opfern, Zeug*innen oder Kontaktpersonen herauszufiltern. Gemäß der geänderten Verordnung kann Europol entsprechende Daten nun entgegen der Anordnung des EDPS weiterverarbeiten.
In seinem Antrag an den EuGH erläutert der EDPS, dass das Europäische Parlament und der Rat durch die rückwirkende Legalisierung einen gefährlichen Präzedenzfall geschaffen haben, da sie betroffene Personen der Garantien berauben, die der EDPS als Aufsichtsbehörde durchsetzen soll. Weiter warnt er, dass das Beispiel Europols Schule machen könnte und es das Risiko berge, dass Behörden mögliche Reaktionen des EU-Gesetzgebers auf Anordnungen von Kontrollbehörden vorwegnähmen. Damit würde unabhängige Aufsicht zum Spielball politischer Opportunitäten.
Es ist zu hoffen, dass der EuGH den Ausführungen des EDPS folgt und wieder Rechtssicherheit herstellt. Bis dahin allerdings wird Europol die mindestens vier Petabyte großen Datenberge munter weiteranalysieren.