Es ist nicht das Kerngeschäft der europäischen Strafverfolgungsbehörde Europol, Beamte loszuschicken und Verbrecher zu jagen. Die tausend Mitarbeiterinnen und Mitarbeiter in Den Haag sind vorwiegend damit beschäftigt, Daten zu beschaffen, zu sichten und zu sortieren. Mit dem Erstellen von Lageanalysen helfen sie den Mitgliedstaaten der EU bei der Bekämpfung schwerer Formen der internationalen Kriminalität. Je mehr sich die Kriminalität ins Internet verlagert, desto umfangreicher wird ihre Arbeit - und das weckt auch Argwohn: Als "Datenkrake" und "Datenmonster" wurde die Behörde zuletzt bezeichnet, weil sie sich mit ihrer Arbeit mittlerweile am Rand der Legalität bewegt. Nun scheint Europol von der Europäischen Union dafür eine Art Freifahrtschein zu erhalten.
Vertreter des Europaparlaments und der 27 EU-Staaten haben sich am Dienstag darauf geeinigt, das Mandat von Europol - 1998 gegründet und seit 2010 offiziell eine Agentur der Europäischen Union - noch einmal deutlich zu erweitern, auch im Umgang mit personenbezogenen Daten. Den ursprünglichen Vorschlag dafür hatte die EU-Kommission schon im Jahr 2020 gemacht, auch unter dem Eindruck mehrerer terroristischer Anschläge. Die abschließende Zustimmung von Ministerrat und Europaparlament gilt als Formsache, trotz des Protests von Datenschützern.
Die Behörde soll demnach Innovationstreiber auf dem Gebiet der Datenanalyse werden und Anwendungen der künstlichen Intelligenz für die Ermittlungsarbeit entwickeln. Sie soll mehr Kompetenzen bei der Analyse großer Datensätze bekommen. Wenn es um Terrorismus und Kindesmissbrauch geht, soll Europol auch Daten von Drittstaaten annehmen dürfen, egal welche Datenschutzbestimmungen dort gelten, ebenso Daten von Privatunternehmen. Das könnten zum Beispiel soziale Netzwerke sein, die Chatprotokolle von verdächtigen Nutzern zur Verfügung stellen. Auch personenbezogene Angaben dürften von Europol angenommen werden.
Rückwirkende Legitimierung illegaler Praktiken?
Datenschützer sehen die neuen Regelungen als rückwirkende Legitimierung von illegalen Praktiken. Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski hatte Europol erst vor einigen Wochen aufgefordert, massenhaft vorhandene persönliche Daten - offenbar vier Petabyte aus laufenden und abgeschlossenen Ermittlungsverfahren -, zu löschen, die der Behörde von den Mitgliedstaaten zugeschickt worden waren.
Eigentlich müssten Daten von Personen nach sechs Monaten gelöscht werden, wenn keine Verbindung zu einer kriminellen Aktivität nachgewiesen werden kann. Es sieht aus, als hatte die Behörde selbst den Überblick über den Wust an Informationen verloren. Das Büro von Wiewiórowski hatte im Jahr 2019 eine Untersuchung dazu eingeleitet, wie Europol mit persönlichen Daten verfährt, und die Behörde seither mehrmals zu Änderungen aufgefordert. Die Daten sind bis heute nicht gelöscht und dürfen offenbar im Rahmen der neuen Regeln weiterverwendet werden. Die neue Löschfrist soll 18 Monate betragen.
EU-Kommission und Mitgliedsländer nehmen nun für sich in Anspruch, sie würden für Rechtssicherheit sorgen. "Europol braucht moderne Mittel, um die Polizei bei ihren Ermittlungen zu unterstützen", kommentierte EU-Innenkommissarin Ylva Johansson am Dienstagabend. Das vereinbarte Mandat bekräftige die Rolle der Agentur als globale Vorreiterin bei der Entwicklung neuer Technologien für die Strafverfolgung, bei Verhütung und Aufklärung von Straftaten - aber auch beim Schutz von Grundrechten wie dem Schutz personenbezogener Daten. Darüber wird nun heftig gestritten.
Um die neue Macht von Europol zu überwachen, soll der Europäische Datenschutzbeauftragte Einblick erhalten in die Art und Weise, wie die Behörde mit personenbezogenen Daten umgeht, allerdings erst rückwirkend. "Die Ausweitung der Befugnisse von Europol geht nicht Hand in Hand mit einer verstärkten Kontrolle der Maßnahmen der Agentur", sagte der derzeitige Amtsinhaber Wiewiórowski laut dem Nachrichtenportal Euractiv. Die im Vorschlag enthaltenen Bestimmungen seien eine "direkte Bedrohung" für die Rolle der Aufsichtsbehörde.
