Europol kommt Löschpflicht nicht nach

10. Februar 2022

Die Europäische Strafverfolgungsbehörde Europol muss personenbezogene Daten von Verdächtigen, welchen eine Verbindung zu Straftaten nicht nachgewiesen werden kann, nach sechs Monaten löschen. Laut einer Pressemitteilung des Europäischen Datenschutzbeauftragten (EDPS) kam Europol dieser Verpflichtung nicht nach.

Der europäische Datenschutzbeauftragte Wiewiórowski hat Europol aufgefordert Daten von Verdächtigen in großem Umfang zu löschen. Konkret betroffen seien Datensätze, welche Europol von den Ermittlungsbehörden der EU-Staaten übermittelt wurden. Aufgrund der Masse an übermittelten Daten dauere der Prozess der Analyse bei Europol jedoch meist Jahre. Hinsichtlich der Speicherfristen entspräche die Behörde jedoch nicht ihren eigenen Regelungen. Diese bestimmen die Löschung personenbezogener Daten von Verdächtigen nach spätestens sechs Monaten, sofern den Betroffenen keine Verbindung zu einer kriminellen Aktivität nachgewiesen werden kann.

Auf die Strafverfolgungsbehörde warten arbeitsintensive zwölf Monate. Zunächst soll die Behörde innerhalb von sechs Monaten eine Voranalyse und Filterung der gespeicherten Datensätze vornehmen. Mit diesem Vorgehen werden zugleich „die Risiken für die Rechte und Freiheiten von Personen auf ein Minimum reduziert“. In den nachfolgenden sechs Monaten soll dann die Umsetzung der Löschpflicht zu einer Vereinbarkeit mit den datenschutzrechtlichen Regularien folgen.

Europol kritisierte die Anordnung des EDPS in einer Pressemitteilung, da die Behörde durch den Beschluss des EDPS in der Fähigkeit beeinträchtigt werde, große und komplexe Datensätze auszuwerten. Gerade in Fällen mit komplexen und umfangreichen Datensätzen nehme dies oftmals mehr als sechs Monate in Anspruch.

Die Entscheidung des EDPS war für Europol jedoch bereits absehbar. Bereits im September 2020 verwarnte der Datenschutzbeauftragte die Behörde aufgrund ihres Umgangs mit der Speicherung personenbezogener Daten.