Schlagwort: Europol
29. Juni 2022
Am Montag dieser Woche wurde die neue Europol-Verordnung 2022/991 im Amtsblatt der Europäischen Union bekannt gegeben. Damit ändern die Europäische Kommission, der Rat und das Europäisches Parlament nach rund sechs Jahren die bisherige Europol-Verordnung 2016/794 ab.
Reaktionen auf die Neuerungen folgten prompt. Der europäische Datenschutzbeauftragte Wojciech Wiewiórowski kritisierte in einer offiziellen Erklärung die Änderungen scharf. Insbesondere wies er darauf hin, dass die neue Verordnung das Grundrecht auf Privatsphäre schwäche.
Gesetzliche Änderungen
Mit der neuen Verordnungen erhält Europol mehr Befugnisse hinsichtlich der Verarbeitung personenbezogener Daten. Gem. ErwG 22 Verordnung 2022/991 sollen die nationalen Ermittlungsbehörden Europol „umfangreiche und komplexe Datensätze“ zur Verfügung stellen, sodass Europol diese analysieren kann. Auf diese Weise soll Europol grenzüberschreitende Verbindungen zwischen Straftaten in Mitgliedstaaten und außerhalb der Union aufdecken können. Daran kritisiert der Europäische Datenschutzbeauftragte die gleiche Behandlung der Daten von Personen, bei denen keine Verbindung zu kriminellen Aktivitäten bestehen mit Daten von Personen, die eine Verbindung zu kriminellen Tätigkeit haben.
Außerdem regelt die neue Europol-Verordnung, dass der Verwaltungsrat der Strafverfolgungsbehörde einen Grundrechtsbeauftragten bestimmt. Es ist aber fraglich, ob die Person, die dieses Amt künftig ausüben wird, die Befugnisse Europols, die hinsichtlich der Verarbeitung personenbezogener Daten bestehen, effektiv kontrollieren kann. Dies ist fraglich, da Europol nicht an die Weisungen des Grundrechtsbeauftragten gebunden ist. Aus Sicht des Europäischen Datenschutzbeauftragten fehle es demnach an der „(…) wirksame[n] Überwachung der neuen Befugnisse (…)“ der Europol.
Zusätzlich hinterfragte der Europäische Datenschutzbeauftragte kritisch, dass Europol es unterlassen hatte mehrere Petabyte an Datensätzen zu löschen (wir berichteten). Dazu hatte der Europäische Datenschutzbeauftragte die Strafverfolgungsbehörde bereits Anfang diesen Jahres erfolglos aufgefordert. Mit der neuen Verordnungen können die Mitgliedstaaten Europol rückwirkend dazu ermächtigen Datensätze zu verarbeiten, die sie hätten bereits löschen müssen.
Wiewiórowski fordert abschließend in seiner Erklärung, dass Europol spezifische Garantien zum Schutz personenbezogener Daten vorlegen solle. Mit diesen sollen die Auswirkungen von Eingriffen in die Privatsphäre der betroffenen Personen begrenzt werden.
13. Mai 2022
Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.
Um was für eine Verordnung handelt es sich?
Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und “Grooming”- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.
Was genau sieht die Verordnung vor?
Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.
Auch das “Grooming” soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.
Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.
Was genau wird an der Verordnung kritisiert?
Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als “Chatkontrolle” betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.
Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.
Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.
Wie geht es weiter?
Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.
16. März 2022
Anfang März veröffentlichte der Europäische Datenschutzbeauftrage (EDSB) Wojciech Wiewiórowski eine Stellungnahme zu dem Vorschlag der EU-Kommission für eine Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit (“Prüm II”). Eine zweite Stellungnahme wurde bezüglich des Vorschlags für eine Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten veröffentlicht.
Ziel der Vorschläge für die polizeiliche Zusammenarbeit ist es, die Zusammenarbeit der Strafverfolgungsbehörden und insbesondere den Informationsaustausch zwischen den für die Verhütung, Aufdeckung und Untersuchung von Straftaten zuständigen Behörden zu verbessern. Zu diesem Zweck legt der Vorschlag für die “Prüm II”-Verordnung die Bedingungen und Verfahren für den automatisierten Abruf von DNA-Profilen, Fingerabdrücken, Gesichtsbildern, polizeilichen Aufzeichnungen und Fahrzeugregisterdaten fest. Der Vorschlag für die Richtlinie über den Informationsaustausch zielt darauf ab, den Zugang der Strafverfolgungsbehörden zu Informationen anderer Mitgliedstaaten zu erleichtern.
In Bezug auf den Vorschlag für die “Prüm-II-Verordnung” betont Wiewiórowski, dass wesentliche Elemente in Bezug auf seinen sachlichen und persönlichen Anwendungsbereich fehlen, wie z. B. die Arten von Straftaten, die eine Abfrage rechtfertigen können, und die Kategorien von betroffenen Personen. Insbesondere solle der automatisierte Abruf von DNA-Profilen und Gesichtsbildern nur im Zusammenhang mit einzelnen Ermittlungen bei schweren Straftaten möglich sein und nicht bei jeder Straftat, wie im Vorschlag vorgesehen. Darüber hinaus ist der EDSB nicht von der Notwendigkeit des vorgeschlagenen automatisierten Abrufs und Austauschs von Daten aus polizeilichen Aufzeichnungen überzeugt und unterstreicht, dass strenge Sicherheitsvorkehrungen erforderlich sind, um die Risiken für die Datenqualität anzugehen.
In Bezug auf den Vorschlag für die Richtlinie über den Informationsaustausch unterstreicht Wiewiórowski die Notwendigkeit, den persönlichen Anwendungsbereich der Maßnahme klar zu definieren und auf jeden Fall die Kategorien personenbezogener Daten über Zeugen und Opfer zu begrenzen. Er äußert ferner Bedenken hinsichtlich der Dauer der Datenspeicherung in den Fallverwaltungssystemen der Behörden.
Die polizeiliche Zusammenarbeit in den Mitgliedstaaten sei laut Wiewiórowski “ein wichtiges Element eines gut funktionierenden Raums der Freiheit, der Sicherheit und des Rechts”. Sie dürfe allerdings nicht “als Nebeneffekt zur Schaffung neuer großer zentralisierter Datenbanken führen”.
10. Februar 2022
Die Europäische Strafverfolgungsbehörde Europol muss personenbezogene Daten von Verdächtigen, welchen eine Verbindung zu Straftaten nicht nachgewiesen werden kann, nach sechs Monaten löschen. Laut einer Pressemitteilung des Europäischen Datenschutzbeauftragten (EDPS) kam Europol dieser Verpflichtung nicht nach.
Der europäische Datenschutzbeauftragte Wiewiórowski hat Europol aufgefordert Daten von Verdächtigen in großem Umfang zu löschen. Konkret betroffen seien Datensätze, welche Europol von den Ermittlungsbehörden der EU-Staaten übermittelt wurden. Aufgrund der Masse an übermittelten Daten dauere der Prozess der Analyse bei Europol jedoch meist Jahre. Hinsichtlich der Speicherfristen entspräche die Behörde jedoch nicht ihren eigenen Regelungen. Diese bestimmen die Löschung personenbezogener Daten von Verdächtigen nach spätestens sechs Monaten, sofern den Betroffenen keine Verbindung zu einer kriminellen Aktivität nachgewiesen werden kann.
Auf die Strafverfolgungsbehörde warten arbeitsintensive zwölf Monate. Zunächst soll die Behörde innerhalb von sechs Monaten eine Voranalyse und Filterung der gespeicherten Datensätze vornehmen. Mit diesem Vorgehen werden zugleich “die Risiken für die Rechte und Freiheiten von Personen auf ein Minimum reduziert”. In den nachfolgenden sechs Monaten soll dann die Umsetzung der Löschpflicht zu einer Vereinbarkeit mit den datenschutzrechtlichen Regularien folgen.
Europol kritisierte die Anordnung des EDPS in einer Pressemitteilung, da die Behörde durch den Beschluss des EDPS in der Fähigkeit beeinträchtigt werde, große und komplexe Datensätze auszuwerten. Gerade in Fällen mit komplexen und umfangreichen Datensätzen nehme dies oftmals mehr als sechs Monate in Anspruch.
Die Entscheidung des EDPS war für Europol jedoch bereits absehbar. Bereits im September 2020 verwarnte der Datenschutzbeauftragte die Behörde aufgrund ihres Umgangs mit der Speicherung personenbezogener Daten.