EU-Datenschutzbehörde bringt Europol-Mandat vor Gericht

Der Europäische Datenschutzbeauftragte (EDSB) reichte letzte Woche eine am Donnerstag (22. September) veröffentlichte Klage gegen die EU-Gesetzgeber ein, die kürzlich ein erweitertes Mandat für die Strafverfolgungsbehörde Europol angenommen haben.

Für den EDSB, den für die EU-Einrichtungen zuständigen Datenschutzbeauftragten, stellen die von den Organen angenommenen Bestimmungen die Rechtsstaatlichkeit auf EU-Ebene in Frage und bedrohen die Unabhängigkeit der Aufsichtsbehörde selbst.

Die Maßnahmen, die der Datenschutzbeauftragte vor den EU-Gerichtshof bringt, stehen im Zusammenhang mit der rückwirkenden Legalisierung der Datenspeicherungspraktiken von Europol durch das neue Mandat.

Infolgedessen hat das Mandat die Entscheidung der EU-Datenschutzbehörde aufgehoben, die die Strafverfolgungsbehörde angewiesen hatte, Datensätze aufzubewahren, für die sie zum damaligen Zeitpunkt nicht zuständig war.

Für den Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski gibt es für die Klage zwei Gründe.

„Erstens, um die Rechtssicherheit für Einzelpersonen in dem hochsensiblen Bereich der Strafverfolgung zu schützen, in dem die Verarbeitung personenbezogener Daten schwerwiegende Risiken für die betroffenen Personen birgt“, sagte Wiewiórowski.

„Zweitens soll sichergestellt werden, dass der EU-Gesetzgeber im Bereich des Schutzes der Privatsphäre und des Datenschutzes nicht unangemessen ‚die Zielpfosten verschieben‘ kann.“

In diesem Bereich erfordert insbesondere der unabhängige Charakter der Ausübung der Durchsetzungsbefugnisse einer Aufsichtsbehörde Rechtssicherheit in Bezug auf die durchzusetzenden Vorschriften.

Die Europol-Saga geht auf das Jahr 2019 zurück, als die Exekutivdirektorin der Strafverfolgungsbehörde, Catherine De Bolle, den EDSB um Ratschläge zur Einhaltung seiner Datenverarbeitungspraktiken ersuchte. Europol erhielt nämlich immer größere Mengen an Massendaten von den Mitgliedsstaaten.

Das Problem dabei war, dass Europol sich darauf spezialisiert hat, grenzüberschreitende Ermittlungen zu unterstützen, indem es Big Data verarbeitet, die sich nicht mehr auf Personen mit einer nachgewiesenen Verbindung zu kriminellen Aktivitäten beziehen.

Im September 2020 stellte der EDSB in einer Ermahnung fest, dass Europol sein Mandat überschreitet.

Insbesondere verstießen die neuen Aktivitäten der Agentur gegen den Grundsatz der Datenminimierung bei der Verarbeitung von Massendaten und gegen die Speicherbegrenzung, da sie sich selbst keine Grenze für die Aufbewahrung von Daten setzte.

Im Dezember 2020 legte die Kommission einen Vorschlag zur Überprüfung und Erweiterung des Mandats von Europol als Teil eines umfassenderen Pakets zur Terrorismusbekämpfung vor. Für die EU-Exekutive ist die neue Expertise der Agentur in der Datenverarbeitung ein unverzichtbares Instrument zur Verbrechensbekämpfung in einer digitalisierten Welt.

Im Gegensatz dazu wiesen Kritiker darauf hin, dass die Kommission illegale Datenverarbeitungsaktivitäten legitimiere und einen gefährlichen Präzedenzfall für Strafverfolgungsbehörden schaffe, die ständig testen, wie weit sie bei ihren Überwachungsaktivitäten gehen können.

Das neue Mandat wurde im Februar vereinbart und gibt Europol viel mehr Spielraum. Zum Beispiel setzt das Mandat keine Grenzen für die Übermittlung großer Datensätze an die Agentur, auch aus Ländern, die keine einwandfreie Bilanz in Bezug auf grundlegende Befugnisse aufweisen.

Gleichzeitig wurde die Rolle des EDSB verkleinert. Insbesondere würde die Datenschutzbehörde erst am Ende von Untersuchungen, die Jahre dauern können, über neue operative Datenverarbeitungen informiert werden.

Im ursprünglichen Vorschlag der Kommission sollte der Datenschutzbeauftragte entscheiden, ob die neuen Datensätze mit dem Grundsatz der Verhältnismäßigkeit und den Grundrechten vereinbar sind. Der angenommene Text überlässt diese Entscheidung Europol, während der EDSB lediglich über die Datenübermittlung informiert wird.

Was für Wiewiórowski jedoch die Grenze überschritten hat, war die Tatsache, dass das Mandat de facto die Entscheidung annulliert, die die Behörde beim Abschluss ihrer Untersuchung getroffen hatte. Im Januar 2022 wies der EDSB Europol an, innerhalb eines Jahres alle Daten zu löschen, die nicht strafrechtlich relevant sind.

Im Zuge dieses Mandats kann Europol die Daten, die sich bereits in seinem Besitz befinden, weiter verarbeiten. Außerdem wurde die Frist für die Beurteilung, ob neu erhaltene Daten mit kriminellen Aktivitäten in Verbindung stehen, von sechs Monaten nach der Anordnung des EDSB auf drei Jahre verlängert.

Diese Bestimmungen schaffen einen bedenklichen Präzedenzfall für den Datenschutzbeauftragten, da die Mitgesetzgeber – der EU-Rat und das Parlament – eine Aufsichtsbehörde auf der Grundlage ihres politischen Willens außer Kraft gesetzt hatten. Es besteht daher die Gefahr, dass die Datenschutzbehörden in Zukunft durch unangemessenen politischen Druck beeinflusst werden könnten, was ihre Unabhängigkeit untergraben würde.

Die Nichtigkeitsklage wird nun auf dem Schreibtisch des EU-Gerichtshofs landen. Die Europäische Kommission hat bis zum Zeitpunkt der Veröffentlichung nicht auf die Bitte von EURACTIV um einen Kommentar geantwortet.

[Bearbeitet von Nathalie Weatherald]