26949
Kommentar:
|
28187
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 26: | Zeile 26: |
Die Regeln zum Austausch von Daten mit Drittparteien werden in einem [[http://www.datenschmutz.de/li/docs/2009-europol-datenaustausch.pdf|Ratsbeschluss von 2009]] näher ausgearbeitet. Um Datenschutz im eigentlichen Sinn geht es dabei aber natürlich nicht wirklich -- die Summe der entsprechenden Vorschriften lässt sich mit "Wenn Europol es für nötig hält" umfassend beschreiben. Den Tenor gibt Artikel 15 (2) wieder: Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben einer Person dürfen nur übermittelt werden, wenn dies unbedingt notwendig ist. No kidding. Erwartbar auch, dass vom JSB eigentlich nur im Zusammenhang mit "Stellungnahme" oder in Einzelfällen "Unterrichtung" die Rede ist. Zustimmung von denen ist nie nötig. Offenbar hat die Nomenklatura Zweifel, dass dem JSB nicht doch irgendwann Zähne wachsen könnten. Angesichts der geheimpolizeilichen Tendenzen von Europol lohnt vielleicht ein Blick in die [[http://www.datenschmutz.de/li/docs/2009-europol-geheimschutz.pdf|Geheimschutz-Regeln von Europol]]. |
Inhaltsverzeichnis
Die europäische "Zentralpolizei" Europol betreibt eigene Computersysteme, die dann und wann als TECS ("The Europol Computer Systems") bezeichnet werden.
Rechtliches
Papiere
Die Europol-Konvention von 1995 besteht zu ca. 50% aus Regelungen zu Datenbanken u.ä., die wohl auch tatatsächlich im Zentrum der Arbeit von Europol stehen sollen -- in der Tat bezeichnet sich Europol 2009 selbst als "Information Broker" (S. 6).
Im Hinblick auf die "EU-Verfassung" bzw. den Lissabon-Vertrag soll die Konvention durch einen Ratsbeschluss vom 6.4.2009 (es gab einen auf die "Verfassung" gemünzten Vorgänger vom 20.12.2006) ersetzt werden. Während im Geiste des Anlasses die Befugnisse von Europol darin erweitert werden und demokratische Kontrolle weiter abgebaut, sind die Verschlechterungen im EDV-Bereich überschaubar. Wo im Folgenden Artikel mit zwei Zahlen zitiert werden, ist die erste Zahl aus der Konvention, die zweite aus dem Ratsbeschluss, nackte Zahlen beziehen sich auf die Konvention.
In der BRD werden diese Geschichten umgesetzt durch das Europol-Gesetz, das ansonsten noch regelt, dass das BKA nationale Stelle (für den Datenaustausch) und Behörde (für Auskunft) ist, der BfDI die nationale Kontrollinstanz. Dazu gibts allerlei Regelungen, die die ohnehin konfuse "datenschutzrechtliche Verantwortung" noch weiter konfusionieren. Viel Freude bei Löschersuchen.
Spannend ist §3 EuropolG, denn es erlaubt offenbar Direktzugriff der LKÄ auf Europol-IS. Das BKA protokolliert "im Durchschnitt" jeden zehnten Zugriff. Ein Glück, dass gegenwärtig wohl nicht viel drinsteht. Finster wirds in §8, denn Europol-Leute werden im Zusammenhang mit Datenvergehen nur verfolgt, wenn der Europol-Direktor das will und die Bundesregierung zustimmt. Erhebet die Herzen.
Die Regeln zum Austausch von Daten mit Drittparteien werden in einem Ratsbeschluss von 2009 näher ausgearbeitet. Um Datenschutz im eigentlichen Sinn geht es dabei aber natürlich nicht wirklich -- die Summe der entsprechenden Vorschriften lässt sich mit "Wenn Europol es für nötig hält" umfassend beschreiben. Den Tenor gibt Artikel 15 (2) wieder:
- Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben einer Person dürfen nur übermittelt werden, wenn dies unbedingt notwendig ist.
No kidding. Erwartbar auch, dass vom JSB eigentlich nur im Zusammenhang mit "Stellungnahme" oder in Einzelfällen "Unterrichtung" die Rede ist. Zustimmung von denen ist nie nötig. Offenbar hat die Nomenklatura Zweifel, dass dem JSB nicht doch irgendwann Zähne wachsen könnten.
Angesichts der geheimpolizeilichen Tendenzen von Europol lohnt vielleicht ein Blick in die Geheimschutz-Regeln von Europol.
Regelungen
Zunächst ist Europol (Art. 2/4) für "serious crimes" zuständig, die mehr als einen Mitgliedsstaat betreffen; bei der näheren Bestimmung von Drogen, Autodiebstahl und OK bis zu Terrorismus ist alles dabei, mit dem kritische Rückfragen im Repressionsbereich auch sonst abgebügelt werden, historisch bedingt spielt Geldfälschung immer noch eine große Rolle.
Die Europol-EDV hat nach Konvention drei Säulen:
- "Informationssystem" (Art. 8/10), kurz IS, eine Indexdatei mit Angaben zu Personen, Straftaten und Verweisen auf aktenführende Stellen. Gespeichert werden sollen Verdächtigte oder Verurteilte aus Europols Interessengebieten, plus solche bei denen "bestimmte schwerwiegende Tatsachen" vermuten lassen, dass sie Europol-Straftaten verüben werden. Sie sollen bei endgültiger Einstellung oder Freispruch gelöscht werden (wie das bei den Prognosen funktionieren soll, ist natürlich unklar).
"Analysedateien" (Art. 10/14). Thematische Dateien, in denen eigentlich fast alles über ZeugInnen, Opfer, Kontakt-, Begleit oder mögliche Auskunftspersonen (also alle) gespeichert werden kann. Daten sollen die Einzelpolizeien liefern. Umgekehrt sollen diese über "Erkenntnisse" aus Analysedateien informiert werden.
- "Indexsystem" (Art. 11/15). Das war in der Konvention wohl als eigenes System geplant, in dem nationale Polizeien suchen können und im Groben sehen, dass etwas für ihre Suche relevantes im Europol-Analysesystem ist, aber nicht, was es ist. Im Ratsbeschluss ist nur noch vorgesehen, dass das Analysesystem eine "Indexfunktion" haben soll.
Das IS soll gefüttert werden aus Daten nationaler Polizeien, soweit sie in Europols zuständigkeit liegen, durch Europols "Analysen" und auch durch Drittstaaten (Art. 7/13). Gelesen werden sie durch "ermächtigte" Europol-Leute, vor allem aber durch die nationalen Polizeien. Jede dieser Abfragen wird geloggt (Art. 16/?), bei anderen Datenbankabfragen innerhalb von Europol sollen das mindestens 10% sein. Die datenschutzrechtliche Verantwortung (d.h. insbesondere Löschung) verbleibt bei den einspeisenden Behörden. Löschersuchen wird Europol also in der Regel abschmettern.
Die Analysesysteme bekommen jeweils eigene Errichtungsanordnungen (Art. 12/16; "Opening Order)), die Zweck und Art der Daten festlegen müssen, insbesondere auch die Felder, die suchbar gemacht werden sollen. Auch Logging wird darin geregelt.
Aussonderungsprüffrist bei Europol ist in der Regel 3 Jahre (Art 21/20). Die Konvention hat bei Daten von Nichtverdächtigen APFs von einem Jahr mit zwingender Löschung nach 3 Jahren vorgesehen, was im Ratsbeschluss gestrichen wurde, vermutlich, weil sich eh nie jemand drum gekümmert hat.
Der Ratsbeschluss gibt dem Rat (ha!) weitgehende Rechte, mit qualifizierter Mehrheit Europol alles mögliche zu erlauben, insbesondere weitere Typen von DAtenbanken.
Datenbanken
Informationssystem
Besteht wohl im Groben aus einer Datenbank, "data loadern", die Daten der nationalen Behörden dort reinbekommen, sowie irgendwas, das versucht, Datensätze zu matchen.
2008 gab es 125000 Anfragen im Europol-IS, das nur knapp 90000 "Objekte" enthielt. Allerdings wächst es rasch: Anfang 2007 enthielt es gerade mal 35000 "Objekte".
Nach unklaren Regeln laden folgende Staaten ihre Daten direkt ins Europol-IS hoch:
- BRD (11/2005)
- Niederlande (9/2006)
- Dänemark (3/2007)
- Spanien (11/2007)
- Belgien (12/2007)
- vier weitere 2008.
(nebenbei: die Planung im Dezember 2004 hätte sein sollen, dass bereits 2006 alle Mitgliedsstaaten automatisch hochladen).
Eine wesentliche Hoffung an Europol-IS ist, Verbindungen zwischen Daten aus verschiedenen Mitgliedsstaaten zu finden ("The primary purpose of the Information System is to detect hits between data inserted by the member states and third parties", JB 2008). Laut JB 2008 sollen das 2008 140 gewesen sein, gegenüber 84 im Vorjahr. Ob aus diesen "Matches" irgendwas geworden ist, lässt der Bericht offen.
Europol greift auf die Daten von SIS zu, vermutlich auch schreibend (für SIS II wird das auch offiziell so dargestellt).
Analysedateien
Auch "Analysis Work Files" (AWF) genannt. Im 2007er Jahresbericht schreibt Europol von 16 davon, aufgeteilt in
Bereich |
2007 |
2004 |
2003 |
Drogenhandel |
3 |
4 |
4 |
"Verbrechen gegen Personen" (Menschenhandel?) |
3 |
3 |
3 |
Wirtschaftskriminalität |
2 |
5 |
5 |
"Organisierte Kiminalität" |
4 |
2 |
3 |
"Terrorismus" |
2 |
2 |
2 |
Geldfälschung |
2 |
2 |
2 |
Die Zahlen für 2003 und 2004 kommen aus dem JB 2005. Dort wird auch von "über 600 analytical reports" geredet, die aus diesen Datenbanken entstanden seien.
2008, so der JSB im 4. TB, habe es dann 18 Analysedateien gegeben. Besondere Erwähnung im OK-Bereich findet die Bikerkriminalität. Wie weit der "Terrorismus" Aktivitäten im engeren Politbereich umfasst, ist nicht bekannt.
Abgesehen von der Europol-Konvention hat der Rat noch Durchführungsbestimmungen für AWFs beschlossen. Kompakter und nützlicher steht der Kram da drin in einer "FAQ" zu den Analysedateien von Europol (2009), gerichtet offenbar an Vertreter von Drittstaaten, die mitanalysieren wollen, herausgegeben.
Darin sind u.a. Beispiele für Errichtunganordnungen und verwandte Dokumente gegeben werden. Highlights daraus:
Europol-intern gibt es zur Errichtungsanordnung noch einen "Project Plan" und einen "Data Collection Plan"; das Europol-Verständnis von Datenschutz äußert sich z.B. darin, dass der Project Plan (und nicht die Errichtungsanordnung) den Zweck der Datei definiert; aus diesem Grunde sei der Project Plan Veränderungen unterworfen (Zweckbindung, anyone?).
- Datensätze in den Analysedateien haben (sollen haben?) einen von den speichernden Staaten bestimmten "Handline Code":
- ohne Handling Code gilt eine Information als "für die Analysegruppe" und soll an alle interessierten Parteien weitergereicht werden; offenbar soll bei Parteien außerhalb der Analysegruppe nachgefragt werden. Sie darf auch frei vor Gereicht verwendet werden.
H1 -- Verwendung vor Gericht nur mit Zustimmung der speichernden Partei. Hier soll offenbar verhindert werden, dass AnwältInnen des Opfers von der Information Kenntnis erhalten. Eurojust darf aber gucken.
- H2 -- Verbreitung nur mit Zustimmung.der speichernden Partei. Amüsant der Deadlock: Was passiert, wenn ein H2-Datum eines Staates mit einem H2-Datum eines anderen Staats matcht? Nach Europol-Regeln sollte dann ein Staat gefragt werden, ob sein Datensatz verbreitet werden darf, aber dann weiß dieser ja schon vom Hit... Au weia.
- H3 -- irgendwas. Zu H3 brauchts immer einen Freitext, und es scheint, dass es dabei eher um Lockerungen als um Restriktionen geht (etwa: Weitergeben an eine andere Analysegruppe).
- ohne Handling Code gilt eine Information als "für die Analysegruppe" und soll an alle interessierten Parteien weitergereicht werden; offenbar soll bei Parteien außerhalb der Analysegruppe nachgefragt werden. Sie darf auch frei vor Gereicht verwendet werden.
- Daten dürfen von den Drittparteien recht liberal weitergereicht werden (Frage 15!)
Die FAQ geben weiter eine Liste der AWFs, die 2009 noch aktiv waren. Die Aufstellung zeigt die Fantasie von Europol beim Erfinden von Namen; nach den laufenden Nummer zu urteilen, wurden etwliche AWFs auch wieder eingestellt. Daten zu Bikern, Islamisten und der Russenmafia haben sich andererseits zehn Jahre lang gehalten.
Unter den 2009er AWFs sind möglicherweise politisch relevant:
- AWF-03-029 DOLPHIN (seit 2003) -- Non-Islamist extremist terrorist organisation. Das bezieht sich auf die EU-Terrorliste; wer PKKlerInnen oder Leute von der DHKP-C kennt, könnte darin landen.
- AWF 05-037 CHECKPOINT (seit 2006) -- Facilitated Illegal Immigration. Klingt zwar mehr, als ginge es um Zwangsprostitution und ähnliches, aber im Ziel stehen offenbar Organisationen wie eine "Pachtou", die angeblich Menschen aus Kurdisch-Irak und Afghanistan in die EU gebracht haben soll.
- AWF 09-041 CYBORG (seit 2009) -- soll Organisierte Kriminalität im Netz verfolgen. Na ja.
Mithin existierten 2009 keine offensichtlich auf linke politische Kräfte gerichteten Dateien.
Die "Analysesysteme" waren von vorneherein stark umstritten, denn in ihnen kann Europol speichern, was immer irgendwer gerade mag. Entsprechend sind dafür Errichtungsanordnungen (opening orders), weitgehend nach deutschem Vorbild, vorgesehen, zu denen der JSB "Stellungnahmen" abgeben darf; ein Beispiel vor so eine Errichtungsanordnung ist im Anhang 2 der FAQ; hübsch vor allem die Ankreuzfelder für die zu speichernden Daten. Offenbar werden diese Errichtungsanordnungen wirklich per Formular verhandelt. Absolut irre ist, dass ausgerechnet "Racial origin", "Glaube", "Politische Ansichten" und "Sexual life or health" einer Begründung zur Speicherung bedürfen, alles andere offenbar nicht.
Die Kreuzelliste bestätigt schlimmste Befürchtungen: Europol will anlasslos so gut wie alles speichern können. Da die Zugriffsbedingungen auf Europols Bestände -- so überhaupt mal was läuft -- recht restriktiv sind, macht das vielleicht erstmal nicht viel. Mit wachsenden Befugnissen von Europol wird der Kram natürlich immer hässlicher.
Die Errichtungsanordnung im FAQ-Beispiel sieht als Aussonderungsprüffrist ein Jahr vor, wobei drei Jahre nach der letzten Zuspeicherung gelöscht werden muss. Komplett unglaubhaft die Regelung, nach der der JSB informiert werden muss, wenn ein Datum durch Zuspeicherungen länger als fünf Jahre in einem AWF liegt. Angesichts des quasi-ehrenamtlichen Charakters des JSB ist nicht vorstellbar, dass die entsprechende Fälle tatsächlich ansehen können.
Abgenickt werden die Errichtungsanordnungen vom Verwaltungsrat oder bei "Dringlichkeit" direkt vom Direktor. Der Verwaltungsrat besteht natürlich aus den üblichen Law-and-Order-Wüstlingen, die die Regierungen nach Den Haag schicken, einer pro Staat.
Zu den Errichtungsanordnungen treten zwei "Arbeitsdokumente", die beschreiben, was das alles bedeutet (Project Plan) und woher die Daten kommen sollen (Data Collection Plan). Diese werden wohl "auf Arbeitsebene" vereinbart.
Technisch bauen die AWFs offenbar auf einem Produkt namens iBase von rola Security Solutions auf (vgl. Hersteller). Damit scheint auch das Abziehen von Daten aus nationalen Beständen funktionieren zu sollen.
Auf der positiven Seite produziert die EDV-Abteilung Sätze wie "This was done to increase the influence of the stakeholders and to establish the role of product management in the Europol national units in the member states," und sie machen ihren Webserver mit ASP. Wegen Europol muss also so bald niemand auswandern.
Indexsystem
Vermutlich irgendwas, das Anfragen an das Informationssystem bearbeiten sollte. Im JB 2004 steht sprechenderweise "The Index System (IxS) 2004 project began with the initial goal of delivering a limited-functionality replacement for the existing system by the start of July 2004, which was achieved". Vermutlich gibt es all das gar nicht mehr.
OASIS
"Overall Analysis System for Intelligence and Support" -- ein seit mindestens 2001 betriebenes Dauerprojekt mit unklaren Erfolgsaussichten (hätte mensch bei "Overall" auch schon raten können); hätte nach ursprünglichem Plan 2003 "functional" sein sollen (JB 2003), wird im 2007-Jahresbericht als "fully completed" deklariert, taucht aber später immer noch unter "große Fortschritte" auf. Mit OASIS soll das "Europol Analysis System" (EAS) implementiert werden.
OASIS wird beschrieben als "system containing several very different software applications (including text and data mining facilities, workflow management, and interface possibilities)" (JB 2007) mit dem Ziel eines "homogeneous and continuous analytical process from the moment information/intelligence is generated at Member State level, until a final analytical product is disseminated by Europol" (JB 2004).
Bei all dem Geschwätz wird irgendwo eine Datenbank betrieben (der JB 2004 erwähnt "i-Base3" und "i-Base4"), in der offenbar allerlei Daten herumgeschubst werden.
"Check the Web"
Offenbar irgendeine Sorte von Wiki o.ä. in dem "offene Quellen" im Internet "dargestellt" werden sollten, die "mit Terroranschlägen in Zusammenhang gebracht werden können" (4. TB des JSB). Klingt nach EU-Mumpitz.
http://euobserver.com/9/24162, der Zugriff auf Webseite sei auf fünf "Experten" pro Mitgliedsstaat beschränkt. Zweck sei, so dort: "If you see that a web site is [already being] checked by another country, you can save energy".
InfoEx
Eine Anwendung zum Datenaustausch zwischen den Einzelstaaten und Europol.
Was das für Daten sind und wie das funktioniert, ist nicht bekannt; es wird aber gerade an einem Standard gearbeitet -- vielleicht ist ja an den ranzukommen?
Datenaustausch durch Europol:
Jahr |
Zahl der "Nachrichten" |
2000 |
35366 |
2001 |
45093 |
2002 |
70079 |
2003 |
96860 |
2004 |
155050 |
2005 |
183526 |
2006 |
210268 |
2007 |
260463 |
2008 |
283820 |
Aus diesem Datenaustausch ergeben sich "Fälle" (2007 etwa 7500), von denen je nach Jahr zwischen 20 und 30 Prozent im Drogenbereich liegen.
Augenscheinlich hängt das InfoEx irgendwie mit dem IS zusammen, diese "Anwendung" könnte also einfach ein Frontend zum IS sein, die "Nachrichten" (manuelle) Speicherungen und Abfragen im IS.
Siena
Soll InfoEx als zentrale Anwendung zum Datenaustausch ablösen. Laut Jahresbericht 2008 ist das aber noch nicht passiert.
EurOPs, Eracles
Im Jahresbericht 2005 erwähnte "Web-basierte" Systeme, die danach offenbar gleich wieder vergessen waren. Klingt nach irgendeinem Servlet-Mist ("using more modular and standardised components"), der nie irgendwas gemacht hat.
Weiteres
2009 hat Europol eine "Europe Bomb Database" ausgeschrieben, was immer das sein mag. Grundsätzlich mag sich ein Blick auf die Ausschreibungen von Europol lohnen.
Im Rahmen des 7. EU-Rahmenforschungsprogramms hat die EU 1.4 Milliarden Euro für "sicherheitsrelevante" Forschung reserviert. In diesem Rahmen ist Europol an verschiedenen Projekten beteiligt. "Odyssey" etwa ist ein Projekt mit dem Ziel einer "to design and develop a secure interoperable situation awareness platform for the EU to combat organised crime and terrorism [...] using advanced semantic knowledge extraction and data-mining techniques". Es geht in Wirklichkeit wohl nur um Schusswaffen. Die EU zahlt 2.4 Millionen. Weil es ein EU-Projekt ist, wird er Kram wohl nie laufen, aber die Kooperationspartner mögen aufschlussreich sein: Neben Europol sind das Sheffield Hallam Uni, Forensic Pathways Ltd, West Midlands Police, SAS Software Ltd (UK), Atos Origin (E), XLAB (SLO), SESA (A), Politecnico di Milano, Servizio Polizia Scientifica (I), die Kgl. Militärakademie aus Belgien und der Police Forensic Service aus Irland.
Technische Details
Europol spricht von einer "mobile office capability", es gibt also offenbar mehr oder minder öffentlich zugängliche Schnittstellen zu Europol-IS. Es könnte aber auch sein, dass der Kram unter dem Schlagwort sTesta läuft und auf irgendeine Sorte von privatem Netzwerk aufsetzt -- bohrt wer nach?
An verschiedenen Stellen spricht Europol von "attachments" an irgendwelchen Daten, die sie so haben -- einerseits klingt das nach Freitext on steroids, andererseits aber auch immerhin nach nicht suchbar.
Auskunftsrecht
Das Auskunftsrecht ist einer der Punkte, an denen eine tendenziell geheimpolizeiliche Note von Europol besonders spürbar wird. Zwar gibt es grundsätzlich ein Auskunftsrecht (nach Art. 19/29), das sich einerseits "kostenlos" und andererseits an nationalstaatlichen Regelungen orientiert sein soll (da hat wohl wer bei der Redaktion geschlafen). Dieses Auskunftsrecht ist aber eingeschränkt nicht nur durch die übliche Staats- und Polizeisicherheit, sondern auch durch "Rechte und Freiheiten Dritter" -- dabei sind der Fantasie kaum Grenzen gesetzt.
Noch dramatischer ist, dass "unmittelbar betroffene Mitgliedsstaaten" unter nicht ganz klaren Voraussetzungen Einspruch gegen die Auskunft einlegen können. Die Auskunft unterbleibt ohne Hinweis auf den Einspruch, die Kommunikation von Europol darf stattdessen keinen Hinweis enthalten, dass gespeichert wird.
Diese atemberaubende Verletzung informationeller Selbstbestimmung wird garniert von der Möglichkeit des JSB, eine solche Verweigerung mit Zweidrittelmehrheit zu überstimmen. Das ist offenbar noch nicht passiert.
Zahlen: 2008 135 Auskunftsersuchen -- Kinder, das können wir verzehnfachen, oder?
Geschichte
Europol wurde mit dem Maastricht-Vertrag 1992 erfunden, wohl auch mit dem Gedanken im Hintergrund, dass sich irgendwer um gefälschte Euronoten würde kümmern müssen.
Bereits während des Aufbaus von Europol wurde intensiv über wunderbare Rechner-Infrastruktur fantasiert, wie etwa in einem Cilip-Artikel von 1998 zu lesen ist.
Europol wird seit 1998 von einer Datenschutzbehörde überwacht, ahem, "begleitet".
Die EDV-Entwicklung muss unglaublich chaotisch verlaufen sein. Ein paar Zitate:
"Because of the lack of a test platform and resources, no test has yet been carried out." (JB 2003)
"However, it was not delivered due to the under-estimation of the number of problems that would arise and/or the overestimation of the Consortium's capacity to deliver" (JB 2003)
"The development of the EIS was delayed due to unexpected technical problems (anomalies) that could not be handled by the Consortium in the planned time schedule. The bankruptcy of one of the sub-contractors of the Consortium caused additional problems in re-structuring the project architecture." (JB 2002)
2004 wurde mit dem Haager Programm (vgl. Datenbanken EU) das "Prinzip der Verfügbarkeit" (von Daten) verkündet. "Verfügbarkeit" folgendermaßen beschrieben: "[...] Europol-Beamte, die Informationen zur Erfüllung ihrer Aufgaben benötigen, sollten diese von einem anderen Mitgliedstaat erhalten, wenn sie dort verfügbar sind." Für Europol heißt das, dass Zugriff auf nationale Daten im Wesentlichen ein technisches Problem ist (aber zum Glück vorläufig geblieben ist).
Ernsthafte Datenbanken -- also über Klickibunti-Kram auf Access-Niveau, nämlich das vom "Mining-Spezialisten" rola bereitgestellte iBase, hinaus -- bei Europol wurden so offenbar erst Ende 2005 in Betrieb genommen, vermutlich als stark reduzierte Eigenentwicklung ("EISA"), die wie es scheint selbst Schrott ab Werk war. Offenbar konnten, wenn überhaupt, Daten nur per Hand eingegeben werden. Im 2007er-Jahresbericht steht kaum verklausuliert: "In 2007 Europol made significant investments in the redesign and replanning of the network architecture". Ab diesem Zeitpunkt beginnen automatische Übertragungen in das IS.
Auch der Umstand, dass 2008 erst die Version 1.5 der Betriebssoftware erreicht (laut JB 2008) wurde, spricht dafür, dass Europol noch weit von einem ernstzunehmenden Datenkrakenstatus entfernt ist. Auch 2008 ist ein automatischer Datentransfer aus einzelstaatlichen Datenbanken nur für acht Staaten vorgesehen.
Austausch im Drittstaaten
Europol tauscht auch Daten mit Drittstaaten aus. Details? Mit wem gibts Verträge? Was steht drin?
4. TB des JSB: Im Okt 2008 Diskussion um Verträge mit Russ. Föderation und Israel; bzgl. Israel wenig Bedenken, bzgl. Russland "Bitte um zusätzliche Informationen".
(Regelung in Art. 3(3) eines Rechtsakts des Rats vom 12.3.1999 (Übertragung) und Art. 2(4) eines Rechtsakts des Rats vom 3.11.1998 (Empfang))
Aufsicht
Die nationalen Kontrollinstanzen (für die BRD z.B. der BfDI) dürfen nach Art. 23/32 prüfen, ob Datenübermittlungen und -abrufe ihrer Behörden in Ordnung waren und dürfen dazu bei den nationalen Verbindungsbeamten vorbeischauen.
Die Arbeit von Europol selbst überwacht nach Art. 24/33 eine extra "Aufsichtsbehörde" aus maximal je zwei staatlichen DatenschützerInnen der Mitgliedsstaaten, den JSB (Joint Supervisory Body oder Gemeinsame Kontrollinstanz GKI). Tätigkeitsberichte auf Deutsch gibts beim BfDI. Der JSB hat ein eigenes Sekretariat, tagt etwas weniger als monatlich und unterhält Arbeitsgruppen, etwa zu Errichtungsanordnungen für Analysedateien oder Beziehungen zu Drittstaaten..
Der JSB ist noch erheblich konzillianter als die üblichen Datenschutzbehörden. Das mögen vielleicht folgende Zitate illustrieren, alle aus dem 4. TB der JSB:
- Datenschutz "verringert nicht die Wahrscheinlichkeit, dass Europol seine langfristigen Strafverfolgungsziele erreicht, sondern erhöht sie."
- "[...] mit einer klaren Aufgabenverteilung zwischen den Beteiligten, mit gegenseitiger Zusammenarbeit und gegenseitigem Vertrauen [lässt sich] erreichen, dass die laufende Umsetzung der Datenschutzgrundsätze effizient und ohne Nachteile [sic!] für die Rechte und Freiheiten des Einzelnen erfolgt."
- "Für die betroffenen Personen stell[en Beschwerden dies ein sehr wichtiges Rechtsmittel dar. In den letzten zehn Jahren wurden sieben Beschwerden eingelegt und untersucht." ... "In den letzten beiden Jahren wurde eine Entscheidung getroffen;"
- "Hier sollte Erwähnung finden, dass Europol für die Errichtungsanordnungen eine Mustererrichtungsanordnung verwendet, die nach Beratungen mit der GKI eingeführt wurde." [Die sind auch noch stolz darauf!]
- "Aufgrund dieser Erfahrungen konnte die GKI zu einem verlässlichen und konstruktiven Partner für Europol [...] werden."
- die weitgehenden Rechte von Europol machten "zwingend Investitionen in hinreichende Schutzmechanismen erforderlich, mit denen sichergestellt wird, dass Daten nur dann verarbeitet werden, wenn sie einen Beitrag zur Zielsetzung von Europol leisten können." [sic! das ist der einzige Maßstab, der dem JSB einfällt!]
- "Um eine offene und aktive Haltung gegenüber Europol zu ermöglichen, [...]"
- "[...] Dienstleistungen von hoher Qualität zum Schutz der personenbezogenen Daten bei Europol bereitstellen [...]"
Nach Übergang von Konvention auf Ratsbeschluss tritt dazu noch ein in Art. 27 Ratsbeschluss avisierter "Datenschutzbeauftragter", der u.a. das skandalöse Auskunftsrecht bei Europol verwalten darf. Talk about shitty jobs.
Speziell die deutsche Vertretung lässt auch nichts Gutes erwarten -- §6 EuropolG sieht vor, dass der deutsche Vertreter "Befähigung zum Richteramt" haben muss -- damit wäre technische Kompetenz schon fast ausgeschlossen. Der Vertreter selbst wird vom BfDI ernannt, seine beiden Stellvertreter ausgerechnet vom Innenministerium. Das werden garantiert tapfere Streiter für Bürgerrechte sein, klar.
Links
Publikationen, insbesondere Jahresberichte; Der Kram ist zu 90% freischwebendes EU-Machergeschwurbel, das eher auf Produktion destillierter heißer Luft schließen lässt. Mit Geduld findet man aber doch da und dort ein Faktoidchen.