8609
Kommentar: Ratsdokument 8505/09: Die Mühen der Etappe
|
12470
Inhaltsverzeichnis
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 1: | Zeile 1: |
Nicht an sich eine Datenbank, sondern ein Vertrag zwischen etlichen EU-Staaten zum Austausch von Daten aus nationalen |
<<TableOfContents>> = Vertrag von Prüm = Der Vertrag von Prüm ist bicht an sich eine Datenbank, sondern ein Vertrag zwischen etlichen [[Datenbanken EU|EU]]-Staaten zum Austausch von Daten aus nationalen |
Zeile 4: | Zeile 7: |
verschiedenen Behörden im Bereich von Repression und Migrationskontrolle | verschiedenen Behörden im Bereich von Repression und [[Datenbanken gegen MigrantInnen|Migrationskontrolle]] |
Zeile 12: | Zeile 15: |
== Geschichte == |
|
Zeile 13: | Zeile 18: |
Fortschritte bei [[SIS]] II zwischen der BRD, Spanien, Frankreich, Österreich und den Beneluxstaaten geschlossen. Ende 2009 haben laut BtD 16/14120 14 EU-Staaten Prüm unterzeichnet. |
Fortschritte bei [[SIS]] II zwischen der [[Datenbanken der Bundespolizeien|BRD]], [[Datenbanken Spanien|Spanien]], [[Datenbanken Frankreich|Frankreich]], [[Datenbanken Austria|Österreich]] und den Beneluxstaaten geschlossen. Ende 2009 haben laut <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> 14 [[Datenbanken EU|EU]]-Staaten Prüm unterzeichnet. |
Zeile 19: | Zeile 25: |
* Das BKA ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten, aber bemerkenswerterweise nicht in seiner Eigenschaft als SIRENE-Büro. * Das Kraftfahrt-Bundesamt ist (als Betreiber von ZEVIS) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen nach außen wieder vom BKA behandelt werden. * Das BKA darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, "im Einvernehmen" mit diesen. * Eine Ergänzung der Errichtungsanordnung der [[DAD]], um den Protokolierungspflichen aus Prüm nachzukommen [Kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des Datenschutzes!] |
* Das [[Datenbanken BKA|BKA]] ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten, aber bemerkenswerterweise nicht in seiner Eigenschaft als [[SIRENE]]-Büro. * Das Kraftfahrt-Bundesamt ist (als Betreiber von [[ZEVIS]]) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen nach außen wieder vom BKA behandelt werden. * Das [[Datenbanken BKA|BKA]] darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, "im Einvernehmen" mit diesen. * Eine Ergänzung der Errichtungsanordnung der [[DAD]], um den Protokolierungspflichen aus Prüm nachzukommen (''Kaum zu glauben: [[Datenbanken EU|EU]]-Gesetze erzwingen eine Stärkung des [[DatenSchutz|Datenschutzes]]!'') |
Zeile 26: | Zeile 32: |
= Biometrie = | == Biometrie == |
Zeile 29: | Zeile 35: |
Mitgliedsstaaten Dateien mit Biometrie, insbesondere genetische und | Mitgliedsstaaten Dateien mit [[Biometrie]], insbesondere genetische und |
Zeile 44: | Zeile 50: |
= Gipfel und so = | [[http://register.consilium.europa.eu/pdf/en/09/st15/st15870.en09.pdf|Ratsdokument 15870/09]] enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien so an Markern übertragen sollen, den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge false positives führen muss (denn die Features sind ja nicht gleich verteilt). Der 2010 verabschiedete ESS D3S1358 enthält nun die zwölf Marker D3S1358, VWA, D8S1179, D21S11, D18S51, HUMTH01, FGA, D1S1656, D2S441, D10S1248, D12S391, D22S1045. == Gipfel und so == |
Zeile 57: | Zeile 67: |
Auch ohne bzw. vor Prüm hat das BKA unter Rückgriff auf §14 BKAG Daten ins | Auch ohne bzw. vor Prüm hat das [[Datenbanken BKA|BKA]] unter Rückgriff auf §14 BKAG Daten ins |
Zeile 61: | Zeile 71: |
= Sonstiges = | == Technische Umsetzung versus Rechtslage == |
Zeile 68: | Zeile 78: |
die ZEVIS-Bestände. | die [[ZEVIS]]-Bestände. |
Zeile 70: | Zeile 80: |
Bemerkenswert sind die Anmerkungen zum Datenschutz, die deutlich eine | == Datenschutz == Bemerkenswert sind die Anmerkungen zum DatenSchutz, die deutlich eine |
Zeile 77: | Zeile 89: |
protokollieren. Wer auf ein Auskunftsersuchen Mitteilungen | protokollieren. Wer auf ein AuskunftErsuchen Mitteilungen |
Zeile 80: | Zeile 92: |
Das Auskunftsrecht wird ebenfalls weitgehend nach deutschem Muster in | === Auskunftsrecht === Das [[RechtsLage/Auskunftsrecht|Auskunftsrecht]] wird ebenfalls weitgehend nach deutschem Muster in |
Zeile 84: | Zeile 98: |
stellen an die nationalen Kontaktstellen; für die BRD ist das das BKA bzw. für ZEVIS-Daten Flensburg. |
stellen an die nationalen Kontaktstellen; für die [[Datenbanken der Bundespolizeien|BRD]] ist das das [[Datenbanken BKA|BKA]] bzw. für [[ZEVIS]]-Daten Flensburg. |
Zeile 87: | Zeile 101: |
= Umsetzung = | == Umsetzung == |
Zeile 89: | Zeile 103: |
BtD 16/14120 berichtet Ende 2009, die BRD tausche auf Prüm-Grundlage | Was den (relativ billigen) Datenaustausch zu Gipfeln u.ä. angeht, soll Prüm 8/2009 operativ gewesen sein. Wirklich prüfen kann das wohl niemand. Für den Rest (also die Kreuzabfragen der Datenbanken) ist der 26.8.2011 Deadline. <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> berichtet Ende 2009, die BRD tausche auf Prüm-Grundlage |
Zeile 96: | Zeile 113: |
2009 [[http://www.statewatch.org/news/2009/nov/eu-council-prum-implementation-16623-09.pdf|jammert die österreicheische Delegation bei Rat]]: "in some Member States the implementation of the Prüm Decision is seriously delayed," offenbar seien sich nicht alle Mitgliedsstaaten im Klaren über die Komplexität des Vorhabens. Ansonsten gibt das Papier Wunderdinge über gegenseitigen Datenzugriff an, die nicht verträglich mit den Auskunften aus BtD 16/14120 sind: Unter anderem sollen KfZ-Daten bereits zwischen be, de, es, fr, lu, nl und at ausgetauscht werden. Bei DNA-Profilen seien auch ro und bg dabei. | 2009 [[http://www.statewatch.org/news/2009/nov/eu-council-prum-implementation-16623-09.pdf|jammert die österreicheische Delegation bei Rat]]: "in some Member States the implementation of the Prüm Decision is seriously delayed," offenbar seien sich nicht alle Mitgliedsstaaten im Klaren über die Komplexität des Vorhabens. Ansonsten gibt das Papier Wunderdinge über gegenseitigen Datenzugriff an, die nicht verträglich mit den Auskunften aus <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> sind: Unter anderem sollen KfZ-Daten bereits zwischen be, de, es, fr, lu, nl und at ausgetauscht werden. Bei DNA-Profilen seien auch ro und bg dabei. |
Zeile 104: | Zeile 121: |
systematically"; [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewach-Kommentar dazu]]). | systematically"; [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewach-Kommentar dazu]]). 2010 war die Situation so weit eskaliert, dass der Rat in der [[http://www.statewatch.org/news/2010/mar/eu-prum-limited-searches-5860-rev1-10.pdf|Ratsmitteilung 5860/1/10]] recht enge Richtwerte bekannt gibt, die sich die MS so gewünscht haben. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Partner haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Partner zulassen. Das bedeutet angesichts der Zahlen von [[AFIS]], dass die [[SIS]]-Praxis, einfach mal europäische Datenbanken mit abzufragen, für Prüm nicht fliegen wird. Ende 2010 gabs mal wieder ein [[http://register.consilium.europa.eu/pdf/en/10/st15/st15567.en10.pdf|Dokument zum State of Play]], dass DNA-Kreuzabfragen zwischen bg, de, es, fr, lu, nl, at, ro, sl, und fi gehen, Fingerabdruck-Abfragen zwischen de, es, at, lu und sl sowie Kennzeichen-Geschichten zwischen be, de, es, fr, lu, nl, und at. Das passt nicht recht zu den Asymmetrien, die vorher angegeben wurden. In dem Dokument werden weiter nach Datenkategorie aufgeschlüsselt die Ausreden der nicht implementierenden Staaten angegeben ("problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common") und die üblichen Manager-Versuche beschrieben, mit dem Kram fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der ausgerechnet beim EDV-Katastrophenepizentrum [[Europol]] angesiedelt sein soll. Ende 2010 stellt Reinhard Schmidt (Österreich) in einem [[http://www.riseproject.eu/_fileupload/RISE%20Conference/Presentations/Reinhard%20Schmid.pdf|Vortrag über internationalen DNA-Austausch]] vor, wie Prüm-Abfragen zu dem Zeitpunkt funktionieren (Folie 14): Im Wesentlichen läuft dabei über das kommissionseigene sTESTA-Netz irgendein XML-basiertes Austauschprotokoll, während die nationalen Behörden mit dem Gateway in sTESTA per Mail (also SMTP und POP) kommunizieren. Warum die Mails nicht einfach so durch das Gateway können, verrät er nicht. |
Zeile 108: | Zeile 137: |
BtD 16/14120 hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach | <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach |
Zeile 117: | Zeile 146: |
Bei Fingerabdrücken hat die BRD einen Außenhandelsüberschuss, d.h. Österreich | Bei Fingerabdrücken hat die [[Datenbanken der Bundespolizeien|BRD]] einen Außenhandelsüberschuss, d.h. [[Datenbanken Austria|Österreich]] |
Zeile 120: | Zeile 149: |
Migrationskontrolle (unter den 325 Matches, die die BRD aus Österreich | Migrationskontrolle (unter den 325 Matches, die die BRD aus [[Datenbanken Austria|Österreich]] |
Zeile 124: | Zeile 153: |
Die ZEVIS-Leute haben 2009 noch keine Statistiken auf Reihe bekommen. | Die [[ZEVIS]]-Leute haben 2009 noch keine Statistiken auf Reihe bekommen. |
Zeile 129: | Zeile 158: |
= Referenzen = | == Referenzen == |
Inhaltsverzeichnis
Vertrag von Prüm
Der Vertrag von Prüm ist bicht an sich eine Datenbank, sondern ein Vertrag zwischen etlichen EU-Staaten zum Austausch von Daten aus nationalen Repressionsdatenbanken sowie zur verstärkten Zusammenarbeit der verschiedenen Behörden im Bereich von Repression und Migrationskontrolle (z.B. grenzüberschreitende Einsätze).
Inzwischen (Ratsbeschlüsse 2008/615/JHA und 2008/616/JHA) vom 23.6.2008 sind größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht worden. Insbesondere sollen die Daten ab 2011-08-26 zwischen allen Mitgliedsstaaten munter fließen.
Vgl. auch Datenbanken EU.
Geschichte
Der Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden Fortschritte bei SIS II zwischen der BRD, Spanien, Frankreich, Österreich und den Beneluxstaaten geschlossen. Ende 2009 haben laut BtD 16/14150 14 EU-Staaten Prüm unterzeichnet.
In deutsches Recht überführt wird der Vertrag durch ein Ausführungsgesetz namens PrümerVtrG. Es sieht zusätzlich zu den Regelungen von Prüm vor:
Das BKA ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten, aber bemerkenswerterweise nicht in seiner Eigenschaft als SIRENE-Büro.
Das Kraftfahrt-Bundesamt ist (als Betreiber von ZEVIS) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen nach außen wieder vom BKA behandelt werden.
Das BKA darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, "im Einvernehmen" mit diesen.
Eine Ergänzung der Errichtungsanordnung der DAD, um den Protokolierungspflichen aus Prüm nachzukommen (Kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des Datenschutzes!)
- Wenn es wirklich jemand schaffen sollte, Schadenersatz zu erstreiten, zahlt die BRD. Haha.
Biometrie
Prüm sieht vor, dass die Mitgliedsstaaten Dateien mit Biometrie, insbesondere genetische und daktyloskopische Fingerabdrücke, führen. In diesen können dann alle beteiligten Staaten ohne weitere Beteiligung nationaler Behörden suchen, bekommen aber im Fall eines Treffers zunächst nur eine pseudonyme Kennung und eine Einordnung (VerdächtigeR oder Tatortspur) zurück.
Die nationalen Behörden bekommen die Übereinstimmung mit (sowohl durch Mitteilung der suchenden Behörde als auch durch die Datenbank selbst) und übermitteln dann "nach innerstaatlichem Recht" vollständigere Daten, also etwa Identitäten, Falldaten oder wilde Spekulationen. Zuständig dafür ist die nationale Kontaktstelle.
Biometrische Daten sollen weiter in Rechtshilfe erfasst werden, wenn diese Erfassung in beiden Jurisdiktionen rechtmäßig wäre.
Ratsdokument 15870/09 enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien so an Markern übertragen sollen, den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge false positives führen muss (denn die Features sind ja nicht gleich verteilt). Der 2010 verabschiedete ESS D3S1358 enthält nun die zwölf Marker D3S1358, VWA, D8S1179, D21S11, D18S51, HUMTH01, FGA, D1S1656, D2S441, D10S1248, D12S391, D22S1045.
Gipfel und so
Artikel 14 erwähnt extra "Tagungen des europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative" zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr brauchen).
Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16) neben Identifikationsdaten auch "Tatsachen" (i.e., "war mal bei einer Demo).
Auch ohne bzw. vor Prüm hat das BKA unter Rückgriff auf §14 BKAG Daten ins Ausland verschoben. Es ist damit zu rechnen, dass es in Zukunft versuchen wird, Auskünften und Statistiken durch gezielte Umdefinition zu entkommen.
Technische Umsetzung versus Rechtslage
Der gegenseitige Zugriff auf die Fahrzeugregister erfolgt (immerhin ohne "Wildcards", Anfragen wie "alle Fahrzeuge mit ER-RA am Anfang" gehen also nicht) automatisch mit personenbezogenen Daten nach dem Recht des abfragenden Staates. Allerdings lief das 2009 offenbar noch praktisch gar nicht, der einzige funktionierende Zugriff war von einer Handvoll Länder auf die ZEVIS-Bestände.
Datenschutz
Bemerkenswert sind die Anmerkungen zum DatenSchutz, die deutlich eine "deutsche" Handschrift zeigen (etwa, was Löschung, Berichtigung oder Zweckbindung angeht). Die Artikel lesen sich teilweise wie aus deutschen Polizeigesetzen abgeschrieben. Angesichts des "Zwecks" der Übung ist allerdings die Zweckbindung nicht viel wert.
Die teilnehmenden Behörden müssen sämtliche Übermittlungen protokollieren. Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen erhält, möge sich bei uns melden.
Auskunftsrecht
Das Auskunftsrecht wird ebenfalls weitgehend nach deutschem Muster in Artikel 40 geregelt. Die Auskunft soll insbesondere enthalten "Herkunft, Empfänger oder Empfängerkategorien, den vorgesehenen Verarbeitungszweck und die Rechtsgrundlage". Auskunftsersuchen sind zu stellen an die nationalen Kontaktstellen; für die BRD ist das das BKA bzw. für ZEVIS-Daten Flensburg.
Umsetzung
Was den (relativ billigen) Datenaustausch zu Gipfeln u.ä. angeht, soll Prüm 8/2009 operativ gewesen sein. Wirklich prüfen kann das wohl niemand. Für den Rest (also die Kreuzabfragen der Datenbanken) ist der 26.8.2011 Deadline.
BtD 16/14150 berichtet Ende 2009, die BRD tausche auf Prüm-Grundlage DNA-Daten mit Österreich (seit 2006-12), Spanien (2007-05), Luxemburg (2007-05), Slowenien (2008-07) und den Niederlanden (2008-07) aus. Fingerabdrücke werden nur mit Österreich (seit 2007-07) ausgetauscht. Im KfZ-Bereich konnten zu diesem Zeitpunkt A, E, LUX, NL, F abfragen, die BRD aber nirgends.
2009 jammert die österreicheische Delegation bei Rat: "in some Member States the implementation of the Prüm Decision is seriously delayed," offenbar seien sich nicht alle Mitgliedsstaaten im Klaren über die Komplexität des Vorhabens. Ansonsten gibt das Papier Wunderdinge über gegenseitigen Datenzugriff an, die nicht verträglich mit den Auskunften aus BtD 16/14150 sind: Unter anderem sollen KfZ-Daten bereits zwischen be, de, es, fr, lu, nl und at ausgetauscht werden. Bei DNA-Profilen seien auch ro und bg dabei.
Selbst dort, wo es im Prinzip funktioniert, plätten die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Polizeien. Dies führt bereits 2008 zur Ratsmitteilung 148885/08, die versucht, Regeln aufzustellen, die Prüm-Abfragen zahlenmäßig begrenzen sollen (Abfragen in Fremdstaatensystemen "should not be predetermined systematically"; Statewach-Kommentar dazu).
2010 war die Situation so weit eskaliert, dass der Rat in der Ratsmitteilung 5860/1/10 recht enge Richtwerte bekannt gibt, die sich die MS so gewünscht haben. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Partner haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Partner zulassen. Das bedeutet angesichts der Zahlen von AFIS, dass die SIS-Praxis, einfach mal europäische Datenbanken mit abzufragen, für Prüm nicht fliegen wird.
Ende 2010 gabs mal wieder ein Dokument zum State of Play, dass DNA-Kreuzabfragen zwischen bg, de, es, fr, lu, nl, at, ro, sl, und fi gehen, Fingerabdruck-Abfragen zwischen de, es, at, lu und sl sowie Kennzeichen-Geschichten zwischen be, de, es, fr, lu, nl, und at. Das passt nicht recht zu den Asymmetrien, die vorher angegeben wurden. In dem Dokument werden weiter nach Datenkategorie aufgeschlüsselt die Ausreden der nicht implementierenden Staaten angegeben ("problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common") und die üblichen Manager-Versuche beschrieben, mit dem Kram fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der ausgerechnet beim EDV-Katastrophenepizentrum Europol angesiedelt sein soll.
Ende 2010 stellt Reinhard Schmidt (Österreich) in einem Vortrag über internationalen DNA-Austausch vor, wie Prüm-Abfragen zu dem Zeitpunkt funktionieren (Folie 14): Im Wesentlichen läuft dabei über das kommissionseigene sTESTA-Netz irgendein XML-basiertes Austauschprotokoll, während die nationalen Behörden mit dem Gateway in sTESTA per Mail (also SMTP und POP) kommunizieren. Warum die Mails nicht einfach so durch das Gateway können, verrät er nicht.
Zahlen
BtD 16/14150 hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach gab es bis 2009-09 rund 5000 DNA-Treffer bei Prüm-Abfragen. Fast alle davon lagen im Bereich von Trivialkriminalität oder Migrationskontrolle (rund 4800 der Treffer sind keiner der aufgeführten Bereiche von Schwerkriminalität zugeordnet). Zuordnungen von Spuren zu Personen sind dabei ungefähr so häufig wie Zuordnungen von Spuren zu Spuren ("hier haben wir eine Serie"). Viel seltener werden Personen Spuren aus dem Ausland zugeordnet.
Bei Fingerabdrücken hat die BRD einen Außenhandelsüberschuss, d.h. Österreich hat viel mehr Matches aus deutschen Datenbanken als die BRD aus österreichischen. Auch dabei dominiert Trivialkriminalität und Migrationskontrolle (unter den 325 Matches, die die BRD aus Österreich bekommen hat, waren 1 Vergewaltigung, 3 Straftaten gegen das Leben, 1 Misshandlung Schutzbefohlener, 3 schwerer Raub; dafür aber auch Sachbeschädigung, Beleidigung, Widerstand gegen Vollstreckungsbeamte...)
Die ZEVIS-Leute haben 2009 noch keine Statistiken auf Reihe bekommen.
Österreich gibt 2009 an, seit 2006-12-05 6930 Prüm-Treffer im DNA-Bereich, seti 2007-05-29 2490 Treffer bei Fingerabdrücken und seit 2008-09-18 614 Treffer im Kfz-Bereich gehabt zu haben, jeweils für Anfragen von Österreich nach draußen. Österreich selbst habe 6820 Anfragen bekommen. Aus wie vielen was geworden ist, sagen sie nicht.
Referenzen
- Umsetzungsgesetz: BGBl. I Nr. 32 vom 18.7.2006 S. 1485; es gibt Änderungen von 2009
http://register.consilium.europa.eu/pdf/en/09/st08/st08505.en09.pdf erzählt von den Mühen der Etappe: Interoperabilitätstests und ähnliches.