FM4-Logo

jetzt live:

Aktueller Musiktitel:

Großes Förderband einer Erzmine als Symbolbild für Data-Mining

CC0 via Pixabay

Erich Moechel

Kontroverse um Data-Mining durch Europol spitzt sich zu

Die europäische Polizeibehörde hat mehrere Petabyte an Daten zum Zweck des Data-Minings auf Vorrat gespeichert, die sie von Rechts wegen löschen müsste. Gegen die Löschanordnung des EU-Datenschutzbeauftragten geht die französische Ratspräsidentschaft vor.

Von Erich Moechel

Vor dem Start der Trilog-Verhandlungen zur Finalisierung der neuen Europol-Verordnung spitzt sich die Kontroverse zwischen dem Europäischen Datenschutzbeauftragten und Europol zu. Anfang Jänner hatte der Datenschutzbeauftragte angeordnet, dass Europol seine überbordende Datensammlung bereinigen müsse.

Update 31. 1. 10:30

In den den folgenden beiden Absätzen zur Zusammensetzung der fraglichen Datenkonvolute wurden Korrekturen angebracht, vor allem was die Gewichtung der einzelnen Hauptbestandteile betrifft.

Verlangt wird dabei die Löschung von personenbezogenen Datensätzen im Petabyte-Bereich, die keinerlei Bezug zu konkreten Straftaten aufweisen. Diese riesigen Datensätze hatte Europol mit Software der Datamining-Firma Palantir nach unbekannten Kriterien jahrelang ausgewertet. Die französische Ratspräsidentschaft will diese Löschanordnung im Trilog mit einer Ausnahmeregelung noch zu Fall bringen.

Screenshot aus Dokument

France22

Nur die Einleitung dieses Dokuments der französischen Ratspräsidentschaft, das von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht wurde, ist auf Französisch. Hier geht es um den von Frankreich neu vorgeschlagenen Artikel 74a und wie der im Zusammenspiel mit dem vom EU-Parlament formulierten Artikel 18a benutzt werden könnte, um die Löschanordnung des EU-Datenschutzbeauftragten auszuhebeln. Der eigentliche Text ist eine sogenannte Vierspaltenversion auf Englisch, in der die Textversionen von Kommission, Ministerrat und Parlament nebeneinander stehen. Die vierte Spalte beinhaltet die Lösungsvorschläge der Ratspräsidentschaft. Das Dokument selbst ist vom 24. Jänner, also durchaus frisch.

Unspezifizierte Datenkonvolute

Die französische Ratspräsidentschaft war gleich zu Beginn dadurch aufgefallen, dass sie in ihrer offiziellen Website einen Tracker einer französischen Datenhandelsfirma integriert hat.

Die Anordnung des Datenschutzbeauftragten der Union, Wojciech Wiewiorowski, betrifft große Datensätze, die Rahmen von polizeilichen Ermittlungen bei Europol anfallen. Diese „Bulk Data“ stammen mehrheitlich aus den nationalen polizeilichen Datensammlungen von EU-Mitgliedsstaaten, da Europol ja Dienstleister für europäische Polizeibehörden im Bereich Datenbanken und Informationssysteme ist. Dazu kommen Daten von allen möglichen „Third Parties“, nämlich aus Firmen und von Finanzsystemen. Einen ganz erheblichen Anteil machen auch Datensätze aus Drittstaaten aus, denn sie werden im Text der Ratspräsidentschaft mehrfach betonend erwähnt.

All das sind unspezifizierte Datenkonvolute, die fast ausschließlich aus personenbezogenen Daten Unbeteiligter zusammengesetzt sind, die in keinem Zusammenhang zu irgendwelchen Straftaten stehen. Und diese Unmengen an Datensätzen, die eben keiner konkreten Straftat zugeordnet werden können, werden bei Europol dauerhaft gespeichert. Das einzige zeitliche Kriterium für diese Vorratsdatenspeicherung ist laut Europol „solange es zur Unterstützung für eine bestimmte Untersuchung notwendig und angemessen ist“.

Screenshot aus Dokument

EDPS

Aus der Anordnung des EU-Datenschutzbeauftragten an Europol. Alle Datensätze, die binnen eines halben Jahres keiner bestimmten Straftat zugeordnet werden können - das ist mit „Data Subject Categorisation“ gemeint - müssen gelöscht werden, heißt es da.

Keine Kriterien, keine Kontrollen

EU-Kommission wie Parlament stufen KI-Anwendungen für Strafverfolger als Hochrisikoprojekte ein.

Genau hier hakt der Datenschutzbeauftragte ein. Von Europol werde kein Zeitlimit für die Auswertung dieser Daten gesetzt, heißt es in seiner Stellungnahme, erst wenn die Auswertung abgeschlossen sei und sich keine Zuordnung zu einer konkreten Straftat ergeben habe, würden sie laut Europol gelöscht. „Das Fehlen einer Deadline dafür bedeutet im Prinzip, dass der Auswertungsprozess Jahre dauern kann“, wird angemerkt, ebenso fehle eine Definition der Kriterien für die Notwendigkeit der Speicherung dieser Daten. Das heißt, alleine Europol kann bestimmen, was da wie lange gespeichert und nach welchen Kriterien ausgewertet wird.

Diese Datenverarbeitungen sind also bar jeder Kontrollmöglichkeit durch Aufsichtsorgane wie den Datenschutzbeauftragten, denn wo Kriterien fehlen, ist ihre Einhaltung auch nicht zu kontrollieren. In dieser Beziehung ähnelt Europol einer Art von System, das seine eigenen Datenverarbeitungskriterien vorgibt, wodurch die jeweiligen Entscheidungen für Außenstehende nicht nachvollziehbar sind. Ein solches System ähnelt strukturell weit eher einem Geheimdienst, als einer Polizeibehörde, als solche ist Europol aber definiert.

Screenshot aus Dokument

EDPS

Diese vielsagende Passage stammt ebenfalls aus dem Schreiben des Datenschutzbeauftragten an Europol und wirft mehr Fragen auf, als sie beantwortet. Welche neue, technische Lösung auch immer sich hinter den schwarzen Balken im Screenshot oben verbirgt, es ist davon auszugehen, dass hier statt Palantir eben ein anderer Firmen- bzw. Produktname steht. Warum stuft der Datenschutzbeauftragte der Union ausgerechnet diese Information als für eine breitere Öffentlichkeit ungeeignet ein?

Data-Miner und Datenschützer

Unter den Sicherheitsauflagen der Kommission für EU-geförderte Big-Data-Projekte samt „Künstlicher Intelligenz“ steht Geheimhaltung an oberster Stelle.

Aus dem Screenshot oben geht recht klar hervor, was mit diesen immensen Datensätzen bei Europol neben gezielten, strafrechtlichen Ermittlungen sonst noch passiert. Bis Ende 2021 wurde Software des Unternehmens „Palantir“ eingesetzt, das ist das Flagschiff des Konzerns von Dot.com-Milliardär Peter Thiel im Bereich „Big Data“ . Das heißt, es werden unterschiedlich strukturierte mit unstrukturierten Datensätzen zusammengeführt und durch KI-Anwendungen analysiert. Anders gesagt: Auf ein kunterbuntes Konvolut von massiven Datensätzen wurden Algorithmen losgelassen, die nach bis dahin unbekannten Zusammenhängen und Konstellationen suchen sollen. Und dafür braucht es erst einmal die „Big Data“ selbst und dіe hat Europol zu diesem Zweck über die Jahre akkumuliert.

Diese überbordende Datensammlung und die Analyse nicht-kategorisierter Datensätze mithilfe von Algorithmen verstoße gegen die Datenschutzgrundverordnung und die Grundrechte-Charta der EU, schreibt Douwe Korff, emeritierter Professor für internationales Recht an der London Metropolitan University in seiner Analyse für European Digital Rights, den Dachverband europäischer Bürgerrechtsorganisationen. „Es ist inzwischen klar, dass Europol den Austauschprozess mit dem Europäischen Datenschutzbeauftragten, der bereits zwei Jahre läuft, absichtlich verzögert hat. Nun verlangt man noch einen weiteren Aufschub, bis die neue Europol-Verordnung in Kraft getreten ist“, so Korff. Zu befürchten sei jetzt, dass die EU-Institutionen versuchen werden, diese Vorgangsweisen in der kommenden Verordnung zu legalisieren.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: