Datenschutzbeauftragte der EU gegen Data-Mining-Pläne der Kommission

Die 27 obersten nationalen Datenschützer und der EU-Datenschutzbeauftragte halten die Data-Mining-Verordnung gegen „Kindesmissbrauch im Netz“ für „gefährlicher für Bürger und die Gesellschaft als für Kriminelle“.

Von Erich Moechel

Kurz bevor Brüssel Anfang August in die Sommerpause ging, haben der Europäische Datenschutzbeauftragte Wojciech Wiewiorowski und die 27 obersten nationalen Datenschützer einen ungewöhnlichen Schritt gesetzt. In der vergangenen Woche wurde eine ausführliche und durchwegs negative Rechtsmeinung zu einem Verordnungserstentwurf abgegeben, für den es noch nicht einmal einen Berichterstatter gibt.

Der Entwurf aus dem Ressort von Kommissarin Ylva Johansson (Inneres) läuft unter dem Titel „Kampf gegen Kindesmissbrauch im Netz“. Tatsächlich sollen die Vorratsdatenspeicherung wieder eingeführt und sichere Verschlüsselung de facto verboten werden. Vor allem aber will Johansson anlassloses Data-Mining in Kommunikationen als neues polizeiliches Ermittlungsinstrument legalisieren.

„Gefährlicher für Bürger als für Kriminelle“

Der Europäische Datenschutzbeauftragte und der Datenschutzausschuss - das ist die ehemalige Artikel-29-Gruppe aller nationalen Datenschützer - sind der Meinung, dass dieser Vorschlag von Kommissarin Johansson „in seiner derzeitigen Form für die Bürger und damit für die Gesellschaft gefährlicher ist als für die Kriminellen“. „Durch fehlende Details, Klarheit und Präzision für die Umstände, unter denen eine Durchsuchungsbefehl wegen Verdachts auf Kindesmissbrauch“ erlassen werden könne, sei keinesfalls garantiert, dass nur gezielte Suchvorgänge nach solchem Material stattfinde.

Im Entwurf der Kommissarin werden weder der Anlassfall noch der Auslöser für einen solchen Durchsuchungsbefehl beschrieben, ebenso wenig geht er auf dessen Folgen ein. Völlig im Dunklen aber bleibt der Umfang dieser Datensätze, die über eine „Detection Order“ angefordert werden können, dann vom Provider auf Vorrat zu speichern sind, um sie im Anschluss darauf zu „durchsuchen“. Es müssen jedenfalls sehr große Datenmengen sein, gesucht wird nämlich nicht nach Personen, sondern nach Kommunikations- und Verhaltensmustern. Es „suchen“ hier auch keine Strafverfolger, sondern KI-Algorithmen, und was sie als Treffer auswerfen, genügt als Anfangsverdacht für weitere Ermittlungen.

„EU Centre“ als Umgehungskonstruktion

Das alles verschweigt diese Verordnung nämlich konsequent, wie auch die Mittel und Methoden, die zwangsläufig eingesetzt werden müssen, um die im Text definierten Ziele zu erreichen. Rund um den Auslöser für eine solche „Detection Order“, die WhatsApp, Gaming Websites und sogar Telekoms verpflichtet, Datensätze in massivem Umfang an die Strafverfolger zu übermitteln, wird der Text gar wolkig - und ausufernd in den Forderungen. Wenn bei einer nationalen Polizeibehörde ein Fall von Verbreitung sogenannter Kinderpornografie über ein beliebiges soziales Netzwerk oder einen Gaming Chatroom angezeigt wird, tritt ein neu zu schaffendes „EU Centre“ in Aktion.

Für diese neue EU-Behörde in Den Haag mit etwa 100 Mitarbeitern wird bereits jetzt ein neues Datennetz mit Knoten in allen Mitgliedsstaaten aufgebaut. Die Kommission hat bereits einen Fonds zum Netzaufbau in den Mitgliedsstaaten eingerichtet, obwohl es derzeit keine Rechtsgrundlage dafür gibt. "Das EU Centre wird Datenbanken mit Indikatoren von sexuellem Missbrauch an Kindern einrichten und betreiben, die alle Provider verpflichtend nützen müssen, um einem Durchsuchungsbefehl Folge zu leisten“, heißt es im Begleitdokument zum Entwurf der Kommission.

„Kein Zugang zu Europol-Informationssystemen“

Diese „EU Centre“, das vor allem technische Dienstleistungen für Europol und die Mitgliedsstaaten erbringen soll, womit umfangreiche Zugriffsrechte auf Europol-Datenbanken die Voraussetzung sind, sieht in der Beschreibung der Kommission überhaupt nicht wie eine Polizeibehörde, sondern wie ein Geheimdienst aus. Das Centre soll nämlich Aufgaben wahrnehmen, die von den erweiterten Befugnissen für Europol - siehe Link - nicht gedeckt sind. Es sei „von absoluter Wichtigkeit, dass dieses Zentrum am selben Ort etabliert ist wie sein engster Partner Europol“, heißt es. „Den hochsensitiven Berichten, die das Centre an Europol weitergibt und die technischen Auflagen wie etwa, dass für die Übermittlung sichere Leitungen vorausgesetzt werden“, würde "eine gemeinsame Location von Europol und dem EU-Zentrum entgegenkommen“.

Diese Centre ist de facto nichts anderes als eine neue, ausgelagerte Europol-Technikabteilung, aber keine Polizeibehörde und fiele dadurch auch nicht unter die Auflagen der Europol-Verordnung. Aus diesem Grund dürfe das Centre „unter keinen Umständen direkten Zugang zu den Informationssystemen Europols erhalten“, schreiben die Datenschützer (siehe Screenshot in der Mitte). Damit steht und fällt aber die gesamte Umgehungskonstruktion, die sich Ministerrat und Kommission haben einfallen lassen. Die Datenschutzbeauftragten sehen nämlich die Gefahr, dass diese Verordnung „die Basis für eine allgemeine ... Durchleuchtung praktisch aller elektronischen Kommunikationen“ werden wird. Empfohlen wird deshalb eine „Überarbeitung“ der Verordnung, damit sie „keinesfalls zur einer allgemeinen Degradierung von Verschlüsselung führt.“