In Brüssel hat das Match um Data-Mining begonnen

Den Auftakt dafür setzte der oberste EU-Datenschutzbeauftragte mit seiner Klage gegen zwei Gummiparagraphen in der Europol-Verordnung.

Von Erich Moechel

Die Klage des EU-Datenschutzbeauftragten (EDPS) gegen zwei Artikel der Europol-Reform, die am Donnerstag veröffentlicht wurde, ist ein Novum. Neu daran ist, dass eine gerade beschlossene Verordnung vor den EU-Gerichtshof zitiert wird. Dabei wird die Verarbeitung von Daten erlaubt, die Europol nicht dauerhaft speichern dürfte.

Europol gibt nicht bekannt, woher diese 4.000 Terabyte personenbezogener Daten stammen. Allein die Menge lässt nur einen Speicherzweck erkennen, nämlich Data-Mining. So massive, aktuelle Datensätze fallen nur im SWIFT-Finanztransaktionsystem und in den PNR-Systemen für Flugpassagierdaten an, aber nicht bei Strafverfolgern. Auf SWIFT-Europa hat Europol direkten Zugriff.

Woher stammen vier Petabyte an Daten?

Der EU-Datenschutzbeauftragte warnte am Donnerstag, dass sein Büro unter dieser schwammig formulierten Regelung durch die beiden Gummiparagraphen die Aufgaben nicht mehr erfüllen könne, für die der Posten des EU-Datenschutzbeauftragten eingerichtet wurde. Die primäre Aufgabe des EDPS ist es, die gesamte EU-Bürokratie auf Einhaltung der Datenschutzgrundverordnung zu überprüfen. Er hat also eine ähnliche Rolle wie das „Privacy and Civil Liberties Oversight Board“ (PCLOB) im US-Kongress. Offenbar erhält der EDPS ebenfalls keine näheren Informationen von Europol über die Herkunft dieser auf Vorrat gespeicherten Daten. Bis jetzt ist immer nur von „Daten aus den Mitgliedsstaaten“ die Rede.

Durch die Ende Mai verabschiedete neue Europol-Verordnung wurde die Analyse massiver personenbezogener Datensätze durch Data-Mining-Methoden zu einem legitimen polizeilichen Ermittlungsinstrument. Das betrifft allerdings nur die Verarbeitung solcher Datensätze, die Europol im Rahmen seiner Aufgabe zur Unterstützung der Strafverfolger in den Mitgliedsstaaten EU-rechtskonform erhält. Im Regelfall sind das Daten, die im Rahmen von polizeilichen Ermittlungen anfallen, die Datenvolumen können dabei sehr unterschiedlich sein. Es handelt sich jedenfalls um weitgehend unstrukturierte Daten. Auf massive Datensätze im Petabyte-Bereich wie im aktuellen Fall kommt Europol allein mit diesen Daten aber nicht, das kann mit großer Sicherheit angenommen werden.

Was bei Europol in etwa an Daten anfällt

Was da an Ermittlungsdaten beі Europol aus grenzüberschreitenden Kriminalfällen routinemäßig anfällt, ist eine sehr heterogene Mischung etwa aus Vernehmungs- und Bewegungsprotokollen, Auszügen aus Vorstrafenregistern, Meldedaten, Indizienketten, Chatverläufen, Flughistorien, E-Mail-Korrespondenzen samt Beilagedokumenten, in manchen Fällen aus Photos und Videos usw. Doch neben diesen völlig unterschiedlich strukturierten Ermittlungsdaten aus 27 verschieden Polizeisystemen gibt es noch anderen Datensätze, die routinemäßig in den Europol-Systemen verarbeitet werden. Im Rahmen des transatlantischen TFTP-Vertrags zieht Europol nämlich auf monatlicher Basis massive Datensätze aus dem europäischen Teil des SWIFT-Finanztransaktionssystems ab und übermittelt diese an das US-Finanzministerium.

Dort werden diese Datensätze gemeinsam durchsucht, auf dieser Ebene ist Data-Mining, das immer mit dem Einsatz von „Künstlicher Intelligenz“ verbunden ist, noch strikt verboten. Laut dem „Privacy and Civil Liberties Oversight Board“ (PCLOB) im US-Kongress gehen 40 Prozent aller Suchvorgänge in den USA auf europäische Durchsuchungswünsche zurück. Hinter der „offiziellen“ Ebene gehen zumindest große Teile dieser Datensätze aus dem europäischen SWIFT-System vertragswidrig an die CIA. Dort werden sie aggregiert und mit KI-Programmen nach unbekannten Kriterien analysiert. Mit diesen hochstrukturierten Datensätzen allein hat die von der CIA eingesetzte KI-Anwendung offenbar ein Problem. In Dokumenten, die veröffentlicht werden mussten, beklagen sich CIA-Mitarbeiter über die Mühen der Verarbeitung dieser strukturierten Datensätze und darüber, dass ihr dazu passende unstrukturierte Datensätze aus rechtlichen Gründen von der NSA vorenthalten werden.

Als nächstes kommt ein EU-Centre für Data-Mining

Diese Auseinandersetzung ist von weitaus größerer Bedeutung, als es den Anschein hat. Die Ausnahmebestimmungen in der Europol-Verordnung öffnen nämlich Tür und Tor für weitere Ausnahmeregelungen. Die wird es brauchen, wenn der Mitte Mai vorgestellte Entwurf der EU-Verordnung gegen Kindesmissbrauch im Netz tatsächlich so kommen sollte, wie geplant. Darunter fallen nämlich sämtliche Anbieter von „interpersoneller Kommunikation“, also Soziale Netzwerke, Messenger-Dienste, Gaming-Plattformen, E-Mail-Provider und sogar reine Zugangsanbieter wie Telekoms oder Kabel-TV-Anbieter und sogar App-Stores.

Alle nur denkbaren Plattformen für Möglichkeiten zur interpersonellen Kommunikation sollen verpflichtet werden, nicht nur weite Teile ihres Datenverkehrs auf Vorrat zu speichern, sondern auch Daten zu erheben - etwa von persönlichen Chats - die bisher nicht gespeichert wurden. Diese auf Vorrat gespeicherten, zu riesigen Volumina aggregierten Daten sollen dann in einem neu zu errichtenden „EU Centre“ mit Data-Mining und KI-Anwendungen - beides gehört organisch zusammen - auf sogenannte „Kinderpornographie“ durchsucht werden. Tatsächlich wird diese Centre, das obendrein auf dem Gelände von Europol in Den Haag angesiedelt werden soll, ein europäisches Kompetenzzentrum für Überwachung mit Methoden aus dem Komplex Big-Data, Data-Mining und sogenannter „Künstlicher Intelligenz“. Diese Verordnung sollt noch im Herbst im EU-Parlament auftauchen.