Nadelsuche im wachsenden Heuhaufen
Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm
Drei Jahre nach Unterzeichnung des Vertrages von Prüm gleichen sechs europäische Länder automatisiert ihre DNA-Datenbanken ab. Nachdem der EU-Ministerrat wesentliche Teile des Vertrages in den Rechtsrahmen der Europäischen Union überführt hat, sollen die anderen 21 Mitgliedsstaaten in den nächsten Jahren folgen.
Obwohl die Vernetzung der Datenbanken, wie üblich, mit der Notwendigkeit gerechtfertigt wird, Schwerverbrechen zu bekämpfen, erzählen erste Zwischenberichte eine andere Geschichte: Die meisten Treffer des DNA-Datenbankabgleichs betreffen Eigentumsdelikte oder anonyme Tatortspuren. Dennoch wächst die Zahl der gespeicherten Profile europaweit. 13 Jahre nachdem die erste nationale DNA-Datenbank Europas in Großbritannien ihren Betrieb aufnahm, ist der „genetische Fingerabdruck“ von mehr als 5,5 Millionen Personen in der Europäischen Union erfasst.
Ende Juni 2008 fand nach dem „erfolgreichen“ Abschluss einer Testphase der erste Abgleich der deutschen und niederländischen DNA-Analysedateien statt, so ließen Bundesinnenminister Wolfgang Schäuble und der niederländische Justizminister Ernst Hirsch Ballin anlässlich eines Treffens am 1. Juli 2008 in Berlin verlauten. Mit den Niederlanden begann das sechste europäische Land den automatisierten grenzüberschreitenden Abgleich nationaler DNA-Datenbanken im Wirkbetrieb. Der Abgleich habe auf deutscher Seite fast 600 Treffer in niederländischen und auf niederländischer Seite sogar mehr als 1.000 Treffer in deutschen Datensätzen ergeben. Diese müssten überprüft und ggf. bereinigt werden. Gleichwohl zeigte sich Schäuble zufrieden und betonte die „enorme Zeitersparnis und den erheblichen Effizienzgewinn“ für die grenzüberschreitende Zusammenarbeit der Behörden.
Der Vertrag von Prüm: Grundstein der euro-atlantischen Vernetzung von Polizeidatenbanken
Rechtsgrundlage des Datenbank-Abgleichs ist Artikel 4 des maßgeblich vom Bundesinnenministerium vorbereiteten Vertrages von Prüm, irreführender Weise auch bekannt als Schengen III, der am 27. Mai 2005 von Deutschland, den Niederlanden, Österreich, Spanien, Frankreich, Belgien und Luxemburg in der gleichnamigen Stadt in der Eifel unterzeichnet wurde. Der Vertrag „über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration“ sieht, entsprechend des 2004 im Haager Programm vereinbarten „Grundsatzes der Verfügbarkeit“, nicht nur den automatisierten Abgleich und Abfragen polizeilicher DNA-Datenbanken zur Strafverfolgung vor, sondern darüber hinaus grenzüberschreitende Abfragen nationaler Fingerabdruck-Datenbanken und Fahrzeugregister auch zu präventiv-polizeilichen Zwecken und – im Falle der Fahrzeugregister – sogar zur Verfolgung von Ordnungswidrigkeiten.
Zudem verpflichten sich die Prüm-Unterzeichner – im Rahmen des jeweils geltenden nationalen Rechts – zur Rechtshilfe bei der zwangsweisen Erhebung und Übermittlung von DNA-Profilen, wenn sich Personen, gegen die in einem Staat Ermittlungsverfahren laufen, in einem anderen Vertragsstaat aufhalten. Darüber hinaus sind der Informationsaustausch zur Verhinderung „terroristischer Straftaten“ sowie Formen der grenzüberschreitenden operativen Polizeizusammenarbeit, wie z.B. gemeinsame Streifen und die Amtshilfe über die Grenze bei Großveranstaltungen oder im Katastrophenfall vorgesehen.
Mittlerweile gehören auch Finnland, Ungarn und Slowenien zu den Unterzeichnerstaaten. Beitrittsverhandlungen liefen mit Italien, Portugal, der Slowakei, Schweden, Bulgarien, Rumänien und Griechenland. Allerdings vereinbarte der Rat der europäischen Innen- und Justizminister auf Betreiben der deutschen EU-Ratspräsidentschaft bereits am 13. Juni 2007, wesentliche Elemente des Prümer Vertrages in den Rechtsrahmen der Union zu überführen (nicht übernommen wurden Regelungen zu „Sky Marshalls“ und grenzüberschreitender Nacheile sowie die „Maßnahmen zur Bekämpfung der illegalen Migration“) und ihnen damit Gültigkeit in allen 27 Mitgliedsstaaten zu verschaffen. Mit dem Ratsbeschluss 2008/615/JI über „die Vertiefung der grenzüberschreitenden Zusammenarbeit“ wurde dieser Prozess am 23. Juni 2008 abgeschlossen und damit die rechtliche Grundlage für die Schaffung des größten pan-europäischen Netzwerkes von Polizeidatenbanken gelegt. Die vollständige technische Umsetzung soll nun bis zum Sommer 2011 folgen.
Zudem sind insbesondere Deutschland und Österreich um die Ausweitung des Kreises der teilnehmenden Staaten bemüht: Am 4. Juni 2008 nickte das Bundeskabinett den Vorstoß von Innenminister Schäuble und Justizministerin Brigitte Zypries ab, nach dem Vorbild von Prüm einen Datenaustausch – allerdings ohne die Möglichkeit des Datenbankabgleiches – zwischen Deutschland und den USA einzurichten, den sie bereits im März am Bundestag vorbei bei einem Besuch ihrer US-amerikanischen Amtskollegen Michael Chertoff und Michael Bernard Mukasey in Berlin vereinbart hatten. Da die USA für den Datenaustausch noch die rechtlichen und technischen Voraussetzungen schaffen müsse, handelt es sich nach Angaben der Bundesregierung hierbei um eine „zukunftsgerichtete Regelung“. Nachdem aber Mitte Juni auch die SPD-Fraktion auf Linie gebracht wurde, scheint der Ratifizierung des Abkommens auf deutscher Seite nichts mehr im Weg zu stehen. Geprüft wird die Option eines transatlantischen Datenaustausches auch von Österreich, das derweil, mit Verweis auf die Wünsche von Polizeiexperten, für die Einbeziehung assoziierter EU-Staaten wie der Schweiz, Norwegen oder Island wirbt. Dass es nicht nur bei bilateralen transatlantischen Vereinbarungen bleiben soll, machte die „Informal High Level Advisory Group on the Future of European Home Affairs Policy“, besser bekannt als „Future Group“, deutlich, als sie im Sommer ihren Bericht Freedom, Security, Privacy - European Home Affairs in an Open World vorlegte: Auf der Wunschliste für den weiteren Umbau der europäischen Sicherheitsarchitektur steht auch die Ausweitung des Datenaustausches zwischen Europa und den USA im Rahmen eines „euro-atlantischen Gebiets der Kooperation“ bis 2014.
Bürgerrechtler und Datenschützer kritisieren den Vertrag von Prüm und seine Überführung in den europäischen Rechtsrahmen nicht nur wegen des intransparenten Verfahrens und der unzureichenden Öffentlichkeit – hierzulande wurde der Gesetzentwurf zu seiner Ratifizierung in zweieinhalb Monaten durch den Bundestag gejagt, und das Plenum widmete der Debatte nicht mehr als 30 Minuten – sondern auch wegen des mangelhaften Schutzes von Grundrechten. Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor, allerdings trifft die Harmonisierung der polizeilichen Befugnisse bislang lediglich auf ein minimales Datenschutzniveau entsprechend der 27 Jahre alten Datenschutzkonvention des Europarates und seiner unverbindlichen Empfehlung von 1987. Ansonsten gilt für Datenbankabrufe und -abgleiche innerstaatliches Recht, das sowohl hinsichtlich des Datenschutzniveaus als auch der Regelungen von DNA-Analyse und -datenbanken äußerst unterschiedlich ist. Vor diesem Hintergrund nannte der Europäische Datenschutzbeauftragte Peter Hustinx den anstehenden EU-weiten Informationsaustausch einen „Alptraum“ und beklagte das Fehlen von verbindlichen Datenschutzstandards für die polizeiliche und justizielle Zusammenarbeit innerhalb der Dritten Säule der EU.
Die grenzüberschreitende Integration von DNA-Analysedateien: Von manuellen Einzelabfragen zum automatisierten Datenbankabgleich
Auch Interpol betreibt mit dem „DNA Gateway“ bereits seit 2002 eine Plattform für den Abgleich von DNA-Profilen. Es handelt es sich hierbei um eine autonome, zentrale Datenbank mit inzwischen 77.000 Einträgen aus 47 Ländern. Allerdings reichen die meisten Polizeibehörden erfasste DNA-Profile nur äußerst selektiv an Interpol weiter. Zudem werden die in der Regel per Fax oder E-Mail verschickten Einzelanfragen aus den 186 Mitgliedsländern durch Mitarbeiter der DNA-Einheit des Interpol-Generalsekretariats in Lyon manuell bearbeitet. Die seit 2005 bestehende Möglichkeit der automatisierten Online-Abfrage über das I-24/7-Netzwerkes für internationale Polizeikommunikation wird bisher nur von wenigen Ländern genutzt, wie z.B. von Österreich, das maßgeblich an der Entwicklung der „DNA Matching Systems“ beteiligt war. Deutschland beteiligt sich bis dato nur eingeschränkt an dem automatisierten System.
Insofern sah Prüm erstmals überhaupt grenzüberschreitende automatisierte Abfragen und Abgleiche biometrischer Daten vor. Im Gegensatz zur Abfrage der Kraftfahrzeugregister findet der Zugriff auf die biometrischen Daten allerdings im so genannten Treffer-/Kein Treffer-Verfahren auf eine Indexdatenbank ohne Nominaldaten statt. Als „Treffer“ bei DNA-Daten gilt nach dem nunmehr europaweit gültigen System eine Übereinstimmung der Allelwerte (Zahlenpaare zur Bestimmung der individuellen Basensequenzvariation eines bestimmten DNA-Abschnitts) von mindestens sechs der 24 verschiedenen DNA-Abschnitte (auch Marker oder Loci genannt), die in der einen oder anderen Kombination für forensische Zwecke in Europa genutzt werden. Hierbei handelt es sich um „nicht-kodierende“ DNA-Abschnitte, die, zumindest nach dem gegenwärtigen Forschungsstand, keine Hinweise auf funktionale Eigenschaften eines Organismus, also z.B. Haarfarbe oder Erbkrankheiten, beinhalten. Informiert wird die anfragende oder abgleichende nationale Kontaktstelle, in Deutschland das Bundeskriminalamt, durch die Übermittlung einer Kennzahl, die dann als Grundlage für Anfragen „weiterer zu den Fundstellendatensätzen vorhandener personenbezogener Daten und sonstiger Informationen“ auf dem Wege der Rechtshilfe dient.
Abgewickelt wird der Datenabgleich über die privatwirtschaftlich unterhaltene Kommunkationsinfrastruktur „Secured Trans European Services for Telematics between Administrations“ (sTESTA), die Anfang 2007 das alte TESTA-Netz ablöste. Neben dem Datenabgleich auf der Grundlage von Prüm ist sTESTA auch der Breitband-Backbone für die Abfragen der Asylbewerber-Fingerabdruckdatenbank EURODAC, das EUROPOL-Informationssystem und, ab 2009, auch des Visa-Informationsssystems VIS und des Schengen-Informationssystem SIS II.
Begonnen wurde die Vernetzung der Datenbanken mit dem Abgleich von DNA-Profilen zwischen Deutschland und Österreich unmittelbar nach der Unterzeichnung des Prüm-Durchführungsabkommens ATIA am 5. Dezember 2006. Im Juni 2007 folgte der erste automatisierte Abruf von Fingerabdrücken zwischen beiden Staaten. Im DNA-Bereich schlossen sich im Mai 2007 Spanien und Luxemburg an, das erst in der Folge von Prüm eine DNA-Datenbank eingerichtet hatte. Slowenien folgte – noch im Teilbetrieb – im April 2008. In Frankreich und Belgien laufen gegenwärtig die Testphasen; ein Datum für die Aufnahme des Wirkbetriebs ist allerdings nach Angaben des Bundesinnenministeriums ungewiss. Die automatisierte Abfrage der Fingerabdruck-Datenbanken ist weiterhin nur zwischen Deutschland und Österreich möglich; Tests finden mit Spanien, Luxemburg und Belgien statt. Die grenzüberschreitende Suche in Kraftfahrzeugregistern findet bisher nur im Verbund von Deutschland (bisher beschränkt auf eingehende Anfragen), Spanien, Luxemburg, den Niederlanden und Frankreich statt.
Zumindest im Augenblick, so hat es also den Anschein, stehen der vollen Realisierung der durch Prüm angeregten Möglichkeiten europäischer Zusammenarbeit Probleme der Interoperabilität und technischen Standardisierung im Weg. Wenig überraschend daher, dass „Konvergenz“ eine zentrale Forderung der „Future Group“ für das „koordinierte Management europäischer Sicherheitsfragen“ ist. Bereits jetzt arbeiten verschiedene Gremien, wie z.B. die „Chief Information Officers of Police Forces in Europe“ fleißig auf die Erreichung dieses Ziels hin: Als diese sich im Juni 2008 zu einer Tagung in Stockholm trafen, stand die Diskussion eines drei-stufigen „IT Interoperability Programme of the European Police Forces“ auf der Tagesordnung.
Gerechtfertigt wird die grenzüberschreitende Vernetzung der DNA-Datenbanken, wie üblich, mit Hinweis auf die Aufklärung spektakulärer Einzelfälle, wie z.B. die Ermittlung der mutmaßlichen Täter eines Doppelmordes auf Teneriffa nach der Erfassung einer Einbrecherbande in Österreich, die durch einen Datenabgleich zwischen Deutschland, Spanien und Österreich möglich geworden war. Aber wie repräsentativ sind solche „Erfolge“? Nach Angaben des Bundesinnenministeriums wurden bis Ende September 2008 rund 4.170 Treffer in DNA-Datenbanken anderer Vertragsstaaten erzielt. Eine Zwischenbilanz des DNA-Datenaustausches mit Österreich, Spanien und Luxemburg vom 1. Juni 2007 offenbart, dass von den damals 1.508 Treffern rund 85 Prozent (1.257 Fälle) auf Eigentumsdelikte wie Diebstahl oder Betrug fielen. Eine genauere Aufschlüsselung der Ergebnisse des deutsch-österreichischen Datenabgleichs vom März 2007 zeigt zudem, dass es sich bei fast der Hälfte der 1.217 Treffer auf deutscher Seite um übereinstimmende Spuren von Tatorten handelte, die zwar Hinweise auf Serientaten liefern, aber keinen Aufschluss über mögliche Täter geben. Insofern hat sich an der bisherigen Bilanz der nationalen Datenbanken auch mit ihrer europäischen Vernetzung nichts geändert: Wenn überhaupt liegt ihr quantitativer kriminalistischer Nutzen im Bereich der Eigentumskriminalität.
Wachsende Datenbanken – sinkende Hemmschwellen
Trotzdem werden die Befürworter der „kriminalistischen Wunderwaffe“ nicht müde, auf eine Ausweitung zu dringen. Anfang 2008 waren in den 27 EU-Mitgliedsstaaten mehr als 5,5 Millionen DNA-Profile von bekannten Personen gespeichert sowie weitere 627.000 Tatortspuren von Unbekannten. Der Kreis der Erfassten wächst täglich. Zum einen, weil sich mit dem EU-Ratsbeschluss nun auch Länder wie Irland oder Griechenland, die bisher auf das Kontrollinstrument verzichtet hatte, zur Einrichtung einer nationalen DNA-Datenbank verpflichten. Zum anderen, weil die rechtlichen Hürden zur Entnahme von DNA-Proben sukzessive gesenkt werden. Angeführt wird der Trend zur Ausweitung der Erfassung von Großbritannien, dessen National DNA Database bereits 1995 in Betrieb ging. Dort kann die Polizei seit 2004 von allen Personen, die einer Straftat verdächtigt werden, selbst dann ein DNA-Profil anlegen und unbefristet speichern, wenn die Person vor Gericht für unschuldig erklärt oder aus Mangel an Beweisen freigesprochen wird. Getrieben von Zielvereinbarungen eines „DNA Expansion Programme“ wurden so bis heute mehr als vier Millionen Personen erfasst, d.h. knapp sieben Prozent der Bevölkerung sind registriert. Damit unterhält Großbritannien sowohl in absoluten als auch relativen Zahlen die größte forensische DNA-Datenbank der Welt. Mehr als 70 Prozent aller DNA-Profile, die in den nationalen Datenbanken der EU gesammelt sind, sind im Königreich gespeichert.
Auch in Deutschland, wo der „genetische Fingerabdruck“ bis dato noch einem Richtervorbehalt unterliegt, fordern konservative Innenpolitiker, die Innenministerkonferenz und Berufsverbände der Kriminalisten seit längerem, diesen, vergleichbar dem Fingerabdruck, zur Standardmaßnahme der erkennungsdienstlichen Behandlung zu machen. Wurden ursprünglich nur DNA-Profile von Personen gespeichert, die beschuldigt wurden, eine Sexualstraftat oder andere „Straftaten von erheblicher Bedeutung“ begangen zu haben, werden seit einer Gesetzesänderung im Jahr 2005 auch Daten von Personen gespeichert, die weniger gravierender Straftaten verdächtigt werden, wenn eine Wiederholungstat vermutet wird. Bereits heute ist die seit April 1998 vom Bundeskriminalamt geführte Datei die größte DNA-Datenbank Kontinentaleuropas: Ende Juni 2008 waren dort knapp 570.000 DNA-Profile gespeichert.
Gefolgt wird Deutschland von Frankreich. Dort durften bis 2003 nur Profile von Straftätern eingespeichert werden, die eines Sexualdelikts für schuldig gesprochen und zu einer Freiheitsstrafe von mehr als sieben Jahren verurteilt worden waren. Bis dahin umfasste die Datei etwa 8.400 Profile von verurteilten Personen. Nach einer Gesetzesnovelle darf nun der Polizei unabhängig von der Justiz entscheiden, ob Proben genommen und analysiert werden. Seitdem ist die Zahl der Datenbankeinträge explodiert und stieg bis 2008 auf mehr als 500.000. Die drittgrößte Datei auf dem Kontinent führt das Bundeskriminalamt von Österreich. Die DNA-Analyse wird vom Sicherheitspolizeigesetz geregelt, das ebenfalls keinen Richtervorbehalt vorsieht. Seit Inbetriebnahme der Datei im Oktober 1997 wurden dort mehr als 100.000 Personen gespeichert. Im Verhältnis zur Einwohnerzahl ist allerdings das kleine Estland Spitzenreiter in Kontinentaleuropa. Mit mehr als 20.000 Einträgen sind dort 1,5 Prozent der Bevölkerung erfasst.
Angesichts der wahrscheinlichen Ausweitung der DNA-Analyse in der EU wurde auf der Tagung DNA-Data Exchange in Europe, die im Juni 2008 im holländischen Maastricht stattfand, bereits über die Herausforderungen einer Analyse im „industriellen Maßstab“ diskutiert. In Großbritannien, so ein Teilnehmer, sind die Kapazitäten inzwischen so weit ausgebaut worden, dass jährlich bis zu 700.000 Profile in die Datenbank hochgeladen werden können, nachdem es zwischenzeitlich einen Rückstau von 120.000 unbearbeiteten Proben gegeben habe. Dass mit den wachsenden Datenbanken und einer absehbaren Steigerung der Abfragen auch die Wahrscheinlichkeit falscher Treffer steigt, darauf machte auf der gleichen Konferenz ein Vertreter des niederländischen forensischen Institutes aufmerksam: Statistisch gesehen, so rechnete er am Beispiel des damals kurz bevorstehenden Auftaktes des deutsch-niederländischen Abgleichs vor, waren 190 falsche Treffer zu erwarten. So könnte der arme Harry Buttle aus Terry Gilliams kafkaeskem Film „Brazil“ nun doch noch seinen Weg nach Europa finden.