EU-Datenschützer: Europol muss Daten Unverdächtiger nach sechs Monaten löschen

Der EU-Datenschutzbeauftragte rügte vor anderthalb Jahren, dass Europol für Big-Data-Analysen zu viele Informationen sammelt. Nun folgt eine konkrete Anweisung.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen

Die Europol-Zentrale in Den Haag.

(Bild: Shutterstock/My Eyes4u)

Lesezeit: 3 Min.

Europol darf nicht länger rechtswidrig zu viele Daten horten und so die Privatsphäre unschuldiger Personen verletzen. Dies ordnete der EU-Datenschutzbeauftragte Wojciech Wiewiorowski am 3. Januar in einer am Montag veröffentlichten Entscheidung an. Die Polizeibehörde muss demnach Informationen über Personen, denen sie keine Verbindung zu einer kriminellen Aktivität nachweisen kann, nach spätestens sechs Monaten löschen.

Vor allem von nationalen Strafverfolgungsbehörden der Mitgliedsstaaten wie dem Bundeskriminalamt (BKA) erhält Europol große Mengen an Daten. Angesichts der "Herausforderung", diese mit Big-Data-Analysen aufzubereiten und für die Ermittlungsarbeit zu erschließen, überschritten die Ermittler aber ihre Befugnisse und verstießen so gegen das Gesetz, monierte Wiewiorowski schon im Oktober 2020. Unverdächtige wie Opfer, Zeugen oder Kontaktpersonen liefen so Gefahr, "unrechtmäßig mit einer kriminellen Aktivität in der gesamten EU in Verbindung gebracht zu werden".

Wiewiorowski hatte Europol damals zwei Monate Zeit gegeben, um mithilfe eines "Aktionsplans" das Problem zu beheben. Das Polizeiamt habe seither zwar "einige Maßnahmen ergriffen", erkennt Wiewiorowski an. Es sei aber nicht seiner Aufforderung nachgekommen, einen angemessenen Zeitraum für die Datenspeicherung festzulegen und Informationen herauszufiltern, die gemäß der Europol-Verordnung nicht für die Analyse zugelassen sind. Europol habe diese Daten folglich weiter länger als erforderlich aufbewahrt, was im Widerspruch zu den Grundsätzen der Datenminimierung und Speicherbegrenzung stehe.

Laut der Anweisung von Wiewiorowski muss Europol künftig binnen sechs Monaten entscheiden, ob es erhaltene personenbezogene Informationen längerfristig speichern und verwenden darf. Daten mit unklarem Status sind im Anschluss zu löschen. Wiewiorowski hat Europol zudem eine Übergangsfrist von zwölf Monaten eingeräumt, um den neuen Auflagen für die Datensätze nachzukommen, die bereits vor der Bekanntgabe des Beschlusses bei der Strafverfolgungsbehörde eingegangen sind.

Ein Zeitraum von einem halben Jahr für die Voranalyse und Filterung großer Datensätze sollte Europol in die Lage versetzen, "den operativen Anforderungen der EU-Mitgliedstaaten gerecht zu werden", betonte Wiewiorowski. Gleichzeitig werde es damit möglich, "die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren".

Möglicherweise entfaltet die Anordnung aber nur begrenzte zeitliche Wirkung. Die EU-Länder und das Europäische Parlament verhandeln momentan über einen Verordnungsentwurf, mit dem das Mandat für Europol deutlich ausgeweitet werden soll. Nach der Position beider Gremien werden die von der Aufsichtsbehörde als rechtswidrig gebrandmarkten Praktiken weitgehend legalisiert. Laut einem vertraulichen Papier der EU-Ratspräsidentschaft vom Dezember, das heise online vorliegt, sollen die Möglichkeiten Europols für Big-Data-Analysen deutlich ausgeweitet werden. Die Ermittler müssten demnach etwa nicht mehr ausloten, ob bei erhaltenen Massendaten aus Drittstaaten dort beim Erheben die Menschenrechte gewahrt wurden.

(olb)