Die europäische Polizeibehörde Europol hat offenbar jahrelang eine Schatten-IT betrieben. Mitarbeitende sollen damit widerrechtlich große Mengen an personenbezogenen Daten durchsucht und ausgewertet haben. Dennoch will die EU-Kommission Europol nun mit deutlich mehr Budget und Personal ausstatten.

Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Europol-Chefin Catherine De Bolle will beim Weltwirtschaftsforum in Davos auf Tech-Unternehmen einwirken, Ermittlungsbehörden Zugang zu verschlüsselten Nachrichten zu verschaffen. Die Unternehmen müssten ihrer „sozialen Verantwortung“ nachkommen, sonst sei die Demokratie gefährdet, so De Bolle. Dem widerspricht der Chaos Computer Club.

Tech-Unternehmen müssten Ermittlungsbehörden Zugang zu verschlüsselten Inhalten geben, sonst sei die europäische Demokratie gefährdet, sagte Europol-Chefin Catherine De Bolle gegenüber der Financial Times am Rande des Weltwirtschaftsforums in Davos.

Die Unternehmen hätten eine „soziale Verantwortung“ und müssten der langjährigen Forderung nach Zugriff auf verschlüsselte Nachrichten nachkommen, forderte De Bolle. Diese würden von Kriminellen genutzt, um anonym zu bleiben, so die Direktorin der EU-Polizeibehörde. Im Laufe der Woche werde sie sich in Davos mit Vertreter:innen von Big-Tech-Unternehmen treffen, um die Materie direkt mit ihnen zu diskutieren.

„Anonymität ist kein Grundrecht“, sagte De Bolle. „Wenn wir einen Durchsuchungsbefehl haben und vor einem Haus stehen, die Tür verschlossen ist und wir wissen, dass sich der Verbrecher im Haus befindet, wird die Bevölkerung es nicht akzeptieren, dass wir nicht hineinkommen.“ Polizeien müssten in der Lage sein, bei der Kriminalitätsbekämpfung vertrauliche Nachrichten zu entschlüsseln, sonst ließe sich „Demokratie nicht durchsetzen“.

Jahrzehntealte Debatte

Ermittlungsbehörden ist Verschlüsselung seit Jahrzehnten ein Dorn im Auge. Unter dem Motto „Going Dark“ fürchten sie, blind und taub zu werden, wenn Kriminelle moderne Verschlüsselungsverfahren nutzen. Dabei stehen ihnen inzwischen weit mehr Daten für Polizeiarbeit zur Verfügung als je zuvor. Zudem zählen offensive Methoden wie Staatstrojaner inzwischen zu einem Standard-Werkzeug vieler Ermittlungen. Um den Preis nicht umgehend geschlossener Sicherheitslücken lässt sich damit zielgerichtet auf an sich verschlüsselte Inhalte zugreifen.

Trotz beharrlicher Bemühungen, Hintertüren oder andere Zugänge zu verschlüsselten Inhalten zu schaffen, konnten sich Polizeien und Geheimdienste bislang mit ihrer Forderung nicht durchsetzen. Wie Expert:innen unermüdlich betonen, würde das die IT-Sicherheit des gesamten digitalen Ökosystems gefährden. Schließlich schützt die selbe Technik, die zuweilen von Kriminellen genutzt werden kann, unter anderem die vertrauliche Kommunikation von Bürger:innen oder sichere Verbindungen zu Online-Shops, Banken und kritischer Infrastruktur.

Die IT-Branche selbst ließ sich von dem beständigen Säbelrasseln der Behörden bislang kaum beeindrucken. Um die Privatsphäre ihrer Nutzer:innen zu schützen, zählen etwa verschlüsselte Festplatten inzwischen zur Grundeinstellung vieler Betriebssysteme. Ende-zu-Ende-Verschlüsselung ist bei zahlreichen Messengern nicht mehr wegzudenken, unter anderem bei Apples iMessage, Metas WhatsApp oder beim nicht-kommerziellen Signal-Messenger. Auch der Messenger von Facebook setzt mittlerweile auf die sichere Technik, obwohl das Behörden wie das FBI mit aller Kraft zu verhindern versuchten.

CCC: Verschlüsselung schützt Demokratie

„Es ist Wahnsinn, hier von ’sozialer Verantwortung‘ zu sprechen, wenn gerade an wesentlichen Stellen wie Faktenchecks zurückgerudert wird“, sagt Elina Eickstädt, Sprecherin des Chaos Computer Club (CCC). Zuletzt haben große Online-Anbieter wie Meta und X ihre Moderationsregeln gelockert, was Expert:innen zufolge weltweit dramatische Konsequenzen bis hin zu Förderung von Genoziden haben könnte.

Statt weniger brauche es mehr Maßnahmen zum Schutz der Demokratie, fordert Eickstädt. Vertrauliche und verschlüsselte Kommunikation sei das einzige, was bleibt, um Betroffene vor Repressionen zu schützen, so die CCC-Sprecherin. „Sie liefert eine wichtiges Werkzeug für Solidarität und zivilgesellschaftliches Engagement, das wir in der heutigen Zeit mehr denn je brauchen.“

Initiativen auf EU-Ebene

Europol hatte im Vorjahr in einem Bericht eine „konstruktive Diskussion über Verschlüsselung“ gefordert und dabei auf einen „Zugang zu verschlüsselter Kommunikation und deren Zulässigkeit als Beweismittel in Gerichtsverfahren“ gepocht. Letzteres bezieht sich die weiterhin laufenden juristischen Auseinandersetzungen rund um spektakuläre Hacks von Anbietern wie EncroChat oder Sky ECC. Diese hatten auf Kriminelle zugeschnittene, verschlüsselte Kommunikationsplattformen angeboten, wurden aber letztlich von Ermittlungsbehörden infiltriert und aus dem Verkehr gezogen.

Ebenfalls im Vorjahr hatte eine von der EU eingerichtete Arbeitsgruppe auf den Zugang zu verschlüsselten Inhalten gedrängt. Die fast ausschließlich aus dem Sicherheitsapparat stammenden Fachleute hatten gut zwei Jahre lang darüber beraten, wie sich dem Phänomen des „Going Dark“ begegnen lässt. Im Vergleich zu einem früheren Empfehlungspapier fiel der Abschlussbericht zwar merklich abgeschwächt aus, rückte jedoch nicht von der Kernforderung ab.

Der Bericht der Gruppe dürfte in die Arbeit der im Winter neu bestellten EU-Kommission einfließen. Diese versucht ohnehin seit Jahren, mit der hoch umstrittenen Chatkontrolle indirekt den Zugang auf eigentlich verschlüsselte Inhalte zu ermöglichen. Ihren Gesetzentwurf konnte sie jedoch bis heute nicht durchboxen.

Während das EU-Parlament den Zugriff auf vertrauliche Kommunikation ablehnt, konnten sich die EU-Länder noch nicht auf eine gemeinsame Position verständigen. Derweil hat beispielsweise Apple einen freiwilligen Vorstoß in Richtung Chatkontrolle wieder zurückgenommen. Es sei „praktisch unmöglich“, automatische Scans vertraulicher Nachrichten mit Privatsphäre und Sicherheit zu vereinen, so das Unternehmen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen. 

Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.

Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.

„Direkte Bedrohung für Rolle der Aufsichtsbehörde“

Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.

Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“

Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“

Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.

Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.