Eine neue Verordnung für die Polizeibehörde Europol soll eine gigantische Sammlung von Ermittlungsdaten legalisieren, die einzelne EU-Mitgliedsstaaten dort quasi geparkt hatten. Es handelt sich um vier Petabyte an Daten aus laufenden und abgeschlossenen Ermittlungsverfahren, darunter auch gestrichene Einträge aus Terrorlisten einzelner Staaten. In einigen Fällen weiß die Behörde selbst nicht genau, um was für Daten es sich handelt, wie sie einräumte. Erst Anfang Januar hatte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski die Löschung aller Daten angeordnet, die nicht mit einer konkreten Straftat im Zusammenhang stehen. 

Doch die Datensammlung, die Kritiker:innen als „Datenarche“ bezeichnen und mit der Speicherwut des US-Geheimnisses NSA vergleichen, dürfte unverändert bestehen bleiben und sogar ausgebaut werden. Am Dienstagabend einigten sich die EU-Staaten mit dem Parlament auf eine neue Verordnung, nach der Europol „weiterhin Ermittlungen auf der Grundlage dieser Daten unterstützen könnte“. Das teilte die französische Ratspräsidentschaft mit. Bis zur Wirksamkeit der neuen Verordnung sollen „Übergangsmaßnahmen“ die Datenarche vor Löschung bewahren.

Generell soll die Verordnung die Kompetenzen von Europol drastisch ausweiten. Künftig dürfe die Behörde mit Drittstaaten persönliche Daten zu Ermittlungszwecken austauschen, so die französischen Verhandler:innen. Auch dürfe Europol-Chefin Catherine De Bolle nationalen Behörden die Aufnahme von Ermittlungsverfahren in grenzüberschreitenden Kriminalfällen vorschlagen. Das wäre eine deutliche Ausweitung der bisherigen Befugnisse von Europol. Die nationalen Behörden sollen allerdings selbst entscheiden dürfen, ob sie dem Vorschlag nachkommen.

„Direkte Bedrohung für Rolle der Aufsichtsbehörde“

Der Datenschutzbeauftragte Wiewiórowski übte schon im Vorfeld Kritik an der neuen Verordnung. Sie gebe der EU-Polizeiagentur breite Befugnisse zur Datenspeicherung – ohne ausreichende Maßnahmen zum Schutz von Grundrechten. „Daten von Einzelpersonen ohne klare Verbindung zu Straftaten könnte genauso verarbeitet werden wie Daten von Verdächtigen oder Verurteilten“, sagte Wiewiórowski. Besonders empörend findet er, dass mit der Verordnung Gesetzesverletzungen rückwirkend legalisiert werden. Dies bedeute „eine direkte Bedrohung der Rolle der Aufsichtsbehörde“.

Auch aus dem EU-Parlament gibt es heftige Reaktionen. Aus Sicht der SPD-Abgeordneten Birgit Sippel verwendet Europol für die Rechtfertigung seiner Überwachung und massenhaften Datenspeicherung auf Vorrat „ähnliche Argumente“ wie die NSA. Dieses Vorgehen sei jedoch nicht mit der Datenschutzgrundverordnung vereinbar, sagte die Abgeordnete bei seiner Sitzung des Bürgerrechteausschusses im Parlament. Schwachstellen der Verordnung würden möglicherweise bald den Europäischen Gerichtshof beschäftigen, sagt Sippel gegenüber netzpolitik.org. „Rechtssicherheit sieht anders aus.“

Es handelte sich um massenhafte Daten unverdächtiger Personen, etwa um Handy-Bewegungsdaten und Flugreisedaten, sagt der EU-Abgeordnete Patrick Breyer von der Piratenpartei. „Die Konsequenz: Unschuldige Bürger laufen Gefahr, zu Unrecht in den Verdacht einer Straftat zu geraten, weil sie zur falschen Zeit am falschen Ort waren.“ Europol müsse „wirksam kontrolliert und an Gesetzesverstößen gehindert werden“, sagt Breyer. „Die bisher oberflächlichen Aufsichtsmechanismen haben keine Zähne bekommen, um illegale Praktiken der Behörde erkennen und stoppen zu können.“

Den Vergleich mit der NSA wies Europol-Vizechef Jürgen Ebner vor dem Ausschuss zurück. „Wir machen keine Massenüberwachung, auch können wir keine Zwangsmaßnahmen anordnen“, betonte er. „Wir haben nicht die technischen Mittel, um das zu machen.“ Die Software des umstrittenen US-Anbieters Palantir, die Europol 2016 eingekauft hatte, verwendet die Polizeibehörde inzwischen nicht mehr.

Ebenfalls auf Kritik der Abgeordneten stößt, dass die Verordnung Europol künftig breit die Kooperation mit Firmen möglich macht. Der Entwurf erlaubt Europol, persönliche Daten direkt von privaten Organisationen zu erhalten. Diese darf Europol analysieren und an die Behörden der Mitgliedsstaaten weitergeben. Der Abgeordnete Breyer, der Teil der Grünen-Fraktion ist, bringt diese Erlaubnis mit EU-Plänen in Verbindung, Diensteanbieter zur flächendeckenden Durchleuchtung privater Nachrichten auf Kindesmissbrauchsinhalte zu verpflichten. Diese Art der Kooperation sei inakzeptabel, sagt Breyer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Es geht um einen Deal in Milliardenhöhe, der das Ende der Pandemie beschleunigen sollte: Im Frühjahr vereinbarte die EU-Kommission den Kauf von 1,8 Milliarden Corona-Impfstoffdosen mit Pfizer. Sie macht den Pharmariesen damit zum Hauptlieferanten der Kommission. Den Durchbruch in den Verhandlungen brachte angeblich der direkte Draht zwischen Kommissionschefin Ursula von der Leyen und Pfizer-Chef Albert Bourla. Die beiden hätten in Anrufen und Nachrichten den Ankauf detailliert besprochen, berichtete damals die New York Times.

Doch bis heute weiß die Öffentlichkeit wenig über das Geschäft, dass heute in ganz Europa Booster-Impfungen ermöglicht. Die Kommission legte zwar – wie bei Verträgen mit anderen Herstellern – eine Vorvereinbarung und einen Kaufvertrag mit Pfizer offen, schwärzte darin aber Lieferpreis und Haftungsklauseln. Intransparent agiert die EU-Behörde auch beim Zustandekommen des Deals. Sie verweigert den öffentlichen Einblick in die Nachrichten zwischen Von der Leyen und Bourla.

Eine Anfrage von netzpolitik.org nach dem Informationsfreiheitsgesetz der EU schmetterte die Kommission im Sommer ab. Sie will nicht einmal verraten, ob die Nachrichten überhaupt noch existieren oder ob sie in der Zwischenzeit schon gelöscht sind. Über diese Intransparenz beschwerten wir uns bei der EU-Ombudsfrau Emily O’Reilly. Ihre Behörde kann solche Beschwerden prüfen und öffentlich Missstände in der EU-Verwaltung anprangern. Rechtlich bindende Entscheidungen trifft sie nicht.

Ombudsfrau sieht „Fehlverhalten“ der EU-Kommission

Heute hat Ombudsfrau O’Reilly ihre Empfehlungen an die Kommission veröffentlicht: Darin sieht sie „maladministration“, ein Fehlverhalten der Kommission. Der Behauptung der Kommission, dass Nachrichten über SMS und Messengerdienste wie WhatsApp generell keine Dokumente seien und daher nicht von der Informationsfreiheit erfasst werden, kann die Ombudsfrau nichts abgewinnen. Egal über welchen Kanal eine Nachricht übermittelt werde – wenn der Inhalt die Arbeit der Kommission betreffe, dann müsse der Öffentlichkeit Zugang gewährt werden.

Die Ombudsfrau legt der Kommission nahe, die Anfrage von netzpolitik.org nochmal zu prüfen. „Wenn es die in Berichten erwähnten Textnachrichten gibt und sie gefunden werden, dann sollte die Kommission prüfen, ob ein öffentlicher Zugang im Sinne von Verordnung 1049/2001 gewährt werden kann.“ Die Kommission hat nun bis 26. April 2022 Zeit, detailliert Stellung zunehmen. Vorerst möchte sie nicht darauf reagieren, wie ein Sprecher auf Anfrage betonte.

Die Vizechefin der EU-Kommission, Věra Jourová, hatte zuletzt neue Leitlinien der Kommission für Informationsfreiheitsanfragen in Aussicht gestellt. Dabei soll auch der Umgang mit Nachrichten über SMS und Messenger neu geregelt werden. Ombudsfrau O’Reilly ruft die Kommission auf, künftig alle Nachrichten unabhängig von ihrer Form auf ihre Relevanz zu prüfen. „Die EU-Verwaltung muss ihre Praxis der Aufzeichnung von Dokumenten an die Realität anpassen“, so O’Reilly.

Einen zeitgemäßen Umgang mit Nachrichten über Messenger fordert auch der grüne EU-Abgeordnete Daniel Freund. „Es ist heute so, dass per Signal, WhatsApp und Slack regiert wird.“ Dementsprechend müssten diese Nachrichten unter die Informationsfreiheit fallen – oder die Verwendung von SMS und Messengern für die offizielle Kommunikation verboten werden, sagt der Abgeordnete und frühere Transparency-International-Experte.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

In der Ostukraine braut sich neue Konfrontation mit Russland zusammen. Der Konflikt wird dabei auch in sozialen Netzwerken ausgetragen, durch gezielte Falschinformation und Irreführung – so lautet zumindest der Vorwurf der US-Regierung und des Europäischen Auswärtigen Dienstes gegen die russische Regierung. Vorwürfe, Russland und China setzten gezielt Desinformation ein, sind schon seit Jahren aus Brüssel und Washington zu hören.

Die Vorwürfe machen deutlich, dass Social Media immer stärker zum Schauplatz moderner Kriegsführung gerät. Und wer diese Sichtweise teilt, für den ist die Informationsgewinnung über Propaganda der Gegenseite eine strategische Notwendigkeit.

Eine Datenpipeline für die Informationsgewinnung verspricht eine neue EU-Verordnung: Das Digitale-Dienste-Gesetz soll vorschreiben, dass große Plattformen wie Facebook und YouTube rasche Schritte gegen illegale Inhalte setzen müssen. Bei Werbung im Netz müsse nachvollziehbar sein, wer werbe und welche Zielgruppe angesprochen werde. Um diese und weitere Auflagen kontrollieren zu können, sollen Plattformen Forscher:innen Zugang zu ihren Daten gewähren.

Derzeit starten in Brüssel Verhandlungen zwischen Kommission, Rat und EU-Parlament über einen endgültigen Gesetzestext. Dabei könnte eine tief im Text versteckte Definition zum Streitpunkt werden: Denn in ihrem Gesetzesvorschlag hat die EU-Kommission den Datenzugang für die Forschung stark beschränkt. Konkret Zugriff haben sollen nur Forscher:innen wissenschaftlicher Institutionen, die wirtschaftlich unabhängig seien.

„Datenzugang für Organisationen wie unsere nicht verhindern“

Diese enge Definition verärgert NATO-Kreise. Das zeigt eine schriftliche Protestnote der NATO-Einrichtung Stratcom Centre of Excellence an die EU-Staaten, die netzpolitik.org veröffentlicht. In dem Schreiben verweist das Zentrum auf eigene Forschungsarbeit in sozialen Medien. Ein Stratcom-Bericht aus 2019 habe etwa gezeigt, dass Facebook, Instagram, Twitter und YouTube nicht genug gegen manipulative Auftritte in ihren Netzwerken unternähmen. Die meisten Fake-Profile würden mit Hilfe aus Russland betrieben.

Die Untersuchungen des NATO-Zentrums könnten durch das Digitale-Dienste-Gesetz der EU erheblich erleichtert werden, heißt es in dem Schreiben aus April 2021. „Leider sehen wir, dass der derzeitige Wortlaut von Artikel 31 eine solche Arbeit verhindern dürfte.“ Das Zentrum wäre daher „dankbar“, wenn der Artikel angepasst werden könnte, „um den Datenzugang für die Forschung durch Organisationen wie unsere nicht zu verhindern“.

Das Stratcom Centre of Excellence wurde 2014 von Deutschland und sechs weiteren NATO-Staaten gegründet. Es wird inzwischen von 14 Mitgliedern des Militärbündnisses finanziell unterstützt. Formell untersteht seine Arbeit nicht dem NATO-Oberkommando, das Zentrum ist allerdings als Dienststelle des Bündnisses eingerichtet und liefert der NATO strategische Analysen, Konzepte und bietet Fortbildungen für ziviles und militärisches Personal. Ziel ist es dabei auch, Strategien für das Entwickeln von „Gegenerzählungen“ zu russischen Propaganda-Narrativen zu entwerfen.

Als Fürsprecher des NATO-Zentrums im Rat der EU-Staaten tritt Lettland auf, in dessen Hauptstadt Riga das Zentrum seinen Sitz hat. Das „Recht auf Informationsgewinnung für Forschungszwecke sollte nicht auf wissenschaftliches Personal beschränkt sein“, forderten lettische Diplomat:innen unter Verweis auf den Brief. Das zeigt ein Verhandlungsdokument, dass wir ebenfalls veröffentlichen. Die Dokumente stammen aus einer Informationsfreiheitsanfrage von netzpolitik.org beim Rat der EU-Staaten.

Dass die EU-Staaten eng mit der NATO kooperieren, ist nicht ungewöhnlich. Fast alle EU-Länder sind auch NATO-Mitglieder, in den vergangenen Jahren wurde die Zusammenarbeit stetig vertieft. Etwa vereinbarte der Rat der EU mit dem Militärbündnis bereits 2016, gemeinsame Analysekapazitäten beim Aufspüren von Desinformation aufzubauen. Unterstützung dafür gibt es auch im EU-Parlament, wo ein eigens eingerichteter Ausschuss vor der Gefahr „fremder Einflussnahme“ warnt und sogar Sanktionsmöglichkeiten gegen die Verbreitung von Desinformation fordert.

Allerdings gibt es daran beständig Kritik. EU-Abgeordnete der Linksfraktion kritisieren „das Lobbying von transatlantischen und NATO-Thinktanks“. Deren Einfluss stelle eine ernste Bedrohung für politische Positionen dar, die sich international für Frieden und soziale Gerechtigkeit einsetzten, sagt etwa die irische EU-Abgeordnete Clare Daly. Eine von der Linksfraktion finanzierte Studie über „Rhetorik und Realität von Desinformation in der Europäischen Union“ sieht die Arbeit des NATO-Zentrums in Riga als Teil einer langjährigen Strategie zu Beeinflussung der öffentlichen Meinung.

Definition entzweit Rat und Parlament

Doch trotz der Kritik von links könnte der Wunsch der NATO-Einrichtung durchaus in Erfüllung gehen. Im November 2021 einigten sich die EU-Staaten auf eine gemeinsame Position zum Digitale-Dienste-Gesetz. Darin fordert der Rat die Ausweitung der Zugangsberechtigten nach Artikel 31. Nicht bloß wissenschaftliche Forscher:innen sollten Daten der großen Plattformen bekommen. Stattdessen sollte die Definition einer „Forschungseinrichtung“ aus Artikel 2 der Urheberrechtsrichtlinie herangezogen werden. Darunter fällt „eine Hochschule einschließlich ihrer Bibliotheken, ein Forschungsinstitut oder eine sonstige Einrichtung, deren vorrangiges Ziel die wissenschaftliche Forschung oder die Lehrtätigkeit – auch in Verbindung mit wissenschaftlicher Forschung – ist“. Diese Definition könnte auch das NATO-Zentrum einschließen.

Widerstand gegen diese breite Definition kommt hingegen aus dem EU-Parlament. Dieses weitet in seiner Version von Artikel 31 des Digitale-Dienste-Gesetzes den Zugang von wissenschaftlichen Institutionen explizit auch auf zivilgesellschaftliche Organisationen aus. Forscher:innen, die Datenzugang erhalten, müssten allerdings frei von kommerziellen Interessen sein, ihre Finanzierungsquellen offenlegen und „unabhängig von jeder Regierung, Verwaltung und anderen staatlichen Körperschaften sein“, mit Ausnahme von öffentlich finanzierten Forschungseinrichtungen. Ein Streit zwischen Rat und Parlament in der Definitionsfrage scheint programmiert.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Die unrechtmäßige Speicherung von sensiblen Daten von Mieter*innen durch den Immobilienkonzern Deutsche Wohnen landet vor dem Europäischen Gerichtshof. Das Kammergericht Berlin legte dem EuGH kurz vor Weihnachten zwei Fragen zu dem Fall vor, wie ein Sprecher des EU-Gerichts auf Anfrage von netzpolitik.org bestätigte.

Hohe Mieten und fehlende Reparaturen in den rund 160.000 Wohnungen von Deutsche Wohnen in Berlin lieferten den Anlass für den Volksentscheid „Deutsche Wohnen und Co. enteignen“, dem im September 2021 eine Mehrheit der Wahlbevölkerung Berlins zustimmte. Ärger gibt es für den Konzern aber auch mit dem Datenschutz. Denn Deutsche Wohnen speichert massenhaft Daten wie etwa Kopien von Personalausweisen, Kontoauszüge, Gehaltsbescheinigungen und Krankenversicherungsdaten. Das ist zumindest bei Ausweisen nicht rechtens – Vermieter*innen dürften bei Mietinteressent*innen diese zwar überprüfen, die Anfertigung einer Ausweiskopie sei aber „nicht erforderlich und damit unzulässig“, heißt es von der Datenschutzkonferenz.

Auch müsste der Konzern eigentlich nicht mehr erforderliche Daten löschen, doch das tat er nach Angaben der Berliner Datenschutzbehörde jahrelang und trotz mehrfacher Aufforderungen nicht.

Rechtswiderspruch rüttelt an Konzernstrafen

Ein 14,5-Millionen-Euro-Bußgeld der Behörde hob das Landgericht Berlin wegen eines bizarren rechtlichen Widerspruchs wieder auf. Die Datenschutzgrundverordnung der EU sieht bei Fehlverhalten von Unternehmen Bußgelder von bis zu vier Prozent ihres Jahresumsatzes vor. Doch das Landgericht Berlin urteilte, dass juristische Personen wie Deutsche Wohnen nur dann bestraft werden können, wenn einem konkreten Verantwortlichen bei der Firma Fehlverhalten nachgewiesen werden kann. Dies sei im deutschen Recht so angelegt.

Doch dies widerspreche geltendem EU-Recht, argumentiert die Berliner Datenschutzbehörde. „Im Ergebnis würde es dazu führen, dass in Deutschland – im Gegensatz zu vielen anderen Mitgliedstaaten – ein Bußgeld gegen große Unternehmen aufgrund der komplexen Unternehmensstruktur häufig nicht nachweisbar wäre.“

Das Kammergericht Berlin lässt die Sache nun vom Europäischen Gerichtshof in Luxemburg prüfen. Es müsse geklärt werden, ob nur das Fehlverhalten einzelner Verantwortlicher zu Bußgeldern führen könne. Auch will das Berliner Gericht wissen, wie handfest Verstöße sein müssten, um für Bußgelder zu sorgen. Die Berliner Datenschutzbehörde teilte auf unsere Anfrage mit, sie begrüße die Einschaltung des EuGH und hoffe, dass eine höchstgerichtliche Klärung „zu einer einheitliche Anwendung der DSGVO in allen Mitgliedstaaten und damit zur erforderlichen Rechtssicherheit führt – nicht nur für die Aufsichtsbehörden, sondern auch für die datenverarbeitenden Unternehmen.“

Ob Deutsche Wohnen inzwischen der Aufforderung der Datenschutzbehörde zur Löschung unnötiger Daten nachgekommen ist und sein Datenmanagement verbessert hat, ist unklar. Der Konzern antwortete auf eine Presseanfrage von netzpolitik.org, er wolle das Thema aufgrund des noch laufenden Verfahrens nicht kommentieren.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.