Mobile Daten – begrenzte Kontrolle Auf dem Weg zum europäischen Informationsverbund

von Eric Töpfer
 

Mit dem Auslaufen des "Haager
Programms" geht die Entwicklung des grenzüberschreitenden
Informationsaustausches in eine neue Runde. Hatte die Europäische Union
mit dem "Grundsatz der Verfügbarkeit" bereits 2004 einen
Paradigmenwechsel eingeleitet und fortan die Vernetzung nationaler
Datenbanken vorangetrieben, ist das neue Ziel die "Konvergenz" der
Plattformen, um eine Zusammenarbeit in Echtzeit zu ermöglichen. Der
Datenschutz bleibt dabei auf der Strecke.

Im April
2008 ging mit dem sTESTA-Netzwerk eine gemeinsame
Kommunikationsinfrastruktur für den europaweiten Austausch von
"sensiblen" Daten in Betrieb. Das für 210 Millionen Euro von einem
Konsortium aus der France-Telecom-Tochter Orange Business Services und
Hewlett Packard aufgespannte sTESTA (Secured Trans-European Services
for Telematics between Administrations) löste verschiedene, parallel
existierende Netze ab, die bis dato nationale Verwaltungsintranets
miteinander verbanden. Auf Beschluss der Europäischen Kommission, des
Europäischen Polizeiamtes Europol und der Europäischen Eisenbahnagentur
eingerichtet, soll es als Breitband-Backbone dem gesicherten
Datenaustausch auch im Rahmen diverser europäischer Projekte und
Agenturen der Polizei- und Justizzusammenarbeit sowie der
Migrationskontrolle dienen, so z.B. dem Schengen-Informationssystem der
zweiten Generation (SIS II), dem Datenaustausch von Fingerabdrücken der
erkennungsdienstlich behandelten Asylsuchenden im Rahmen von EURODAC,
dem Visa-Informationssystem (VIS), der Kommunikation des Europäischen
Polizeiamtes Europol mit den Mitgliedstaaten, dem Austausch von Daten
über LKW-Fahrtenschreiber im Rahmen von TACHONET, dem Kommunikations-
und Informationssystem für Katastrophenfälle CECIS, den Financial
Intelligence Units der nationalen Polizeibehörden zur Aufdeckung von
Geldwäsche, dem europäischen Bildspeicherungssystem FADO zum Austausch
von Informationen über echte und falsche Dokumente oder dem
europäischen KFZ- und Führerschein-Informationssystem EUCARIS.[1]

Auch
wenn der internationale (kriminal-)polizeiliche Austausch von
Informationen nichts Neues ist, zeigen die Zahl der Informationssysteme
und die physikalische Zusammenlegung ihrer Datenübermittlung auf sTESTA
an, dass die grenzüberschreitende informationelle Zusammenarbeit im
europäischen "Raum der Freiheit, der Sicherheit und des Rechts"
mittlerweile eine neue Qualität erreicht hat. Zu den geschäftigsten
Projekten auf dieser Großbaustelle gehören derzeit der Aufbau des SIS
II und die Einrichtung des VIS sowie die Vernetzung nationaler
polizeilicher Datenbanken getreu dem Motto vom "Grundsatz der
Verfügbarkeit".[2]

"Digitale Grenzen" aus einem Guss: SIS II und VIS

Für
40 Millionen Euro erteilte die Europäische Kommission am 26. Oktober
2004 einem multinationalen Konsortium unter Führung von Steria-France
und Hewlett-Packard-Belgien den Zuschlag für die Entwicklung der
zentralen Komponenten des SIS II und des VIS auf einer gemeinsamen
technischen Plattform.[3]
Das SIS war in die Jahre gekommen. Als "Ausgleichsmaßnahme" für den
Wegfall der Kontrollen an den Binnengrenzen bereits am 26. März 1995 in
Betrieb gegangen, war das Fahndungssystem ursprünglich nur für den
Anschluss von acht Mitgliedstaaten angelegt. Obwohl seine Kapazitäten
im Laufe der Zeit sukzessive auf 18 Anschlüsse erweitert worden waren,
erklärte der Schengen-Exekutivausschuss angesichts der absehbaren
Engpässe bereits im Dezember 1996 die Weiterentwicklung des SIS für
notwendig.[4]
Spätestens mit der Überführung des Schengen-Besitzstandes in den Rahmen
der EU im Jahr 1999 war klar, dass angesichts der bevorstehenden
Erweiterungsrunde dringender Handlungsbedarf bestand, wollte man den
Neumitgliedern eine wesentliche Voraussetzung für die Anwendung der
"Ausgleichsmaßnahmen" als Bedingung für den Wegfall der Grenzkontrollen
garantieren. Am 6. Dezember 2001 wurden die Rechtsgrundlagen für den
Aufbau des SIS II innerhalb der Ersten und Dritten Säule der EU
verabschiedet. Die Verantwortung für Finanzierung und Entwicklung wurde
der Europäischen Kommission übertragen. Bereits damals war klar, dass
es nicht nur um den Ausbau der Kapazität gehen würde, sondern auch um
die Ergänzung "neuer Leistungsmerkmale".[5]
Nach diversen Studien, intensiven Diskussionen und verschiedenen
Vorschlägen der Kommission erließen des EU-Parlament und der Rat am
20. Dezember 2006 die Verordnungen über die Einrichtung, den Betrieb
und die Nutzung des SIS II in der Ersten Säule,[6]
also insbesondere zum Zweck der Migrationskontrolle. Am 12. Juni 2007
folgte der Ratsbeschluss zur Einrichtung des SIS II für die
polizeiliche und justizielle Zusammenarbeit.[7]

In
der Summe ergeben sich als Neuerungen gegenüber dem alten System eine
Ausdifferenzierung und Erweiterung der Kategorien von Personen und
Gegenständen, die zur Fahndung ausgeschrieben werden können, sowie eine
Ausweitung der Kategorien gespeicherter Daten insbesondere um
biometrische Informationen in Form von Lichtbildern und
Fingerabdrücken. Erweitert wurde der Kreis zugriffsberechtigter
Behörden um Europol, Eurojust, die nationalen Staatsanwaltschaften, die
Ausländer- und Asylbehörden sowie, aufgrund einer eigenen Verordnung,
die Kraftfahrzeugzulassungsstellen.[8]
Verlängert wurde die Speicherfrist für einige Daten auf bis zu zehn
Jahre. Neu ist auch die Möglichkeit, Personen- und Sachdaten
miteinander zu verknüpfen. Vorerst verzichtet wurde, obwohl längere
Zeit im Gespräch, auf die Möglichkeiten, DNA-Profile zu speichern oder
"gefährliche Störer" zur Fahndung auszuschreiben. Auch ist Europol die
Übertragung von Daten aus dem SIS II in seine eigenen Computersysteme
untersagt. Allerdings sind alle Optionen offen, hieß es doch bereits
2003 in einer Studie der Kommission: "Im Idealfall sollte das System
nach seiner Einrichtung so flexibel sein, dass sowohl neue Funktionen
als auch neue Daten und Regeln ohne große technische Veränderungen
integriert werden können."[9]

Die
Realisierung des Großprojektes gestaltet sich aus politischen und
technischen Gründen schwierig. Bereits mehrfach wurde der Termin der
Inbetriebnahme verschoben. War ursprünglich 2006/2007 avisiert, heißt
es nun, dass das System im September 2009 ans Netz gehen kann. Um die
zehn neuen Mitgliedstaaten nicht noch länger zu vertrösten, beschloss
der Rat fast zeitgleich mit der Entscheidung zur Einrichtung des SIS II
im Dezember 2006 die Aufrüstung des alten Systems zum "SIS one4all" als
Zwischenlösung. Das Provisorium ging im September 2007 ans Netz, so
dass nun auch die Neumitglieder am Schengener Fahndungsverbund
teilnehmen konnten und damit eine wesentliche Bedingung für den Wegfall
der Grenzkontrollen im erweiterten Schengen-Raum am 21. Dezember 2007
gegeben war.

Die Einrichtung des SIS II geht mittlerweile
in die dritte und letzte Phase. Der jüngste Fortschrittsbericht der
Kommission meldet, dass die Entwicklungs- und Testphase für das
zentrale System und dessen Verbindungen zu den nationalen Systemen
voraussichtlich Ende 2008 abgeschlossen werde.[10]
Die Vorbereitungen für die Generalprobe und die Migration der Daten vom
alten aufs neue System, so heißt es, liefen bereits. Angesichts
gewisser Risiken könnte es zwar durchaus sein, dass sich der auf
September 2009 datierte Start des SIS II nicht halten lässt, aber
spätestens 2010 dürften dann 25 EU-Mitgliedstaaten (Bulgarien und
Rumänien sitzen noch auf der Wartebank), Norwegen, Island, die Schweiz
sowie Europol und Eurojust Zugriff auf das modernisierte
Fahndungssystem haben.

Daran, dass das SIS, in dem mit
überwältigender Mehrheit Personen zur Einreiseverweigerung und
Identitätsdokumente zur Fahndung ausgeschrieben sind, primär ein
Instrument der Kontrolle und Abschottung gegenüber illegalisierten
MigrantInnen ist und weniger eines der klassischen Fahndung nach
flüchtigen StraftäterInnen, wird sich allerdings auch mit seiner
zweiten Version nichts ändern. Vielmehr dürfte der Kontrolldruck gegen
diese Bevölkerungsgruppe durch die Möglichkeiten der biometrischen
Identifizierung und die Einbeziehung neuer Agenturen noch steigen.

Die
Planungen für das VIS gehen auf den Gipfel der europäischen Staats- und
Regierungschefs am 21. und 22. Juni 2002 in Sevilla zurück, als diese
unter der Überschrift "Maßnahmen zur Bekämpfung der illegalen
Einwanderung" die "möglichst baldige Einrichtung eines gemeinsamen
Systems für die Visa-Identifizierung" forderten.[11]
Nicht mehr dem Pass der Herkunftsländer, so die Botschaft, soll bei der
Identifizierung von Reisenden aus Drittstaaten vertraut werden, sondern
primär dem von Konsulaten der EU-Staaten ausgestellten Visum. Mit
seinem Beschluss vom 8. Juni 2004 besiegelte der Rat schließlich den
Plan zur Einrichtung des VIS, für dessen Umsetzung der Kommission die
Verantwortung übertragen wurde.[12]
Das Projekt ist ambitioniert: Die Kommission schätzt, dass etwa 12.000
Kontrollstellen an den Außengrenzen der Europäischen Union sowie
weltweit 3.500 Konsulate von 27 Mitgliedstaaten an das System
angeschlossen werden müssen, und rechnet mit 20 Millionen Visumanträgen
jährlich.[13]

Angesichts
dieser Dimensionen ist "Synergie" das Zauberwort. Um Investitions- und
Betriebskosten zu sparen, wurde bereits 2003 die technische Integration
von VIS und SIS II auf zentraler Ebene vorgeschlagen. Darüber hinaus,
so die Kommission, würde die Nutzung einer beide Systeme integrierenden
Infrastruktur auch in den Mitgliedstaaten Kosten sparen und die
tägliche Arbeit der EndnutzerInnen vereinfachen und vereinheitlichen.
Nicht minder entscheidend ist aber ein funktionales Argument: Obwohl
die Einträge beider Datenbanken getrennt zu speichern sind, sollen
VIS-NutzerInnen in Auslandsvertretungen der Mitgliedstaaten bei der
Visumerteilung das SIS II abfragen können, um zu ermitteln, ob
AntragstellerInnen zur Einreiseverweigerung ausgeschrieben sind,
während SIS-NutzerInnen an Grenzkontrollstellen sowie in Ausländer-
oder Polizeibehörden die Echtheit eines Visums oder die Identität
Reisender mittels Zugriff auf das VIS überprüfen können sollen.[14]
Konsequenterweise werden VIS und SIS II daher nicht nur vom gleichen
Konsortium entwickelt, sondern haben auch eine identische
Systemarchitektur mit jeweils einem zentralen System in Straßburg und
einem Ausfallsystem bei Salzburg, nutzen mit sTESTA das gleiche
Netzwerk und werden – ebenso wie bereits EURODAC – von dem am
16. Dezember 2002 gegründeten Referat "EU-Informationssysteme" der
Generaldirektion für Justiz, Freiheit und Sicherheit koordiniert.[15]

Nach
langwierigen Diskussionen wurde im Juni 2007 schließlich das
Legislativpaket zum VIS beschlossen, bestehend aus der VIS-Verordnung
und dem VIS-Ratsbeschluss.[16]
Damit stehen die wesentlichen Details der Einrichtung des Systems fest.
Gespeichert werden dürfen alphanumerische Daten zu den Personalien der
Visum-AntragstellerInnen, gegebenenfalls zu einladenden Personen oder
Unternehmen, zum Reisedokument und dem Visum sowie Angaben über frühere
Anträge. Daneben ist die Speicherung von biometrischen Daten in Form
von Lichtbildern und den Abdrücken aller zehn Finger vorgesehen. Dass
Konsortialpartner Steria bereits die Geräte für die "Fingerprint Image
Transmission" zwischen den nationalen Behörden und der
EURODAC-Datenbank geliefert hatte, lässt ahnen, dass die
Interoperabilität zwischen SIS II, VIS und EURODAC im Bereich
automatischer Fingerabdruck-Identifizierung gesichert ist.[17]
Festgeschrieben ist nun auch, dass neben den Konsulaten und anderen für
die Visumausstellung und -kontrolle zuständigen Stellen nationale
Polizei- und Strafverfolgungsbehörden und Europol zum Zweck der
"Verhütung, Aufdeckung und Untersuchung terroristischer und anderer
schwerwiegender Straftaten" Zugriff auf das VIS haben werden.

Ursprünglich
sah der Zeitplan für die Einrichtung des Systems vor, dass dieses im
März 2007 für einen Verbund von vorerst sechs Staaten mit jeweils
mindestens einem Konsulat in Betrieb gehen sollte. Das "Biometric
Matching System" (BMS) sollte erst später implementiert werden.
Allerdings intervenierte der Rat im Februar 2005 und forderte, das BMS
von Beginn an als integralen Bestandteil des VIS zu nutzen. Aus diesem
Grund sowie aufgrund des wider Erwarten zähen Ringens um die
Rechtsgrundlagen wurde der Zeitplan im September 2006 angepasst.
Vorgesehen ist nun ein schrittweises Roll-out in den Konsulaten,
beginnend in Nordafrika. Nachdem bereits im Herbst 2007 die
VIS-Hardware in der Straßburger Zentrale und dem Ausfallzentrum bei
Salzburg installiert worden war und im Sommer 2008 alle Mitgliedstaaten
ans sTESTA-Netzwerk angeschlossen wurden, laufen derzeit die Tests zur
Einbindung des BMS und die Auslieferung der System-Komponenten an die
Konsulate. Bleibt man im Zeitplan, so hofft der jüngste
Fortschrittsbericht der Kommission, ist mit einer Inbetriebnahme des
VIS im Mai 2009 zu rechnen.[18]
Mit der Speicherung von Informationen über geschätzte 70 Millionen
Menschen wird das VIS dann die größte biometrische Datenbank der Welt
sein und im Verbund mit SIS II und EURODAC eine unsichtbare "digitale
Grenze" durch Europa ziehen, die der handfesten Abschottung an den
Außengrenzen im Hinterland den Rücken stärkt.[19]

"Grundsatz der Verfügbarkeit" und ein Umweg über Prüm

Das
zweite Großprojekt der digitalen Polizei- und Justizzusammenarbeit ist
die Vernetzung der nationalen Polizeidatenbanken. Immer wieder hatte
man sich auf europäischer Ebene beklagt über das mangelnde Interesse
und die geringe Nutzung insbesondere der zentralen Computersysteme
Europols und des Zollinformationssystems der Betrugsbekämpfungsagentur
OLAF durch die Polizei- bzw. Zollbehörden der Mitgliedstaaten.
Angesichts dessen forderte der Europäische Rat im Haager Programm vom
November 2004 ein "innovatives Konzept für den grenzüberschreitenden
Austausch von strafverfolgungsrelevanten Informationen" und erklärte
den "Grundsatz der Verfügbarkeit" zum neuen Leitmotiv. Im Klartext
heißt das: "Der bloße Umstand, dass Informationen Grenzen
überschreiten, sollte nicht länger von Bedeutung sein". Unionsweit
wollte man mit Wirkung zum 1. Januar 2008 den Polizeibehörden,
inklusive Europol, einen gleichberechtigten und möglichst unmittelbaren
Zugang zu Informationen einräumen – gegebenenfalls durch den
gegenseitigen (Online-)Zugriff auf nationale und die bestehenden
zentralen europäischen Datenbanken. Neue zentralisierte Systeme sollten
nur noch geschaffen werden, wenn ihr "Zusatznutzen" aufgezeigt werden
kann. Damit stellt der Grundsatz der Verfügbarkeit einen eindeutigen
Paradigmenwechsel dar.[20]

Allerdings
hatten zu diesem Zeitpunkt im Hintergrund bereits Staaten eines
innenpolitischen "Kerneuropa" die Initiative übernommen. Schon im
November 2003 hatte der deutsche Innenminister Otto Schily Österreich
zu Verhandlungen über einen Vertrag zur Vereinfachung der
grenzüberschreitenden Zusammenarbeit eingeladen, denen sich bald die
drei Benelux-Staaten und, in letzter Minute, Spanien und Frankreich
anschlossen.[21]
Am 27. Mai 2005 unterzeichneten RegierungsvertreterInnen dieser sieben
Staaten schließlich den Vertrag von Prüm in der gleichnamigen Stadt in
der Eifel.[22]
Der Vertrag "über die Vertiefung der grenzüberschreitenden
Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der
grenzüberschreitenden Kriminalität und der illegalen Migration" sieht
für den Bereich der informationellen Zusammenarbeit nicht nur einen
automatisierten grenzüberschreitenden Abgleich und Abfragen
forensischer DNA-Datenbanken zur Strafverfolgung vor, sondern darüber
hinaus die automatisierte Abfrage nationaler Fingerabdruckdatenbanken
und Fahrzeugregister auch zu präventiv-polizeilichen Zwecken und – im
Falle der Fahrzeugregister – selbst zur Verfolgung von
Ordnungswidrigkeiten. Zudem verpflichten sich die Prüm-Staaten – im
Rahmen des geltenden nationalen Rechts – zur Rechtshilfe bei der
zwangsweisen Erhebung und Übermittlung von DNA-Profilen, wenn sich
Personen, gegen die in einem Vertragsstaat Ermittlungsverfahren laufen,
in einem anderen Vertragsstaat aufhalten. Mittlerweile haben die
Regierungen von zehn weiteren EU-Staaten den Beitritt ihrer Länder zu
dem Vertrag erklärt. In Finnland, Ungarn und Slowenien ist der
Ratifizierungsprozess bereits abgeschlossen, in Italien, Portugal, der
Slowakei, Schweden, Bulgarien, Rumänien und Griechenland läuft er noch.

Im
November 2006 unterzeichneten die Vertragsstaaten das
Durchführungsabkommen. Unmittelbar darauf begannen Deutschland und
Österreich mit dem automatisierten Abgleich ihrer DNA-Datenbanken. Im
Mai 2007 schlossen sich Spanien und Luxemburg an. Slowenien folgte –
noch im Teilbetrieb – im April 2008 und die Niederlande schließlich im
Juli. Die automatisierte Abfrage der Fingerabdruckdatenbanken ist bis
heute einzig zwischen Deutschland und Österreich möglich, wo sie im
Juni 2007 begann. Auch die automatisierte Suche in
Kraftfahrzeugregistern findet bisher nur in einem Verbund von fünf
Prüm-Staaten statt.[23]
Beim Datenbank-Abgleich bzw. der Abfrage zur Suche nach DNA-Profilen
oder Fingerabdrücken werden nach dem Prinzip "Treffer/Kein Treffer"
Übereinstimmungen in einer Indexdatenbank gesucht, die keine Angaben
zur entsprechenden Person enthält. Im Falle eines Treffers kann die
vertraglich vorgesehene nationale Kontaktstelle, hierzulande das
Bundeskriminalamt, auf Grundlage der Indexnummer um Übermittlung von
"vorhandenen personenbezogenen Daten und sonstigen Informationen" auf
dem Wege der Rechtshilfe ersuchen. Einzig bei der Abfrage von
Fahrzeugregistern entfällt dieser Weg, da direkt auf Nominaldaten der
Fahrzeughalter zugegriffen wird.

Über den Erfolg der neuen
Möglichkeiten lässt sich streiten. Während Bundesinnenminister Wolfgang
Schäuble die "enorme Zeitersparnis und den erheblichen Effizienzgewinn"
für die grenzüberschreitende Zusammenarbeit betont und Fahndungserfolge
bei spektakulären Gewaltverbrechen beworben werden, zeigt eine
Zwischenbilanz des deutschen DNA-Datenabgleichs mit Österreich, Spanien
und Luxemburg vom 27. Dezember 2007, dass von den damals 2.330 Treffern
nicht einmal zwei Prozent (40 Fälle) auf Straftaten gegen das Leben
oder die sexuelle Selbstbestimmung entfielen. Zudem handelt es sich nur
bei knapp 45 Prozent der Treffer (1.046 Fälle) um eine Übereinstimmung
offener Tatortspuren aus Deutschland mit einem Personeneintrag in der
DNA-Datenbank der anderen Staaten.[24]
Die Mehrzahl der Treffer lieferte somit zwar Hinweise auf Serientaten,
gab aber keinen Aufschluss über mögliche Täter. Insofern hat sich an
der bisherigen Bilanz der nationalen Datenbanken auch mit ihrer
europäischen Vernetzung nichts geändert: Wenn überhaupt, liegt ihr
quantitativer kriminalistischer Nutzen im Bereich der
Eigentumskriminalität.

Gleichwohl entwickelte sich der
Vertrag von Prüm zum Modell für den grenzenlosen polizeilichen
Informationsaustausch. Aufgefordert durch das Haager Programm, bis Ende
2005 Konzepte zur Realisierung des Verfügbarkeitsgrundsatzes zu
unterbreiten, legte die Europäische Kommission im Oktober desselben
Jahres ihren Vorschlag für die Umsetzung vor.[25]
Dieser ähnelt in vieler Hinsicht dem Vertrag von Prüm, sieht allerdings
nicht mehr den Weg über nationale Kontaktstellen vor, sondern einen
direkten Draht "gleichwertiger zuständiger Behörden". Zudem erweitert
er die Zahl der Datenkategorien von drei auf sechs: Neben DNA-Profilen,
Fingerabdrücken und Fahrzeugregisterdaten nennt er auch ballistische
Erkenntnisse, Kommunikationsdaten sowie Mindestauskünfte zur
Identifizierung von Personen aus Personenstandsregistern. Überholt
wurde der Vorschlag der Kommission allerdings von einer Initiative der
Prüm-Unterzeichnerstaaten, deren Kreis bis 2007 auf 15 Länder
angewachsen war. Auf ihren Druck hin erklärte der Rat der Innen- und
JustizministerInnen im Juni 2007 seine Bereitschaft, wesentliche Teile
des Vertrages von Prüm in EU-Recht zu überführen. Im Juli 2008
schließlich verabschiedeten die MinisterInnen den entsprechenden
Ratsbeschluss.[26]
Nun haben die Mitgliedstaaten bis Mitte 2009 Zeit, die Regelungen
umzusetzen. Für die technische Realisierung der automatisierten
Datenbankabfragen und -abgleiche räumt der Beschluss eine Frist bis
2011 ein.

Auch in anderen Bereichen der polizeilichen und
justiziellen Zusammenarbeit setzt sich der Grundsatz der Verfügbarkeit
derweil durch: Nachdem der MinisterInnenrat im November 2005 die
Vernetzung und den automatisierten Datenaustausch zwischen den
europäischen Strafregistern beschlossen hatte, legte die Kommission im
Mai 2008 ihren Vorschlag für ein "European Criminal Records Information
System" (ECRIS) vor.[27]
Ein Rahmenbeschluss hierzu wurde auf dem Ratstreffen der Innen- und
JustizmininsterInnen am 24. Oktober 2008 verabschiedet. Ein
Pilotprojekt zur Umsetzung läuft derzeit zwischen 14 Ländern.[28]
Für Antworten auf nicht-automatisierte Anfragen der Polizeibehörde
eines EU-Mitgliedstaates bei KollegInnen in einem anderen Mitgliedstaat
gelten mittlerweile die Regeln der "Schwedischen Initiative", die im
Dezember 2006 in einen Rahmenbeschluss des Rates zur Vereinfachung des
Informationsaustausches gegossen wurden und der derweil von den
Mitgliedstaaten in nationales Recht umgesetzt wird.[29] Demnach sollen Anfragen künftig in dringenden Fällen binnen acht Stunden beantwortet werden, spätestens aber nach 14 Tagen.

Konvergente Plattformen für die Kooperation in Echtzeit

Behindert
wird die Realisierung der grenzüberschreitenden Verfügbarmachung
polizeilicher Informationen noch durch Probleme der sogenannten
Interoperabilität. Gemeint ist damit nicht nur die Kompatibilität von
technischen Komponenten und die Standardisierung von Datenformaten,
sondern auch die Übereinstimmung der Semantik, also der Bedeutung, von
Daten sowie Fragen ihrer gegenseitigen rechtlichen Anerkennung.

Zu
den Kernforderungen der "Future Group" für das kommende
Fünfjahresprogramm der europäischen Innenpolitik gehört daher die
"Umsetzung einer Strategie der Europäischen Union des
Informationsmanagements (EU Information Management Strategy, IMS), die
einen kohärenten Ansatz zur Entwicklung von Informationstechnologie und
zum Informationsaustausch fördert" (Rz. 44).[30]
Die wichtigsten Bausteine einer solchen Strategie sind aus Sicht der
Gruppe die "Verbesserung der Datenübertragung" von den Mitgliedstaaten
an Europol durch die "Einrichtung automatischer
Datenübermittlungsinstrumente" (Rz. 7 und 46), die Zusammenführung der
technischen Verwaltung europäischer Datenbanken wie SIS, VIS und
Eurodac "innerhalb einer einzigen Struktur" (Rz. 9) und die Erstellung
einer "’top 10′-Liste mit den zehn wichtigsten Datenkategorien"
(Rz. 45). "Langfristig", so heißt es hierzu, "kann nur ein gemeinsamer
europäischer Standard zur Datenspeicherung und ‑übertragung, darunter
Kompatibilitätsleitlinien und harmonisierte technische Datenformate,
die Bedingungen für einen effizienteren Informationsaustausch
verbessern" (Rz. 36). Die Ziele sind die "automatisierte Datenanalyse"
und die "Zusammenarbeit in Echtzeit" (Rz. 134). Gefordert wird ein
"Plattformansatz". "Dieser", so ist zu lesen, gehe "über die
Interoperabilität hinaus" und sei "dienstorientiert, so dass Ergebnisse
verschiedener Teile des Systems ausgetauscht (innerhalb von und
zwischen Organisationen) und Elemente des Systems einfach und schnell
wieder verwendet werden können" (Rz. 136). Die Mitgliedstaaten müssten
daher den "Aufbau konvergenter Plattformen vorantreiben – sie müssen
konvergente Netzwerke einrichten (oder nötigenfalls Lösungen, die dafür
sorgen, dass ihre Netzwerke miteinander ‚kommunizieren‘ können) und
sicherstellen, dass alle Datenströme digital übertragen und
zusammengeführt werden können" (Rz. 137).

Auch wenn die
Forderungen der "Future Group" mitunter wie schrille Zukunftsmusik
klingen, schreiben sie letztlich nur Trends fort, die sich seit
längerem abzeichnen. Bereits heute nutzen mindestens fünf Staaten
"Automatic Data Loader", um Informationen aus ihren nationalen
Polizeisystemen an Europol weiterzuspielen.[31]
Die Diskussionen um einen gemeinsamen Exekutivausschuss für SIS II, VIS
und EURODAC sind fast so alt wie die Planungen der Systeme selbst –
zudem wurde das Projektmanagement für diese bereits durch das 2002
gegründete Referat "Europäische Informationssysteme" der
Generaldirektion für Justiz, Freiheit und Sicherheit der Kommission
koordiniert.[32]
Die Wunschliste für weitere Datenkategorien, die grenzüberschreitend
verfügbar gemacht werden sollten, knüpft an eine Liste von 49 Arten als
relevant erachteter Informationen an, die bereits 2005 von den
"Freunden der Präsidentschaft", einer Gruppe von ExpertInnen aus der
Kommission, dem Generalsekretariat des Rates und den Mitgliedstaaten,
zusammengestellt wurde.[33]
Auch die Bemühungen um die Konvergenz der Plattformen sind bereits in
vollem Gange; stand doch auf der Sommertagung der "Chief Information
Officers of Police Forces in Europe" bereits ein dreistufiges "IT
Interoperability Programme" auf der Tagesordnung.[34]
Worauf kann angesichts dieser unüberschaubaren Geschäftigkeit setzen,
wer allen paternalistischen Sicherheitsversprechen der europäisch
entfesselten Exekutive zum Trotz deren Kontrolle für essenziell hält?

Datenschutz zwischen allen Säulen

Um
den Datenschutz war es im "Raum der Freiheit, der Sicherheit und des
Rechts" noch nie sonderlich gut bestellt. Als kleinster gemeinsamer
Nenner für das Schutzniveau in der Dritten Säule galt lange die
Europaratskonvention über die automatisierte Datenverarbeitung von
1981, ein Zusatzprotokoll von 2001 sowie ein unverbindliches Dokument
für den Polizeibereich von 1987, das im Kern lediglich die Existenz
einer nationalen Rechtsgrundlage empfiehlt, wenn Daten für "die
Prävention und Verfolgung von Straftaten sowie zur Aufrechterhaltung
der öffentlichen Ordnung" erhoben und verarbeitet werden.[35]
War diese gegeben, beschränkte sich der Rechtsrahmen im Wesentlichen
auf Forderungen nach Datenintegrität, -aktualität und -sicherheit. Zwar
hat der Europäische Datenschutzbeauftragte einen Fuß in der Tür, da das
sTESTA-Netzwerk in seine Zuständigkeit fällt. Auch hat er die Aufsicht
über das VIS und EURODAC sowie die "ersten Säulen" des SIS II und des
Zollinformationssystems der Betrugsbekämpfungsbehörde OLAF.[36]
Intervenieren kann er allerdings nur bei absehbarem oder tatsächlichem
Missbrauch der Systeme und der in ihnen gespeicherten Daten – gerade im
Bereich der Migrationskontrolle wird diese Hilfe für Betroffene
allerdings in den meisten Fällen zu spät kommen. Hilflos zusehen muss
er zudem dem fortschreitenden "Function Creep", der die
Zweckbestimmungen für die Datenbanken ständig ausweitet und sie dem
Zugriff eines immer größeren Kreises von NutzerInnen öffnet.

Auch
die "Gemeinsamen Kontrollinstanzen" (GKI) für Schengen, Europol und die
Zollkooperation mit ihrem gemeinsamen Sekretariat in Brüssel erweisen
sich trotz ihres ambitionierten Namens und durchaus umfassender
Auskunfts- und Inspektionsrechte als schwacher Schutzwall für die
Rechte der BürgerInnen – geschweige denn für jene der
Nicht-BürgerInnen. Die Ergebnisse ihrer Überprüfungen haben lediglich
Empfehlungscharakter. Das letzte Wort haben die VertreterInnen der
Exekutiven. Betroffenen BürgerInnen, so sie denn überhaupt von ihren
Auskunftsrechten Gebrauch machen und Kenntnis von ihrer Erfassung in
einem der diversen Informationssysteme erlangen, bleibt im Ernstfall
nur der langwierige und kostenintensive Rechtsweg.

Angesichts
der offenkundigen Defizite wurde bereits seit längerem – vergleichbar
der Datenschutzrichtlinie für die Erste Säule der EU – ein
verbindlicher Rechtsrahmen für den Datenschutz in der polizeilichen und
justiziellen Zusammenarbeit gefordert. Mit ihrem Vorschlag für einen
Rahmenbeschluss des Rates legte die Europäische Kommission im Oktober
2005 ein entsprechendes Papier vor.[37]
Zwar wurde diesem bescheinigt, in einigen Bereichen Fortschritte zu
bringen, allerdings ziehen sich großzügige Ausnahmeklauseln von den
schützenden Grundsätzen wie ein roter Faden durch das Dokument. Seine
Umsetzung, so lautete das Urteil kritischer Juristen, drohe "die Abkehr
von wesentlichen Grundsätzen des Datenschutzrechtes zu besiegeln".[38]

Wenig
verblüffend also, dass die überraschende Verabschiedung des
Rahmenbeschlusses am 27. November 2008 dem Rat der Innenminister nicht
einmal eine Pressemeldung wert war.[39]
Der Vorschlag der Kommission war in den vorausgegangenen dreijährigen
Verhandlungen nicht etwa, wie von Datenschützern und Europäischem
Parlament gefordert, nachgebessert, sondern vielmehr zusätzlich
ausgehöhlt worden. Begraben hat man beispielsweise die Idee eines,
wenngleich zahnlosen, beratenden Gremiums der Datenschutzbeauftragten.
Zudem beschränkt sich der Anwendungsbereich des Rahmenbeschlusses
nunmehr auf den Datenaustausch zwischen den Behörden der
EU-Mitgliedstaaten, lässt aber die Datenverarbeitung auf nationaler
Ebene unberührt. Vorrangig geht es dem Rahmenbeschluss, so ist in der
Vorrede zu lesen, darum, zur Unterfütterung des Grundsatzes der
Verfügbarkeit das "gegenseitige Vertrauen zwischen den zuständigen
Behörden" zu fördern und sicherzustellen.[40]
Gegenüber diesem Ziel ist der Schutz von Grundrechten zweitrangig.
Einer grenzenlosen Zirkulation personenbezogener Daten und ihrer
Anreicherung und Weiterverarbeitung durch die Polizeien der EU jenseits
einer effektiven Kontrolle durch die Betroffenen wurde somit einmal
mehr der Weg geebnet.

Eric Töpfer ist
Politikwissenschaftler am Zentrum Technik und Gesellschaft der TU
Berlin und Mitglied der Redaktion von Bürgerrechte & Polizei/CILIP.

[1] siehe Pressemitteilungen der Europäischen Kommission IP/06/1301 v. 3.10.2006 und http://europa.eu.int/idabc/en/document/2097/556
[2]
für einen Überblick über die zentralisierten Informationssysteme SIS,
ZIS, TECS und VIS siehe Busch, H.: Der Traum von der restlosen
Erfassung. Stand und Planung der EU-Informationssysteme, in:
Bürgerrechte & Polizei/CILIP 84 (2/2006), S. 29-43 sowie zur
aktuellen Entwicklung von Europols Computersystemen den Beitrag von
Busch in diesem Heft, S. 33-41
[3] Pressemitteilung der Europäischen Kommission IP/04/1300 v. 26.10.2004
[4] siehe Amtsblatt der Europäischen Gemeinschaften (ABl. EG) L 239 v. 22.9.2000, S. 440
[5] ABl. EG L 328 v. 13.12.2001 und ABl. EG L 328 v. 13.12.2001, S. 1 bzw. 4
[6] Amtsblatt der Europäischen Union (ABl. EU) L 381 v. 28.12.2006, S. 1-23
[7] ABl. EU L 205 v. 7.8.2007, S. 63 ff.
[8] ABl. EU L 381 v. 28.12.2006, S. 1 ff.
[9] KOM(2003) 771 endg. v. 11.12.2003, S. 6
[10] Ratsdok. 15930/1/08 v. 25.11.2008
[11] Ratsdok. 13463/02 v. 24.10.2002, S. 8
[12] ABl. EU L 213 v. 15.6.2004, S. 5 ff.
[13] KOM(2003) 771 v. 11.12.2003, S. 28
[14] ebd., S. 30
[15] ebd., S. 12
[16] Pressemitteilung der Europäischen Kommission IP/07/802 v. 12.6.2007
[17]
Aus, J.: Der Krieg im Innern. Biometrische Kontrollen nach dem
11. September, in: Bürgerrechte & Polizei/CILIP 76 (3/2003), S. 41
[18] KOM(2008) 714 endg. v. 10.11.2008
[19]
Broeders, D.: The New Digital Borders of Europe. EU Databases and the
Surveillance of Irregular Migrants, in: International Sociology Vol.
22(1), January 2007, pp. 71-92
[20] ABl. EU C 53/1 v. 3.3.2005
[21]
Hager, K.: The Prüm Treaty, in: Maximising the Opportunities for
Sharing DNA Information across Europe. Seminar Report (UK Home Office),
January 2006, p. 24
[22] Der Vertragstext findet sich unter: www.statewatch.org/news/2005/jul/schengenIII-german-full.pdf
[23] Auskunft der Pressestelle des Bundesinnenministeriums v. 2.10.2008
[24] www.dnasporen.nl/docs/literatuur/Prüm-Poster.pdf
[25] KOM(2005) 490 endg. v. 12.10.2005
[26] Beschluss 2008/615/JI des Rates v. 23.6.2008, ABl. EU L 210 v. 6.8.2008, S. 1
[27] Pressemitteilung der Europäischen Kommission IP/08/823 v. 30.5.2008
[28] Ratsdok. 14667/08 (Presse 299) v. 24.10.2008, S. 19
[29] ABl. EU L 386 v. 29.12.2006, S. 89 ff.
[30]
Future Group: Freiheit, Sicherheit, Privatheit – Europäische
Innenpolitik in einer offenen Welt. Bericht der Informellen
Hochrangigen Beratenden Gruppe zur Zukunft der Europäischen
Innenpolitik, Juni 2008, siehe www.bmi.bund.de oder Ratsdok. 11657/08 v. 9.7.2008
[31]
House of Lords. European Committee: 29th Report of Session 2007-08.
Europol. Report with Evidence. HL Paper 183 v. 12.11.2008, p. 31
[32] KOM(2003) 771 v. 11.12.2003, S. 12
[33] Bunyan, T.: The Shape of Things to Come. EU Future Report, London 2008, p. 39, www.statewatch.org/analyses/the-shape-of-things-to-come.pdf
[34] BT-Drs. 16/9987 v. 15.7.2008
[35]
Council of Europe Recommendation No. R (87) 15 of the Committee of
Ministers to Member States regulating the use of personal data in the
police sector v. 17.9.1987
[36] siehe www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/92
[37] KOM(2005) 475 endg. v. 4.10.2005
[38] Meyer, F.: Der Grundsatz der Verfügbarkeit, in: Neue Zeitschrift für Strafrecht 2008, H. 4, S. 194
[39] www.datenschutz.de/news/detail/?nid=3176
[40] Ratsdok. 9260/08 v. 24.6.2008, S. 3

Source: Bürgerrechte & Polizei/CILIP 91 (3/2008), http://www.cilip.de/ausgabe/i-91.htm