Europäischer DNA-Binnenmarkt

Eric Töpfer

Drei Jahre nach Unterzeichnung des Vertrages von Prüm zur grenzüberschreitenden Polizeikooperation gleichen sechs europäische Länder automatisiert ihre DNA-Datenbanken ab. Nachdem der EU-Ministerrat wesentliche Teile des Vertrages in den EU-Rechtsrahmen überführt hat, sollen die anderen 21 Mitgliedsstaaten in den nächsten Jahren folgen.

[gen-ethisches-netzwerk.de] Ende Juni 2008 fand nach dem Abschluss einer Testphase der erste Abgleich der deutschen und niederländischen DNA-Analysedateien statt. Mit den Niederlanden begann das sechste europäische Land mit dem automatisierten grenzüberschreitenden Abgleich nationaler DNA-Datenbanken. Der Abgleich habe, so hieß es, auf deutscher Seite fast 600 „Treffer“ in niederländischen und auf niederländischer Seite sogar mehr als 1.000 „Treffer“ in deutschen Datensätzen ergeben. Diese müss-ten überprüft und gegebenenfalls bereinigt werden. Bundesinnenminister Wolfgang Schäuble zeigte sich zufrieden und betonte die „enorme Zeitersparnis und den erheblichen Effizienzgewinn“ für die grenzüberschreitende Zusammenarbeit der Behörden.1
Der Vertrag von Prüm

Rechtsgrundlage des Datenbank-Abgleichs ist Artikel 4 des maßgeblich vom deutschen Bundesinnenministerium vorbereiteten Vertrages von Prüm, der am 27. Mai 2005 von Deutschland, den Niederlanden, Österreich, Spanien, Frankreich, Belgien und Luxemburg in der gleichnamigen Stadt in der Eifel unterzeichnet wurde.2 Der Vertrag „über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration“ sieht nicht nur den automatisierten Abgleich und Abfragen polizeilicher DNA-Datenbanken zur Strafverfolgung vor. Er regelt auch grenzüberschreitende Abfragen nationaler Fingerabdruck-Datenbanken und Fahrzeugregister zu präventiv-polizeilichen Zwecken und – im Falle der Fahrzeugdaten – zur Verfolgung von Ordnungswidrigkeiten. Zudem verpflichten sich die Prüm-Unterzeichner – im Rahmen des jeweils geltenden nationalen Rechts – zur Rechtshilfe bei der zwangsweisen Erhebung und Übermittlung von DNA-Profilen, wenn sich Personen, gegen die in einem Staat Ermittlungsverfahren laufen, in einem anderen Vertragsstaat aufhalten.3
Mittlerweile gehören auch Finnland, Ungarn und Slowenien zu den Unterzeichnerstaaten. Beitreten wollen Italien, Portugal, die Slowakei, Schweden, Bulgarien, Rumänien und Griechenland. Zudem hat der Rat der europäischen Innen- und Justizminister auf Betreiben der deutschen EU-Ratspräsidentschaft bereits am 13. Juni 2007 vereinbart, wesentliche Elemente des Prümer Vertrages in den Rechtsrahmen der Union zu überführen 4 und ihnen damit Gültigkeit in allen 27 Mitgliedsstaaten zu verschaffen. Mit dem Ratsbeschluss 2008/615/JI wurde dieser Prozess am 23. Juni 2008 abgeschlossen. Die rechtliche Grundlage für den Aufbau des größten pan-europäischen Netzwerkes von Polizeidatenbanken ist somit gelegt. Bis zum Sommer 2011 soll nun die vollständige technische Umsetzung folgen. Derweil wirbt Österreich für eine Ausweitung des Teilnehmerkreises auf assoziierte EU-Staaten wie die Schweiz, Norwegen oder Island und verweist dabei auf die Wünsche von Polizeiexperten.5

Datenschützer alarmiert

Bürgerrechtler und Datenschützer kritisieren den Vertrag von Prüm und seine Überführung in den europäischen Rechtsrahmen zum einen wegen des intransparenten Verfahrens und der unzureichenden öffentlichen Diskussion: Hierzulande wurde der Gesetzentwurf in zweieinhalb Monaten durch den Bundestag gejagt, um ihn zu ratifizieren. Das Plenum widmete der Debatte nicht mehr als 30 Minuten – trotz der Reichweite der Entscheidung. Das Europäische Parlament wurde, da Prüm außerhalb des EU-Rahmens ausgehandelt wurde, weitgehend umgangen. Zum anderen bemängeln die Kritiker den unzureichenden Schutz von Grundrechten.6 Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor. Das Niveau des Datenschutzes beim grenzüberschreitenden Informationsaustausch orientiert sich jedoch bislang lediglich an der 27 Jahre alten Datenschutzkonvention des Europarates und an einer unverbindlichen Empfehlung des Europarates von 1987, wie die Konvention im Polizeibereich angewandt werden soll. Somit gilt also der kleinste gemeinsame europäische Nenner in Sachen Datenschutz, der im Prinzip jegliche Datenerhebung, -sammlung und -weiterverarbeitung durch die Polizei ermöglicht, solange diese eine nationale gesetzliche Grundlage hat. Konsequenterweise gilt daher für Datenbankabrufe und -abgleiche das innerstaatliche Recht der ersuchenden Länder, das sowohl hinsichtlich des Datenschutzniveaus als auch der Regelungen von DNA-Analyse und ‑Datenbanken äußerst unterschiedlich ist. Vor diesem Hintergrund nannte der Europäische Datenschutzbeauftragte Peter Hustinx im Mai 2008 den anstehenden EU-weiten Informationsaustausch einen „Alptraum“ und beklagte das Fehlen von verbindlichen Datenschutzstandards innerhalb der sogenannten Dritten Säule der EU-Zusammenarbeit im Bereich der Innen- und Justizpolitik.7 Zwar haben die EU-Innen- und Justizminister Ende November 2008 überraschend einen Rahmenbeschluss über den Datenschutz verabschiedet. Geregelt wird allerdings nur der zwischenstaatliche Datenaustausch; für die Erhebung und die Weiterverarbeitung der Daten gilt aber weiter nationales Recht.8

Von manuellen Einzelabfragen zum automatisierten Abgleich von Datenbanken

Auch Interpol betreibt mit dem „DNA Gateway“ bereits seit 2002 eine Plattform für den Abgleich von DNA-Profilen. Es handelt sich hierbei um eine autonome, zentrale Datenbank mit inzwischen 77.000 Einträgen aus 47 Ländern.9 Allerdings reichen die Polizeibehörden von ihnen erhobene DNA-Profile nur äußerst selektiv an Interpol weiter, da die Bedingung dafür ist, dass ein trans- oder internationaler Bezug des verfolgten Vergehens vermutet wird. Zudem werden die in der Regel per Fax oder E-Mail verschickten Einzelanfragen aus den 186 Mitgliedsländern durch Mitarbeiter der DNA-Einheit des Interpol-Generalsekretariats in Lyon manuell bearbeitet. Die seit 2005 bestehende Möglichkeit der automatisierten Online-Abfrage über das I-24/7-Interpol-Netzwerk für internationale Polizeikommunikation wird bisher nur von wenigen Ländern genutzt, wie zum Beispiel von Österreich, das maßgeblich an der Entwicklung des dafür nötigen „DNA Matching Systems“ beteiligt war.10 Deutschland beteiligt sich bis dato nur eingeschränkt an dem automatisierten System und hat die entsprechende Charta nicht unterzeichnet.

Insofern sieht Prüm erstmals überhaupt grenzüberschreitende automatisierte Abfragen und Abgleiche biometrischer Daten vor. Im Gegensatz zur Abfrage der Kraftfahrzeugregister findet der Zugriff auf die biometrischen Daten allerdings im so genannten Treffer-/Kein Treffer-Verfahren statt: Es wird auf eine Indexdatenbank zugegriffen, die keine die Betroffenen unmittelbar identifizierenden Daten enthält. Als „Treffer“ bei DNA-Daten gilt nach dem nunmehr europaweit gültigen System eine Übereinstimmung der Allelwerte (Zahlenpaare zur Bestimmung der individuellen Basensequenzvariation eines bestimmten DNA-Abschnitts) von mindestens sechs der 24 verschiedenen DNA-Abschnitte (auch Marker oder Loci genannt), die in unterschiedlicher Auswahl und Kombination für forensische Zwecke in Europa genutzt werden. Hierbei handelt es sich um „nicht-kodierende“ DNA-Abschnitte (siehe dazu Interview mit Peter Schneider, GID 170), die, zumindest nach dem gegenwärtigen Forschungsstand, keine Hinweise auf funktionale Eigenschaften eines Organismus, also zum Beispiel Haarfarbe oder Erbkrankheiten, beinhalten. Informiert wird die anfragende oder abgleichende nationale Kontaktstelle, in Deutschland das Bundeskriminalamt, durch die Übermittlung einer Kennzahl, die dann entsprechend Artikel 5 des Prümer Vertrages als Grundlage für Anfragen „weiterer zu den Fundstellendatensätzen vorhandener personenbezogener Daten und sonstiger Informationen“ auf dem Wege der Rechtshilfe dient.
Begonnen wurde die Vernetzung der Datenbanken mit dem Abgleich von DNA-Profilen zwischen Deutschland und Österreich unmittelbar nach der Unterzeichnung des Prüm-Durchführungsabkommens ATIA am 5. Dezember 2006. Im Juni 2007 folgte der erste automatisierte Abruf von Fingerabdrücken zwischen beiden Staaten. Im DNA-Bereich schlossen sich im Mai 2007 Spanien und Luxemburg an. Luxemburg hatte erst in der Folge von Prüm eine DNA-Datenbank eingerichtet. Slowenien folgte im April 2008.11 In Frankreich und Belgien laufen gegenwärtig die Testphasen; ein Datum für die Aufnahme des Datenaustausches ist allerdings nach Angaben des Bundesinnenministeriums ungewiss.12

Im Augenblick stehen der vollen Realisierung der durch Prüm angeregten Möglichkeiten europäischer Zusammenarbeit anscheinend noch Probleme der Interoperabilität und technischen Standardisierung im Weg. Wenig überraschend ist daher, dass das „Prinzip der Konvergenz“ eine zentrale Forderung der „Future Group“ ist, jener informellen Gruppe zur Vorbereitung des nächsten Fünf-Jahres-Progamms für die EU-Innen- und Justizpolitik nach 2009.13 Gemeint ist die Harmonisierung von technischer Ausrüstung und personeller Ausbildung der Polizeien in Europa. Bereits jetzt arbeiten verschiedene Gremien fleißig auf die Durchsetzung dieses Prinzips hin, so zum Beispiel die „Chief Information Officers of Police Forces“, deren Ziel es ist, die polizeiliche Informationstechnologie kompatibel zu machen.14

Fehleranfällige Nadelsuche im wachsenden Heuhaufen – eine Zwischenbilanz

Gerechtfertigt wird die grenzüberschreitende Vernetzung der DNA-Datenbanken, wie üblich, mit Hinweis auf die Aufklärung spektakulärer Einzelfälle. Doch wie repräsentativ sind solche „Erfolge“? Nach Angaben des Bundesinnenministeriums wurden bis Ende September 2008 rund 4.170 Treffer in DNA-Datenbanken anderer Vertragsstaaten erzielt.15 Eine Zwischenbilanz des deutschen DNA-Datenabgleichs mit Österreich, Spanien und Luxemburg vom 27. Dezember 2007 zeigt, dass von den damals 2.330 Treffern mehr als 86 Prozent (2.005 Treffer) auf Eigentumsdelikte wie Diebstahl oder Betrug entfielen. Knapp zehn Prozent (227 Treffer) standen im Zusammenhang mit Gewaltdelikten oder gemeingefährlichen Straftaten, der weitaus größte Teil davon (151 Treffer) auf Fälle von Raub oder Erpressung. Nicht einmal zwei Prozent der Treffer (40 Fälle) entfielen auf Straftaten gegen das Leben oder die sexuelle Selbstbestimmung. Zudem handelt es sich nur bei knapp 45 Prozent der Treffer (1.046 Fälle) um eine Übereinstimmung offener Tatortspuren aus Deutschland mit einem Personeneintrag in der DNA-Datenbank der anderen Staaten.16 Die Mehrzahl der Treffer lieferte somit zwar Hinweise auf Serientaten, gab aber keinen Aufschluss über mögliche Täter. Insofern hat sich an der bisherigen Bilanz der nationalen Datenbanken auch mit ihrer europäischen Vernetzung nichts geändert: Wenn überhaupt, liegt ihr quantitativer kriminalistischer Nutzen im Bereich der Eigentumskriminalität.

Trotzdem werden die Befürworter der „kriminalistischen Wunderwaffe“ nicht müde, auf eine Ausweitung zu drängen. Anfang 2008 waren in den 27 EU-Mitgliedsstaaten mehr als 5,5 Millionen DNA-Profile von bekannten Personen gespeichert sowie weitere 627.000 Tatortspuren von Unbekannten.17 Der Kreis der Erfassten wächst täglich. Zum einen, weil sich mit dem EU-Ratsbeschluss nun auch Länder wie Irland oder Griechenland, die bisher auf das Kontrollinstrument verzichtet hatten, zur Einrichtung einer nationalen DNA-Datenbank verpflichten. Zum anderen, weil die rechtlichen Hürden zur Entnahme von DNA-Proben sukzessive gesenkt werden. Angeführt wird der Trend zur Ausweitung von Großbritannien, dessen „National DNA Database“ bereits 1995 in Betrieb ging und mittlerweile über vier Millionen Personen erfasst (vgl. Artikel „Stand up for your rights” von Helen Wallace in diesem Heft). Gefolgt wird Großbritannien von Deutschland – Ende September 2008 hatte das BKA 592.561 Personen-Profile gespeichert.18

Gefolgt wird Deutschland von Frankreich. Dort durften bis 2003 nur Profile von Straftätern eingespeichert werden, die eines Sexualdelikts schuldig gesprochen und zu einer Freiheitsstrafe von mehr als sieben Jahren verurteilt worden waren. Bis dahin umfasste die Datei etwa 8.400 Profile von verurteilten Personen. Nach einer Gesetzesänderung darf nun die Polizei unabhängig von der Justiz entscheiden, ob Proben genommen und analysiert werden.19 Seitdem ist die Zahl der Datenbankeinträge explodiert und stieg bis 2008 auf mehr als 500.000. Die viertgrößte europäische Datei führt das Bundeskriminalamt von Österreich. Auch dort kann die Polizei bei einem Verdacht auf einen „gefährlichen Angriff“ seit einer Novelle des Sicherheitspolizeigesetzes von 2002 ohne richterliche Zustimmung zwangsweise DNA-Proben nehmen. Seit Inbetriebnahme der Datei im Oktober 1997 wurden mehr als 100.000 Personen gespeichert.20 Im Verhältnis zur Einwohnerzahl ist allerdings das kleine Estland Spitzenreiter in Kontinentaleuropa. Mit mehr als 20.000 Einträgen sind dort 1,5 Prozent der Bevölkerung erfasst (siehe Tabelle S.17).

Angesichts der zu erwartenden Ausweitung der DNA-Analyse in der EU wurde auf der Tagung „DNA-Data Exchange in Europe“, die im Juni 2008 in den Niederlanden stattfand, bereits über die Herausforderungen einer Analyse im „industriellen Maßstab“ diskutiert. In Großbritannien, so ein Teilnehmer, sind die Kapazitäten inzwischen so weit ausgebaut worden, dass jährlich bis zu 700.000 Profile in die Datenbank hochgeladen werden können, nachdem es zwischenzeitlich einen Rückstau von 120.000 unbearbeiteten Proben gegeben habe. Dass mit den wachsenden Datenbanken und einer absehbaren Steigerung der Abfragen auch die Wahrscheinlichkeit falscher „Treffer“ steigt, darauf machte auf der gleichen Konferenz Kees van der Beek vom Niederländischen Forensischen Institut aufmerksam (vgl. Interview mit Peter Schneider in diesem Heft): Statistisch gesehen, so rechnete er am Beispiel des damals kurz bevorstehenden Auftaktes des deutsch-niederländischen Abgleichs vor, wären – bei einer Berechnungsgrundlage von 500.000 deutschen Personen gegenüber 20.000 niederländischen Spurendatensätzen – 190 „Zufallstreffer“ zu erwarten. Falls der Forensiker mit seiner Hochrechnung richtig gelegen hat, verweist somit fast jeder fünfte der mehr als 1.000 niederländischen „Treffer“ des Auftaktabgleiches auf eine unschuldige Person.21

1. 1. BMI. Bundesinnenministerium: Deutschland und die Niederlande schließen Testphase beim Abgleich von DNA-Analysedateien erfolgreich ab, Pressmitteilung v. 1.7.2008.
2. 2. Eine deutsche Version des Vertrages von Prüm findet sich online unter: www.eu2007.bmi.bund.de/Internet/Content/Common/Anlagen/Themen/Polizei_und_Bundespolizei/DatenundFakten/Pruemer_Vertrag,templateId=raw,property=publicationFile.pdf/Pruemer_Vertrag.pdf.
3. 3. Darüber hinaus geht es im Vertrag von Prüm um den Informationsaustausch zur Verhinderung „terroristischer Straftaten“. Und auch grenzüberschreitende operative Polizeizusammenarbeit ist vorgesehen, wie gemeinsame Streifen und die Amtshilfe über die Grenze bei Großveranstaltungen oder im Katastrophenfall.
4. 4. Nicht übernommen wurden Regelungen zu „Sky Marshalls“ und grenzüberschreitender Nacheile sowie die „Maßnahmen zur Bekämpfung der illegalen Migration“.
5. 5. Reinhard Schmid (2008): Europäischer Datenverbund. In: Öffentliche Sicherheit (hg. vom österreichischen Innenministerium), 5-6/08, S. 57; Engere Kooperation mit den USA. In: Öffentliche Sicherheit, 1-2/08, S. 69.
6. 6. Vgl. u.a. Thilo Weichert: Wo liegt Prüm? Der polizeiliche Datenaustausch in der EU bekommt eine neue Dimension. In: DANA. Datenschutznachrichten, 1/2006, S. 12-15; Heiner Busch: Freier Binnenmarkt für Polizeidaten. EU ermöglicht gemeinschaftsweiten Zugriff auf DNA-Informationen. In: Grundrechte-Report 2008. Zur Lage der Bürger- und Menschenrechte in Deutschland, hg. von Till Müller-Heidelberg u.a., Frankfurt/Main: Fischer Taschenbuch Verlag, 2008, S. 38-41.
7. 7. Stefan Krempl: EU-Datenschützer tadelt Schäubles Polizei-Superdatenbank. In: heise online news, 15.5.2008. Online: www.heise.de/newsticker/EU-Datenschuetzer-tadelt-Schaeubles-Polizei-Supe… (12.7.2008).
8. 8. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: EU-Regelung zum Datenschutz bei Polizei und Justiz nicht mehr als ein erster Schritt, Pressemitteilung v. 2.12.2008
9. 9. Interpol: Databases Fact Sheet. COM/FS/2008-07/GI-04. Online: www.interpol.int/Public/ICPO/FactSheets/GI04.pdf (16.7.2008); Interpol: DNA Gateway Fact Sheet, COM/FS/2007-09/FS-01. Online: www.interpol.int/Public/ICPO/FactSheets/FS01.pdf (16.7.2008).
  10. 10. Werner Schuller: Interpol/DNA-Datenbank. Internationale Kooperation, in: der kriminalist, 4/05 (April 2005), S. 151-153.
  11. 11. BMI: Deutschland und Österreich beginnen als erste Staaten mit dem elektronischen Austausch von Fingerabdruckdaten, Pressemitteilung v. 4.6.2007.
  12. 12. Die automatisierte Abfrage der Fingerabdruck-Datenbanken ist weiterhin nur zwischen Deutschland und Österreich möglich; Tests finden mit Spanien, Luxemburg und Belgien statt. Auskunft der Pressestelle des BMI v. 2.10.2008.
  13. 13. Informal High Level Advisory Group on the Future of European Home Affairs Policy: Freedom – Security – Privacy. European Home Affairs in an open world, Juni 2008, S. 10. Online: www.statewatch.org/news/2008/jul/eu-futures-jha-report.pdf (1.10.2008).
  14. 14. Interoperabilität von Datenbanksystemen im Bereich der Inneren Sicherheit, Antwort der Bundesregierung auf die Kleine Anfrage von Bündnis 90/Die Grünen, Deutscher Bundestag, Drucksache 16/9987, 15.7.2008.
  15. 15. BMI: Freiheit und Sicherheit in Europa. Rede von Bundesminister Dr. Wolfgang Schäuble bei der Tagung „Freiheit und Sicherheit – Verfassungspolitische Dimensionen“ am 30. Mai 2008 in Tutzing, veröffentlicht am 3.6.2008.
  16. 16. Die Zahlen stammen aus der Posterpräsentation „Forensic DNA- profiles crossing borders“ von Kees van der Beek vom Niederländischen Forensischen Institut. Online: www.dnasporen.nl/docs/literatuur/Pr% C3%BCm-Poster.pdf (17.11.2008).
  17. 17. So die Angaben von Kees van der Beek vom Niederländischen Forensischen Institut, die am 5./6. Juni 2008 auf der Tagung „DNA-Data Exchange in Europe“ in Maastricht/Heerlen präsentiert wurden.
  18. 18. BKA: Statistik DNA-Analysedatei. Online: www.bka.de/profil/faq/dna02. html (19.11.2008).
  19. 19. Werner Schuller: Interpol/DNA-Datenbank. Internationale Kooperation, in: Öffentliche Sicherheit, 1-2/2005. Online: www.bmi.gv.at/
  20. 20. Reinhard Schmid: Meilenstein in der Kriminalistik. Zehn Jahre DNA-Datenbank, in: Öffentliche Sicherheit, 9-10/2007.
  21. 21. Kees van der Beek: „Exchange of DNA-profiles by the Treaty of Prüm“, präsentiert auf der Konferenz: „DNA-Data Exchange in Europe“, 5./6. Juni 2008 in Maastricht/Heerlen. Online: www.dna-conference.eu (5.7.2008).

Source: http://www.gen-ethisches-netzwerk.de/gid/191/toepfer/europaeischer-dna-binnenmarkt