Datenschutz: Europol muss gesammelte Daten von Personen löschen

[English]Die EU-Polizeibehörde Europol hat eine riesige Sammlung an persönlichen Daten von Personen angehäuft, die irgendwo im Zuge von Ermittlungen, Krimialitätsberichten oder gehackten Messenger-Diensten sowie von Asylbewerbern erfasst wurden. Diese Datensammlung ist nach Ansicht des Europäischen Datenschutzbeauftragten unrechtmäßig erfolgt. Europol wurde daher angewiesen, die Daten von Personen zu löschen, die nie in ein Verbrechen verwickelt waren.

Der Europäische Datenschutzbeauftragte EDSB hat daher Europol am 3. Januar 2022 eine Anordnung zur Löschung von Daten über Personen, bei denen keine Verbindung zu einer kriminellen Aktivität nachgewiesen wurde (Data Subject Categorisation) erteilt. Dies geht aus dieser Meldung des Datenschutzbeauftragten hervor.

The Guardian schreibt hier, dass die Datensammlung mindestens 4 Petabyte umfasst. Dies entspricht einer Menge von 3 Millionen CD-ROMs. Experten sehen in der Datensammlung die Gefahr, dass die europäische Polizeibehörde Europol auf dem gleiche Weg zur Massenüberwachung der Bürger wie die US National Security Agency (NSA) ist.

Das Ganze geht auf eine bereits 2019 eingeleitete Untersuchung des EDSB ab, die jetzt mit diesem Löschungsbeschluss endet. Aber bereits im September 2020 wurde Europol im Rahmen dieser Untersuchung ermahnte vom EDSB wegen fortgesetzten Speicherung großer Datenmengen ohne Kategorisierung der betroffenen Personen ermahnt. Der Datenschutzbeauftragte sah darin ein Risiko für die Grundrechte der betroffenen Personen.

Obwohl Europol seither einige Maßnahmen ergriffen hat, ist Europol der Aufforderung des EDSB nicht nachgekommen, einen angemessenen Zeitraum für die Datenspeicherung festzulegen, um die personenbezogenen Daten zu filtern und zu extrahieren, die gemäß der Europol-Verordnung für die Analyse zugelassen sind. Dies bedeutet, dass Europol diese Daten länger als erforderlich aufbewahrt hat, was gegen die in der Europol-Verordnung verankerten Grundsätze der Datenminimierung und der Speicherbegrenzung verstößt.

In Anbetracht dessen hat der EDSB beschlossen, von seinen Befugnissen Gebrauch zu machen und eine 6-monatige Aufbewahrungsfrist (zum Filtern und Extrahieren der personenbezogenen Daten) vorzuschreiben. Datensätze, die älter als 6 Monate sind und die nicht dieser Kategorisierung der betroffenen Personen unterzogen wurden, müssen gelöscht werden. Dies bedeutet, dass es Europol nicht mehr erlaubt sein wird, Daten über Personen, die nicht mit einer Straftat oder einer kriminellen Aktivität in Verbindung gebracht werden, für lange Zeiträume ohne feste Frist aufzubewahren. Wojciech Wiewiórowski, EDSB, sagte:

Europol hat sich mit mehreren der Datenschutzrisiken befasst, die in der ersten Untersuchung des EDSB festgestellt wurden. Es gab jedoch keine nennenswerten Fortschritte bei der Behebung des Kernproblems, dass Europol kontinuierlich personenbezogene Daten über Einzelpersonen speichert, ohne dass festgestellt wurde, dass die Verarbeitung mit den in der Europol-Verordnung festgelegten Grenzen übereinstimmt.

Eine solche Sammlung und Verarbeitung von Daten kann zu einer riesigen Menge an Informationen führen, deren genauer Inhalt Europol oft erst dann bekannt ist, wenn sie analysiert und extrahiert werden – ein Prozess, der oft Jahre dauert. Ein Zeitraum von sechs Monaten für die Voranalyse und Filterung großer Datensätze sollte Europol in die Lage versetzen, den operativen Anforderungen der EU-Mitgliedstaaten gerecht zu werden, die Europol um technische und analytische Unterstützung bitten, und gleichzeitig die Risiken für die Rechte und Freiheiten des Einzelnen zu minimieren.

In Anbetracht der operativen Erfordernisse von Europol und der Menge der bisher gesammelten Daten habe ich beschlossen, Europol einen Zeitraum von 12 Monaten einzuräumen, um die Einhaltung des Beschlusses für die bereits im Besitz von Europol befindlichen Datensätze zu gewährleisten.

Der EDSB hat Europol die erwähnte Frist von 12 Monaten eingeräumt, um dem Beschluss für die Datensätze nachzukommen, die bereits eingegangen sind, bevor dieser Beschluss Europol mitgeteilt wurde.