Ermittelt die deutsche Polizei gegen einen Verdächtigen aus Österreich, kann sie auf hiesige DNA- und Fingerabdruckdaten zugreifen. Möglich macht das der Prümer Vertrag, der schon in den frühen 2000er-Jahren einen Rahmen für die "Zusammenarbeit der Strafverfolgungsbehörden bei der Bekämpfung grenzüberschreitender Kriminalität" etabliert hat. Datenschützerinnen und Datenschützer kritisieren das Abkommen hingegen als undemokratisch und intransparent, weil der übliche Gesetzgebungsprozess umgangen wurde – und bis heute nicht nachgewiesen worden sein soll, dass das Vorhaben notwendig ist.

Mittlerweile arbeitet die Europäische Union an einem Nachfolgegesetz, ohne den aktuellen Rechtsrahmen anhand der zahlreichen Kritikpunkte zu reevaluieren. Mit Prüm II sollen nicht nur DNA und Fingerabdrücke automatisch zwischen nationalen Behörden geteilt werden. Geplant ist ein grenzüberschreitender Austausch von Gesichtsbildern, Polizeiakten und Führerscheindaten innerhalb der EU und dem Schengenraum.

Problematische Ungenauigkeit

Das Ausmaß sensibler Daten, die damit automatisch und ohne streng formulierte Einschränkungen auf spezifische Formen der Kriminalität an andere Länder geschickt werden würden, sorgt nicht nur für einen Aufschrei von Grundrechtsorganisationen. Auch der Europäische Datenschutzbeauftragte (EDPS) Wojciech Wiewiórowski, der als Kontrollinstanz fungiert, kritisiert die aktuelle Fassung des Gesetzesentwurfs als zu weitreichend und vage formuliert.

Der Vorschlag würde wesentliche Elemente des Datenaustauschs nicht eindeutig festlegen, schreibt er in einer Anfang März veröffentlichten Stellungnahme. Es bleibe also offen, welche Straftaten einen automatisierten Datenabgleich rechtfertigen sollen und wessen Daten bei ebendiesem tatsächlich geteilt werden dürfen. Soll es ausschließlich verdächtige und verurteilte Personen treffen – oder auch Opfer und Zeuginnen? Laut dem EDPS sollte "der automatisierte Abruf von DNA-Profilen und Gesichtsbildern nur im Rahmen einzelner Ermittlungen bei schweren Straftaten" möglich sein. Eine Einschränkung, die im Kommissionsentwurf nicht vorgenommen wird.

Besonders kritisch sieht Wiewiórowski jedoch den automatisierten Austausch von Polizeiakten, da die Auswirkungen auf die Grundrechte betroffener Personen nicht abzuschätzen seien. Darüber hinaus würde nicht mit ausreichender Deutlichkeit dargelegt, dass ein solches System notwendig ist.

Ähnlich sieht das Ella Jakubowska von der Grundrechtsorganisation EDRi. Laut ihr gibt es massive Probleme mit der Datenqualität nationaler Polizeidatenbanken. Häufig würden diese neben Fakten auch Gerüchte, Hörensagen und diskriminierende Kommentare enthalten, "die in dieses System einfließen und an eine Polizeibehörde eines anderen Landes übermittelt werden", erklärt sie im STANDARD-Gespräch. Ein Paradebeispiel dafür seien entsprechende Datenbanken in den Niederlanden, die Informationen über hunderttausende Menschen enthalten sollen, die nie wegen einer Straftat verurteilt wurden – aber deren Akten mit Prüm II an ausländische Strafverfolgungsbehörden geschickt werden könnten.

Weitreichende Forderungen

Geht es nach dem Europäischen Rat, soll es jedoch dabei nicht bleiben. Dieser fordert mittlerweile zusätzlich die Inklusion von Führerscheinbildern in den automatisierten Datenaustausch. Laut Jakubowska würde man damit alle Menschen mit Fahrerlaubnis als potenziell verdächtig einstufen, ein Vorhaben, das EDRi aufs Schärfste kritisiert. Schon die von der Kommission geplanten Maßnahmen würden laut der NGO zu weit gehen.

Dass überhaupt versucht wird, mit Prüm II so weitreichend in die Grundrechte europäischer Bürgerinnen und Bürger einzugreifen, ist auch darauf zurückzuführen, dass der Vorstoß von den nationalen Polizeibehörden selbst kommt. "Das ist kein von der Kommission geführter Vorschlag. Die Polizeikräfte in den Mitgliedstaaten entwerfen genau das, was sie wollen, und setzen sich dafür ein", sagt die Datenschützerin.

Sollte das Gesetz in aktueller Fassung umgesetzt werden, könnte es deshalb zu einem quantitativen Anstieg des Einsatzes von Gesichtserkennungssystemen in der EU kommen. Etwa 50 Prozent der Mitgliedsstaaten nutzen laut Jakubowska derzeit keine entsprechenden Technologien. Der Gesetzesvorschlag würde jedoch "einen starken Anreiz bieten, diese Datenbanken nicht nur mit EU-Mitteln zu erstellen, sondern auch KI-basierte Gesichtserkennungssysteme auf sie anzuwenden", erklärt sie weiter. Problematisch sei das auch deshalb, weil die geplanten Sicherheitsvorkehrungen nicht ausreichen würden.

Unübliches Vorgehen

Ähnliche Kritik gab es schon gegenüber dem ursprünglichen Prümer Vertrag, der 2008 in Kraft getreten ist. Offizielles Ziel war damals die Bekämpfung von Terrorismus und grenzüberschreitenden Verbrechen. Die Initiatoren umgingen jedoch den üblichen Gesetzgebungsprozess, bei dem ein Vorschlag nach Präsentation der Kommission unter anderem das EU-Parlament durchlaufen muss.

Stattdessen begann Prüm I seine Reise im Jahr 2005 als zwischenstaatlicher Vertrag, damals unterschrieben von Österreich, Deutschland, Frankreich, Luxemburg, Belgien, Spanien und den Niederlanden. In der Zwischenzeit sind außerdem Ungarn, die Slowakei, Rumänien, Finnland, Bulgarien und Estland beigetreten. 2007 einigten sich die EU-Innenminister dann, Prüm in den EU-Rechtsrahmen zu übernehmen. Aufgrund dieser Vergangenheit könne man laut dem EDPS "zu dem Schluss kommen, dass mit dem Vorschlag für die Verordnung Prüm II diese spezifische Form der polizeilichen Zusammenarbeit zum ersten Mal einer angemessenen rechtlichen Prüfung unterzogen wird".

Wie die Kritik des EU-Parlaments nach ebendieser Prüfung ausfällt, wird sich in den kommenden Monaten zeigen. Der verantwortliche Ausschuss für bürgerliche Freiheiten, Justiz und Inneres hat im März seine leitenden Verhandlerinnen und Verhandler bekanntgegeben. Laut Jakubowska soll ein gemeinsamer Standpunkt bereits Mitte des Sommers bereitstehen, bevor die Verhandlungen mit dem Rat beginnen. Ein ambitionierter Zeitplan, wenn man die zahlreichen Bedenken von EDRi, aber auch jene des Datenschutzbeauftragten bedenkt. (Mickey Manakas, 17.4.2022)