Die Europäische Union ist unermüdlich darin, vor den Gefahren einer Massenüberwachung mithilfe von künstlicher Intelligenz zu warnen. Immerhin würde diese eine nie dagewesene Automatisierung der Informationsverarbeitung ermöglichen – die wiederum eine Gefährdung der Grundrechte mit sich bringe, hieß es zum Beispiel in einer Aussendung des EU-Parlaments im Mai. Im Rahmen des "AI Act" soll der Einsatz entsprechender Technologien sogar zu großen Teilen verboten werden. Zumindest für manche.

Geht es um die Strafverfolgungsbehörden, verfolgt die EU einen gänzlich anderen Kurs. So trat am Dienstag – trotz massiver Kritik von Datenschützern – das neue Europol-Mandat in Kraft, das die europäische Polizeibehörde effektiv zur Massenüberwachung befugt. Konkret bedeutet das: Sie darf personenbezogene Daten Unschuldiger sammeln und verarbeiten, Big-Data-Analysen durchführen und im Sinne der "Forschung und Innovation" neue Technologien im Feld der KI entwickeln – und deren Algorithmen mit gesammelten Informationen füttern. So beschreibt es die Behörde selbst. Argumentiert wird der Schritt mit der Notwendigkeit einer verbesserten Kooperation bei der Bekämpfung von organisiertem Verbrechen und Terrorismus innerhalb der Union.

Die Grundrechtsorganisation EDRi bemängelt hingegen, dass das neue Mandat ein "datengesteuertes Polizeimodell" ermögliche, "das unsere grundlegendsten Rechte nicht schützt". Der Einsatz von KI-Systemen sei gefährlich für marginalisierte Gruppen, da diese "auf diskriminierenden Annahmen beruhende Merkmale priorisiert", um Menschen als verdächtig zu klassifizieren.

Anhaltende Kritik

Auch der Datenschutzbeauftragte der EU (EDPS), Wojciech Wiewiórowski, kritisiert das Vorhaben. Nicht zuletzt deshalb, weil die Polizeibehörde schon mehrmals wegen unerlaubter Datensammlung auffiel. 2020 rügte der EDPS Europol deswegen. Anfang dieses Jahres folgte eine weitere Aufforderung zur Löschung persönlicher Daten. Ob dieser jemals gefolgt wurde, ist allerdings unklar.

Problematisch sei das laut Wiewiórowski deshalb, weil Mitgliedsstaaten die Datenverarbeitung durch Europol rückwirkend legalisieren können – auch wenn diese vor Inkrafttreten des erweiterten Mandats stattfand. "Der EDPS hat starke Zweifel an der Rechtmäßigkeit dieser rückwirkenden Genehmigung", schreibt er in einer Stellungnahme Ende Juni.

Darüber hinaus führt er aus, dass die Behörde künftig die Daten Unschuldiger gleich behandeln dürfe wie jene von Personen, die mit einem Verbrechen in Verbindung stehen. Dennoch habe man die Ausweitung des Mandats "nicht durch starke Datenschutzgarantien kompensiert".

Mangelnde Qualität

Um das einzige Projekt zur Erweiterung der Macht von Strafverfolgungsbehörden handelt es sich jedoch nicht. Ein weiteres ist der Prümer Vertrags, dessen Neufassung sich derzeit in Arbeit befindet. Das Gesetz erlaubt seit schon den frühen 2000er-Jahren einen automatisierten, grenzüberschreitenden Austausch von DNA- und Fingerabdruckdaten zwischen nationalen Behörden. Künftig sollen diese durch Gesichtsbilder, Polizeiakten und Führerscheindaten ergänzt werden, die innerhalb der EU und des Schengenraums geteilt – und mittels KI ausgewertet werden sollen.

Sollten diese Maßnahmen umgesetzt werden, könnte es zu einem massiven Anstieg des Einsatzes von Gesichtserkennungssoftware innerhalb der EU kommen, warnte Ella Jakubowska im STANDARD-Gespräch schon im April. Derzeit würden noch etwa 50 Prozent der Mitgliedsstaaten keine solchen Technologien einsetzen. Der neue Rechtsrahmen werde jedoch "einen starken Anreiz bieten, diese Datenbanken nicht nur mit EU-Mitteln zu erstellen, sondern auch KI-basierte Gesichtserkennungssysteme auf sie anzuwenden".

Darüber hinaus gebe es massive Probleme hinsichtlich der Datenqualität nationaler Polizeidatenbanken. Neben Fakten seien in diesen häufig auch Gerüchte und diskriminierende Kommentare vermerkt. Mit Prüm II könnten all diese Ungenauigkeiten in ein zwischenstaatliches System einfließen und von Polizeibehörden im gesamten Schengenraum eingesehen werden.

Hinzu kommt, dass der Gesetzesentwurf derzeit sehr weit gefasst ist. In einer Stellungnahme kritisierte das im März auch Wiewiórowski. Es sei unklar, wessen Daten übermittelt werden dürfen. Nur jene des Straftäters oder auch die von Opfern oder Zeuginnen? Während der EDPS dazu rät, DNA-Profile und Gesichtsbilder nur im Falle schwerer Straftaten auszutauschen, sieht der Entwurf der EU-Kommission keine entsprechende Beschränkung vor.

Auch Frontex mit von der Partie

Ein drittes Projekt, das den Namen "Pedra" trägt, beleuchtete vor kurzem ein Bericht des "Spiegel". Laut diesem plant Europol gemeinsam mit der Grenzschutzagentur Frontex ein System zur Massenüberwachung an den EU-Außengrenzen. Geplant sei unter anderem der zwischenstaatliche Austausch sensibler Daten von Migranten; darunter DNA, Fingerabdrücke und Fotos. Auch hier lautet die Begründung, dass die Verfolgung grenzüberschreitender Verbrechen eine bessere Kooperation voraussetze. Laut den Berichterstattern hätten die Behörden bisher aber versucht, etwaige Bedenken unter den Teppich zu kehren.

Beiläufige Vorstöße

Was das erneuerte Europol-Mandat, Prüm II und "Pedra" allesamt gemeinsam haben, ist, dass sie von den Gesetzgebern deutlich weniger stark in die Öffentlichkeit getragen werden als andere digitalpolitische Vorhaben der Europäischen Union.

Bestes Gegenbeispiel hierfür ist das Gesetzespaket bestehend aus Digital Services Act (DSA) und Digital Markets Act (DMA), mit dem die Macht der größten Tech-Konzerne wie Google, Facebook und Amazon eingeschränkt werden soll. Die EU-Institutionen wurden im Vorfeld des Beschlusses nicht müde, die enorme Relevanz und Tragweite der Neuregulierung des digitalen Raums zu betonen und wiederholt klarzustellen, dass man damit Ordnung in den "Wilden Westen" des Internets bringe.

Auch die größten Grundrechtsorganisationen und die betroffenen Unternehmen fokussierten ihre Lobbyismus-Bemühungen auf den DSA und DMA. Für Letztere bedeuten die Gesetze immerhin unangenehme Veränderungen. Laut einer Studie des Corporate Europe Observatory geben allein die zehn größten Tech-Konzerne jährlich mehr als 32 Millionen Dollar für Lobbyismus bei EU-Institutionen aus – und versuchen, ihre Positionen "über Bande" im öffentlichen Dialog zu platzieren. DER STANDARD berichtete.

Widersprüche

Eine vergleichbare Lobby haben jene Menschen, die von massenhafter Datensammlung und darauf basierender Überwachungsmaßnahmen betroffen wären, nicht. Im Interesse der Gesetzgeber liegt eine allzu prominente Verlautbarung entsprechender Entwicklungen jedoch ebenso wenig. Unter anderem wegen der eingangs beschriebenen Widersprüchlichkeit des "AI Act" – und der Tatsache, dass mehr Öffentlichkeit für Proteste sorgen könnte, die die Durchsetzung der Vorhaben gefährden.

Zwar sind noch nicht alle der oben genannten Maßnahmen in Kraft getreten. Zum Beispiel steht eine Stellungnahme des EU-Parlaments zu Prüm II weiterhin aus. Angesichts der Tragweite einer Neugestaltung des Gesetzes – die durchaus mit jener des DSA und DMA vergleichbar ist – dürften die Gesetzgeber allerdings keine Mühe sparen, EU-Bürger über die Implikationen zu informieren. Auch dann, wenn dies für scharfe Kritik sorgen könnte. (Mickey Manakas, 9.7.2022)