Europäische Strafverfolgungsbehörden sollen mächtiger werden. Genauer gesagt befindet sich ein Gesetz in Arbeit, mit dem die EU den automatisierten Austausch von Gesichtsbildern, Polizeiakten und möglicherweise auch Führerscheindaten ermöglichen möchte. Die Rede ist von Prüm II, einer Neufassung des seit den frühen 2000er-Jahren bestehenden Prümer Vertrags, der nationalen Polizeibehörden schon jetzt erlaubt, DNA- und Fingerabdruckdaten von anderen Staaten innerhalb des Schengenraums anzufordern. Die Prozesse sollen nun automatisiert, die Datenkategorien ausgeweitet werden. Erklärtes Ziel ist die verbesserte Zusammenarbeit bei der Bekämpfung grenzüberschreitender Kriminalität, insbesondere in Fällen von Terrorismus.

Datenschützerinnen und Datenschützer, darunter der Europäische Datenschutzbeauftragte (EDPS) Wojciech Wiewiórowski, kritisieren den Vorstoß aufs Schärfste – und warnen vor Gefahren der Massenüberwachung. Zu weitreichend seien die neuen Befugnisse, zu marginal die damit einhergehenden Sicherheitsvorkehrungen. Die Verhandlungen im zuständigen Libe-Ausschuss des EU-Parlament schreiten jedoch rasch voran. Am Mittwoch endet die Frist zur Einreichung von Änderungsvorschlägen zum Kommissionsentwurf. Doch: Warum ist Prüm II so umstritten?

Vage Formulierung, weitreichende Befugnisse

Es gibt unterschiedlichste Kritikpunkte, darunter vor allem die vage Formulierung der geplanten Befugnisse. So beklagte Wiewiórowski im März, dass der Entwurf nicht einmal spezifiziere, welche Art von Straftaten einen automatisierten Datenabgleich rechtfertigt. Ebenso unklar sei, wessen Daten überhaupt geteilt werden dürfen. Heißt: Es wird nicht definiert, ob nur Tatverdächtige oder auch Opfer und Zeuginnen betroffen sind.

Darüber hinaus sei die Datenqualität nationaler Datenbanken häufig mangelhaft, warnt die Grundrechtsorganisation EDRi in einem neuen Positionspapier. Sehr häufig würden Polizeiakten Vorurteile und Gerüchte, aber auch diskriminierende Kommentare enthalten – die unter Prüm II an potenziell unzählige Strafverfolgungsbehörden innerhalb des Schengenraums geschickt werden könnten. Die NGO befürchtet, dass es dadurch zu einer Kriminalisierung von Oppositionellen, aber auch Migrantinnen und Migranten kommen könnte.

Daten, Daten, Daten

Der EU-Rat will sogar noch einen Schritt weitergehen. Laut ihm sollen auch Führerscheindaten in den automatischen Austausch inkludiert werden – womit man alle Menschen im Besitz einer Fahrerlaubnis für potenziell Verdächtig erklären würde, kritisierte Ella Jakubowska von EDRi im STANDARD-Gespräch im April.

Außerdem wird das Vorhaben ihr zufolge einen quantitativen Anstieg des Einsatzes von Gesichtserkennungssoftware nach sich ziehen. Wollen EU-Staaten an Prüm II teilhaben, müssen sie auch selbst entsprechende Datenbanken und Erkennungssysteme betreiben. 13 EU-Staaten hätten derzeit noch keine solchen Technologien im Einsatz, schreibt die NGO. Ändern dürfte sich das einerseits wegen des Anreizes, dank des Prüm-Frameworks auf einen europaweiten Datenschatz zugreifen zu können. Andererseits, weil die EU finanzielle Unterstützung für die Einrichtung verspricht.

Schwachstellen ausbügeln

Für Stirnrunzeln sorgte bei seiner Einführung im Jahr 2008 schon der ursprüngliche Prümer Vertrag. Die EU argumentierte damals, das Gesetz habe das Ziel, die Bekämpfung von Terrorismus und grenzüberschreitenden Verbrechen zu verbessern. Die Initiatoren umschifften allerdings die ordentliche Prüfung durch das EU-Parlament.

Prüm II soll nun etwaige Schwachstellen ausbügeln und die Zusammenarbeit verbessern. So die offizielle Argumentation. Glaubt man dem EDPS und relevanten Grundrechtsorganisationen, fehlen aber weiterhin ausreichende Datenschutzvorkehrungen. Wiewiórowski hielt im März deshalb schriftlich fest, dass er 15 Jahre nach seiner ersten Stellungnahme zum Prümer Vertrag noch immer Bedenken hinsichtlich der Verhältnismäßigkeit habe. Seine Sorgen hätten sich "durch die vorgeschlagene Ausweitung des Anwendungsbereichs des automatisierten Datenaustauschs sogar noch verschärft".

Offene Zukunft

Auch EDRi fordert klare Sicherheitsvorkehrungen, darunter unabhängige Datenschutz-Audits teilnehmender Staaten und eine Vereinheitlichung der Rechtsgrundlage für Eintragungen in – und Löschungen aus – DNA-Registern. Außerdem brauche es Mindeststandards dafür, was als schweres Verbrechen gilt. Jedes Land solle zudem klar definieren, was als begründeter Verdacht gilt, liest man im Paper.

In der aktuellen Fassung ist Prüm II laut Jakubowska jedenfalls eine verpasste Chance, um Diskriminierung zu verhindern und die Menschenrechte bei der Verarbeitung der sensibelsten Daten durch die Polizei zu schützen. Der Kommissionsvorschlag versäume es, "Beschränkungen oder Schutzmaßnahmen einzuführen, um sicherzustellen, dass das System nur für die Unterstützung von Ermittlungen bei schweren Straftaten verwendet werden kann".

Ob die Kritikpunkte in den kommenden Verhandlungen Berücksichtigung finden und die Maßnahmen zum Schutz der Persönlichkeitsrechte verschärft werden, bleibt abzuwarten. Wenn, dann dürfte vor allem das EU-Parlament eine Stärkung der Bürgerrechte einfordern. (mick, 14.9.2022)