Kategorien
Cybercrime Blog

EDSB: EUROPOL muss Daten löschen

Der europäische Datenschutzbeauftragte („EDSB“) hat Europol schon im Januar angewiesen, Daten über Personen zu löschen, für die keine Verbindung zu einer kriminellen Aktivität nachgewiesen wurde („Data Subject Categorisation“). Dieser Beschluss schließt die 2019 eingeleitete Untersuchung des EDSB ab.

EDSB mit Bedenken

Aus der Mitteilung des EDSB ergibt sich, dass Europol der Aufforderung des EDSB nicht nachgekommen ist, einen angemessenen Zeitraum für die Datenspeicherung festzulegen, um die personenbezogenen Daten zu filtern und zu extrahieren, die gemäß der Europol-Verordnung für die Analyse zulässig sind. Im Ergebnis hat Europol diese Daten dann länger als erforderlich aufbewahrt, was aus Sicht des EDSB im Widerspruch zu den in der Europol-Verordnung verankerten Grundsätzen der Datenminimierung und der Speicherbegrenzung steht.

Darum hat der EDSB beschlossen, von seinen Berichtigungsbefugnissen Gebrauch zu machen und eine 6-monatige Aufbewahrungsfrist (zum Filtern und Extrahieren der personenbezogenen Daten) vorzuschreiben. Datensätze, die älter als 6 Monate sind und die nicht dieser Kategorisierung der betroffenen Personen unterzogen wurden, müssen gelöscht werden. Dies bedeutet, dass es Europol nicht mehr erlaubt sein wird, Daten über Personen, die nicht mit einer Straftat oder einer kriminellen Aktivität in Verbindung gebracht werden, für lange Zeiträume ohne feste Frist aufzubewahren. Der EDSB hat Europol eine Frist von 12 Monaten eingeräumt, um dem Beschluss für die Datensätze nachzukommen, die bereits vor der Meldung dieses Beschlusses bei Europol eingegangen sind.

Grundlagen der Speicherung bei EUROPOL (Auskunft der Bundesregierung)

Die Verarbeitung von Daten orientiert sich gemäß der Europol-VO an deren Zweckbindung. Eine explizite Nennung von Datenbanken sieht die EuropolVO nicht vor. Demnach können strategische sowie operative Daten bei Europol in verschiedenen Anwendungen verarbeitet werden. Grundsätzlich ist jedoch anzuführen, dass neben dem EIS die Mehrheit der Daten in den operativen Analysedateien (APs) verarbeitet werden.

Die Speicher- bzw. Aussonderungsprüffristen für die übermittelten deutschen Daten orientieren sich nicht allein an der Verarbeitung bei Europol, sondern auch an den entsprechenden nationalen Vorgaben. Die nationalen Fristen ergeben sich aus den nationalen Gesetzen. Für Europol selbst ergeben sich die Löschfristen für personenbezogene Daten im Grundsatz aus Artikel 31 Europol-VO, auf den verwiesen wird.

Gemäß Europol-Verordnung (Europol-VO) können die Mitgliedstaaten bei der Übermittlung von Daten an Europol neben der allgemeinen Bestimmung der Zweckbindung nach Artikel 19 Absatz 1 Europol-VO sowie allgemeinen Einschränkungen für den Datenzugriff oder die Datenverwendung gemäß Artikel 19 Absatz 2 Europol-VO insbesondere auch sogenannte Handling Codes
mitteilen. Hiermit können vom Absender entsprechende Verwertungsbeschränkungen, insbesondere bezüglich der Löschung und Vernichtung der Informationen, auferlegt werden. Europol erfasst die Beschränkungen in den dortigen
Systemen, um hierdurch eine diesen Beschränkungen entsprechende Weiterverarbeitung gewährleisten zu können. Die Europol-VO enthält überdies ein eigenes Kapitel zu den Datenschutzgarantien mit ausführlichen Vorgaben. Dies umfasst etwa in Artikel 31 Europol-VO Vorschriften über die Speicher- und Löschfristen für personenbezogene Daten, wonach personenbezogene Daten generell nur so lange von Europol gespeichert werden dürfen, wie dies zur Erreichung der Verarbeitungszwecke erforderlich und verhältnismäßig ist.

In Fällen, in denen aus dem Ausland an das BKA übermittelte personenbezogene Daten nach einer Kategorisierung gemäß den §§ 18, 19 des BKA-Gesetzes im Informationssystem des BKA gespeichert werden, gilt § 77 des BKA-Gesetzes. Demnach prüft das BKA nach § 75 des Bundesdatenschutzgesetzes (BDSG) bei der Einzelfallbearbeitung (z. B. nach einer konkreten neuen Information aus dem Ausland zu der betreffenden Person) und spätestens nach festgesetzten Fristen, ob gespeicherte Daten zu berichtigen oder zu löschen sind.

Speichermenge bei EUROPOL

In dem Zusammenhang spannend ist die BT-Drucksache 20/962, in welcher sich die Bundesregierung zu einer möglichen illegalen Datensammlung bei Europol äußert.

Hier kann man nachlesen, dass mit Stand 23. Februar 2022 insgesamt 1 517 855 „Entitäten“ im Europol Informationssystem (EIS) gespeichert sind. Der deutsche Anteil beträgt dabei 502 127 Entitäten. Eine Unterscheidung nach übermittelnden deutschen Behörden auf „Objektebene“ wird hier statistisch nicht erfasst. Dabei wurden Jahr 2020 insgesamt 10,23 Millionen Suchanfragen im EIS durchgeführt, im Jahr 2021 belief sich die Anzahl der Suchanfragen auf 12,25 Millionen. Deutschland hat hiervon im Jahr 2020 insgesamt 7,35 Millionen Suchen generiert, im Jahr 2021 belief sich die Anzahl auf 9,27 Millionen Suchanfragen. Wozu diese Datenmassen dienen können, zeigen recht eindrücklich die diversen Daten-Analyse-Projekte bei EUROPOL.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Auf Strafverteidigung & Wirtschaftsstrafrecht spezialisiert übernehmen wir ausschließlich Strafverteidigungen, Ordnungswidrigkeiten und Strafvollstreckungssachen.
Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, speziell in Cybercrime, Wirtschaftsstrafrecht und Arbeitsstrafrecht sowie bei Unternehmens-Bußgeldern