Eine internationale Recherche von Solomon, CORRECTIV und Computer Weekly hat nun offengelegt, was schon länger gemunkelt wurde: dass Europol über Jahre hinweg eine parallele IT-Infrastruktur betrieben hat, in der sensibelste personenbezogene Daten ohne die rechtlich vorgeschriebenen Sicherheits- und Datenschutzmechanismen verarbeitet wurden. Im Zentrum des Vorgangs steht nicht nur ein technisches Versagen, sondern die Frage, wie eine europäische Sicherheitsbehörde sich dem Zugriff ihrer eigenen Aufsicht entziehen konnte.
Anatomie eines Schattennetzes
Gegenstand der Recherche ist das sogenannte Computer Forensic Network (CFN), das Europol nach eigenen Angaben 2012 als abgeschotteten Verarbeitungsraum für komplexe Ermittlungsdaten eingerichtet hat. Gedacht war die Plattform als eine Art Vorverarbeitungszone – etwa für Daten, die aus sichergestellten Geräten stammen und nicht in den regulären Systemen behandelt werden können, weil Format, Volumen oder Malware-Risiko dagegen sprechen. Aus dem technischen Auffangbecken wurde jedoch innerhalb weniger Jahre der zentrale Analyseraum der Behörde: 2019 lagen im CFN mindestens zwei Petabyte Daten, rund 420 Mal so viel wie in sämtlichen regulären Kriminaldatenbanken Europols zusammen.
Die formale Zuständigkeit sah eine geteilte Verwaltung durch die IT-Abteilung und das European Cybercrime Centre (EC3) vor. In der Praxis, so berichten mehrere ehemalige hochrangige Mitarbeiter unter Anonymität, übernahm die Cybercrime-Einheit die alleinige Kontrolle – ein Insider beschreibt das Resultat als „schwarzes Loch“ für unregulierte Datenanalyse. Entscheidend wurde der Kontrollverlust nach den Anschlägen vom November 2015 in Paris: Unter dem politischen Druck, Ergebnisse zu liefern, richtete Europol die Task Force Fraternité ein, in deren Rahmen die Mitgliedstaaten massenhaft Telefon- und Standortdaten übermittelten – darunter auch Verbindungsdaten zufälliger Anwesender im Umkreis des Bataclan.
Weckruf im Jahr 2019
Mit Inkrafttreten der europäischen Datenschutzreform 2018 ließ sich der Zustand nicht mehr stabil halten. Am 15. Februar 2019 legte der interne Datenschutzbeauftragte Daniel Drewer einen fünfseitigen Bericht an die drei stellvertretenden Exekutivdirektoren vor, dessen zentrale Zahl den Skandal zusammenfasst: 99 Prozent der operativen Daten Europols wurden im CFN gespeichert und ausgewertet, ohne grundlegende Datenschutz- und Sicherheitsvorkehrungen. Drewer warnte ausdrücklich vor einem Verarbeitungsverbot des Europäischen Datenschutzbeauftragten (EDSB), das „faktisch einer vollständigen Einstellung des operativen Geschäfts bei Europol gleichkäme“.
Eine im selben Jahr durchgeführte Sicherheitsbewertung bestätigte, dass das System nicht einmal über grundlegende Sicherheitskontrollen verfügte, und empfahl einen vollständigen Neuaufbau. Die in den per Informationsfreiheitsanfrage erlangten Berichten dokumentierten Schwachstellen lesen sich wie ein Lehrbuchkatalog des IT-Sicherheitsversagens: unzureichende Verwaltung privilegierter Zugriffsrechte, uneingeschränkte Software-Installation, fehlendes Passwortmanagement, keine administrativen Nutzungsprotokolle, unzureichende Netzzugangskontrolle. Der unabhängige Forensik-Experte Peter Sommer stuft insbesondere die Vielzahl mutmaßlich existierender Administratorkonten als „offensichtlichen Verstoß gegen die Integritäts- und Vertraulichkeitsanforderungen“ ein, da Administratoren Daten und Logs gleichermaßen manipulieren können.
Strafprozessuale Risiken jenseits des Datenschutzes
Für die Verteidigerperspektive ist nicht die aufsichtsrechtliche Dimension der eigentlich brisante Teil, sondern die Beweiswürdigungsfrage. Jim Killock von der Open Rights Group bringt das auf den Punkt: Europol müsse dringend offenlegen, wie tiefgreifend die Probleme seien und ob sie „Fragen der Beweisintegrität“ berührten. Wenn ein System über Jahre hinweg weder protokollierte, wer auf Daten zugriff, noch ob diese verändert oder gelöscht wurden, dann ist jede über das CFN generierte Spur potenziell angreifbar – mit direkten Folgen für grenzüberschreitende Ermittlungen, in denen Europol-Analysen eine Rolle spielen. Die heise-Berichterstattung weist zusätzlich darauf hin, dass der Einsatz der Plattform auch auf das sogenannte serverbezogene kriminalistische Analysieren, also die klassische Big-Data-Ermittlung, zielte.
Hinzu kommt, dass mindestens ein Analyseprojekt – „Focal Point Travellers“ – nach Europols eigenem Meldeverhalten Daten enthielt, die das FBI bereitgestellt hatte. Auf die Frage, ob die Mitgliedstaaten und das FBI über den regelwidrigen Verarbeitungskontext informiert waren, hat Europol nach Angaben der Recherche nicht geantwortet.
„Pressure Cooker“: die Verschleierung gegenüber dem EDSB
Besonders brisant ist ein Teilkomplex, den Europol dem EDSB nach Aussage der Whistleblower offenbar jahrelang nicht vollständig offengelegt hat: ein intern als „Pressure Cooker“ bezeichnetes Werkzeug, mit dem die Internet Referral Unit Daten aus offenen Quellen sammelte und analysierte – außerhalb der formalen IT-Governance. Eine interne E-Mail vom 5. Oktober 2022 mit der Kennzeichnung „Wichtigkeit: Hoch“ warnte Führungskräfte ausdrücklich davor, dass der EDSB Kenntnis von der „irregulären Situation mit dem Pressure Cooker“ erhalten könnte. Europol beschreibt den Begriff heute als internen Namen für das „Internet Facing Operational Environment“ (IFOE), das im Einklang mit dem EU-Recht betrieben werde.
Diese Darstellung steht im Widerspruch zu Aussagen ehemaliger Mitarbeiter und zu internen Nachrichten, denen zufolge bereits 2019 ein IT-Mitarbeiter festhielt, die von der operativen Einheit genutzte IFOE-Umgebung sei „im Notfallmodus unter der Pressure-Cooker-Vereinbarung“ entstanden und werde allein von dieser Einheit verwaltet. Ein ehemaliger hochrangiger Beamter beschreibt das Kontrollregime des EDSB als strukturell ungeeignet, versteckte Systeme zu finden: „Wenn wir von Inspektion sprechen, meinen wir keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen. Wir sprechen von einem höflichen Gespräch“. Die Prüfung beruhe weitgehend auf Selbstauskünften der Behörde – Systeme, die nicht formell benannt würden, blieben in der Regel ungeprüft.
Die „Big Data Challenge“ und ihre Grenzen
Die Meldung Drewers löste am 1. April 2019 die formelle Unterrichtung des EDSB durch die damalige Exekutivdirektorin Catherine De Bolle aus, gefolgt von einem jahrelangen Konflikt, der als „Big Data Challenge“ bekannt wurde und 2022 in einer Anordnung zur Löschung rechtswidrig gespeicherter Daten gipfelte. Öffentlich fokussierte sich der Streit auf die Datenaufbewahrungsdauer – die tieferliegenden Sicherheitsmängel blieben außerhalb der Öffentlichkeit. Ende 2023 stellte der EDSB fest, dass weiterhin nicht zuverlässig nachvollziehbar war, wer auf Daten zugegriffen oder sie verändert hatte; im Februar 2026 teilte er der Gemeinsamen Parlamentarischen Kontrollgruppe mit, dass er die CFN-Prüfung nach fast einem Jahrzehnt einstelle, obwohl 15 von 150 Empfehlungen nicht umgesetzt waren, darunter solche zu zentralen Sicherheitsvorkehrungen.
2025 konsultierte Europol den EDSB zu einem neuen System namens „IFOE-Quick Response Area“, das nach Einschätzung der Aufsichtsbehörde Gefahr läuft, zu einer „vollwertigen Parallelumgebung zur regulären Betriebsumgebung“ zu werden – mit der Möglichkeit, dass Mitarbeiter „Angeltouren“ nach irrelevanten personenbezogenen Daten unternehmen. Ein ehemaliger Beamter bezeichnet das Konstrukt als Versuch, den „Pressure Cooker“ nachträglich zu formalisieren.
Politische Dimension und Ausblick
Die Enthüllungen fallen in einen kritischen Moment. Die Europäische Kommission plant noch vor dem Sommer einen Gesetzesvorschlag, der Budget und Personal Europols verdoppeln und die Behörde in eine „wirklich operative Polizeibehörde“ umwandeln soll. Der konservative britische Abgeordnete David Davis ordnet die Rechercheergebnisse politisch ein: Sie deuteten „auf schwerwiegende Versäumnisse bei Aufsicht, Rechtmäßigkeit und Datenschutz“ hin; Systeme hätten „erheblich jenseits dessen operiert, was rechtmäßig ist“. Golem weist darauf hin, dass auch nach Bekanntwerden der Bedenken keine echte externe Kontrolle etabliert wurde und dass Europol hinsichtlich der vom Zugriff aus gemeldeten Datenpraktiken nur eingeschränkt kooperierte.
Was die Recherche für die Praxis bedeutet
Für die Strafverteidigung ergibt sich aus den Rechercheergebnissen ein konkreter Prüfauftrag: In jedem grenzüberschreitenden Verfahren, in dem Europol-Analysen als Beweisgrundlage oder Ermittlungsimpuls dienten, ist die Herkunft der zugrundeliegenden Daten systematisch zu hinterfragen – insbesondere für den Zeitraum zwischen 2015 und 2023, in dem das CFN nachweislich ohne ausreichende Zugriffsprotokollierung betrieben wurde. Die Frage, ob sich aus einem System ohne funktionierende Integritätskontrolle überhaupt gerichtsverwertbare Erkenntnisse ableiten lassen, wird die europäische Rechtsprechung der kommenden Jahre beschäftigen. Bis zur Klärung dürfte das CFN-Dossier eines der wichtigsten Verteidigungsargumente gegen datengetriebene europäische Strafverfolgung bleiben.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Verordnung - 14. Mai 2026
- Entwurf einer KI-Verordnung: EU reguliert Einsatz künstlicher Intelligenz (2023) - 14. Mai 2026
- Hessendata, Palantir und der digitale Ermittlungsstaat (Update) - 14. Mai 2026
