Neue Europol-Vorschriften erweitern massiv die polizeilichen Befugnisse und verringern den Schutz der Bürgerrechte
Europol is now allowed to process vast quantities of data transferred to it by member states on people who may be entirely innocent and have no link whatsoever to any criminal activity, a move that legalises a previously-illegal activity for which Europol was admonished by the European Data Protection Supervisor.
The agency can now process “investigative data” which, as long it relates to “a specific criminal investigation”, could cover anyone, anywhere, and has been granted the power to conduct “research and innovation” projects. These will be geared towards the use of big data, machine learning and ‘artificial intelligence’ techniques, for which it can process sensitive data such as genetic data or ethnic background.
Europol can now also use data received from non-EU states to enter “information alerts” in the Schengen Information System database and provide “third-country sourced biometric data” to national police forces, increasing the likelihood of data obtained in violation of human rights being ‘laundered’ in European policing and raising the possibility of third states using Europol as a conduit to harass political opponents and dissidents.
The new rules substantially loosen restrictions on international data transfers, allowing the agency’s management board to authorise transfers of personal data to third states and international organisations without a legal agreement in place – whilst priority states for international cooperation include dictatorships and authoritarian states such as Algeria, Egypt, Turkey and Morocco.
At the same time, independent external oversight of the agency’s data processing has been substantially reduced. The threshold for referring new data processing activities to the European Data Protection Supervisor (EDPS) for external scrutiny has been raised, and if Europol decides that new data processing operations “are particularly urgent and necessary to prevent and combat an immediate threat,” it can simply consult the EDPS and then start processing data without waiting for a response.
Europol darf nun große Mengen von Daten verarbeiten, die ihm von den Mitgliedstaaten über Personen übermittelt werden, die möglicherweise völlig unschuldig sind und keinerlei Verbindung zu kriminellen Aktivitäten haben. Damit wird eine zuvor illegale Tätigkeit legalisiert, für die Europol vom Europäischen Datenschutzbeauftragten verwarnt wurde.
Die Agentur kann nun “Ermittlungsdaten” verarbeiten, die, sofern sie sich auf “spezifische strafrechtliche Ermittlungen” beziehen, jedermann und überall betreffen können, und hat die Befugnis erhalten, “Forschungs- und Innovationsprojekte” durchzuführen. Diese werden auf die Nutzung von Big Data, maschinellem Lernen und Techniken der “künstlichen Intelligenz” ausgerichtet sein, für die sie sensible Daten wie genetische Daten oder die ethnische Herkunft verarbeiten kann.
Europol kann nun auch Daten aus Nicht-EU-Staaten nutzen, um “Informationsausschreibungen” in die Datenbank des Schengener Informationssystems einzugeben und “biometrische Daten aus Drittstaaten” an nationale Polizeikräfte weiterzugeben. Damit steigt die Wahrscheinlichkeit, dass Daten, die unter Verletzung der Menschenrechte erlangt wurden, in der europäischen Polizeiarbeit “gewaschen” werden, und es besteht die Möglichkeit, dass Drittstaaten Europol zur Verfolgung politischer Gegner und Dissidenten nutzen.
Die neuen Vorschriften lockern die Beschränkungen für internationale Datenübermittlungen erheblich, so dass der Verwaltungsrat der Agentur die Übermittlung personenbezogener Daten an Drittstaaten und internationale Organisationen genehmigen kann, ohne dass ein rechtliches Abkommen besteht - zu den vorrangigen Staaten für die internationale Zusammenarbeit gehören Diktaturen und autoritäre Staaten wie Algerien, Ägypten, die Türkei und Marokko.
Gleichzeitig wurde die unabhängige externe Aufsicht über die Datenverarbeitung der Agentur erheblich eingeschränkt. Die Schwelle für die Befassung des Europäischen Datenschutzbeauftragten (EDSB) mit neuen Datenverarbeitungsvorgängen zur externen Prüfung wurde angehoben, und wenn Europol entscheidet, dass neue Datenverarbeitungsvorgänge “besonders dringend und notwendig sind, um eine unmittelbare Bedrohung zu verhindern und zu bekämpfen”, kann es einfach den EDSB konsultieren und dann mit der Datenverarbeitung beginnen, ohne auf eine Antwort zu warten.