eu-LISA: Wie sich die EU eine neue Super-Behörde zur Überwachung baut
Sechs verschiedene Datenbanken sollen verknüpft werden, zu hunderten Millionen Datensätzen. „Hier droht eine umfassende Massenüberwachung“, warnen Datenschützer.
Es geht um hunderte Millionen Datensätze, biometrische Fotos und Fingerabdrücke: Im Kampf gegen den Terror will die EU ihre Überwachungstechnik runderneuern und dabei auch gleich massiv ausweiten. Das sieht ein Bündel an Gesetzentwürfen der Kommission vor, das heute im EU-Parlament in Straßburg debattiert wird.
Was technisch klingt, hat enorme Folgen: Denn mit der Ausweitung sollen Daten aus den Bereichen Migration, Reisen und Polizei miteinander verknüpft werden – Daten, die vorher in einzelnen Silos voneinander abgeschottet gespeichert waren. Sie alle sollen in einem neuen Identitätsspeicher zusammenlaufen und so für europäische Behörden mit einem Klick durchsuchbar werden: egal ob für Ausländerbehörden, Polizisten oder bei Einreisen in die EU an Flughäfen und Bahnhöfen. Das sperrige Wort dafür: Interoperabilität.
In Brüssel heißt es, Sicherheitsbehörden könnten damit „intelligenter und gezielter“ zusammenarbeiten. Und in Berlin hofft Bundesinnenminister Horst Seehofer (CSU) auf bessere Fahndungserfolge. Es gelte auch, zu vermeiden „dass sich Leute wie Amri, der Attentäter vom Berliner Weihnachtsmarkt, 14-mal registrieren lassen“, heißt es aus seinem Ministerium.
„Hier droht eine umfassende Massenüberwachung“
Doch Datenschützer warnen vor gravierenden Eingriffen. Der Europäische Datenschutzbeauftragte sieht etwa das Prinzip der Zweckbindung verletzt – das besagt: Daten dürfen nur für jene Zwecke benutzt werden, für die sie erhoben wurden. Asylbehörden dürfen Migrationsdatenbanken nutzen, Strafverfolgungsbehörden dürfen Daten nutzen, die zum Zweck der Strafverfolgung erhoben werden, Passbehörden dürfen auf Pass- und Meldedaten zugreifen. Vermischt werden darf das nicht. Bisher. Das soll nun aufgeweicht werden.
Der Chef der Europäischen Akademie für Informationsfreiheit und Datenschutz, Peter Schaar, der auch zehn Jahre lang Bundesdatenschutzbeauftragter war, warnt von einer „der großen technologischen Gefahren, die bisher viel zu wenig diskutiert werden. Hier droht eine umfassende Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenzen einreisen.“
Die Bedenken der Kritiker: mit der neuen Datenbank werden mitnichten nur Terrorverdächtige überwacht. Es reicht im Prinzip, in der EU zu wohnen und jemanden einzuladen, der kein EU-Bürger ist – oder eine doppelte Staatsangehörigkeit zu haben – oder schlicht, in einem Nicht-EU-Land zu wohnen und in die EU einreisen.
„Das ist der Wahnsinn, der politische Druck war zu hoch.“
Den Gesetzesvorschlag hatte eine hochrangige, anonyme Expertengruppe der Europäischen Kommission Mitte 2017 erarbeitet. Der Zeitdruck war immens: Nicht mal ein Jahr hatten die EU-Parlamentarier Zeit, schon im April soll das Gesetzespaket verabschiedet werden. Danach stehen die Ausschreibungen für den Bau der neuen IT-Systeme an. Ein solches Tempo gebe es bei Gesetzgebungsverfahren selten, erklärt jemand aus dem EU-Parlament, der öffentlich nicht darüber sprechen darf und darum hier anonym bleiben möchte, gegenüber BuzzFeed News: „Das ist der Wahnsinn, der politische Druck war zu hoch.“ Die Kommission habe sogar in etlichen Abgeordnetenbüros einzeln angerufen.
Die neue Super-IT-Agentur: eu-Lisa
Mit den Plänen bekommt eine Behörde enorme Macht, von der bislang höchstens Nerds etwas gehört haben – eu-Lisa, die Europäische Agentur für Betriebsmanagement von IT-Großsystemen. Sie hat ihren Sitz in Brüssel und im estnischen Tallin. Die Behörde mit dem harmlos klingenden Mädchennamen verwaltet bislang vier getrennte IT-Systeme, in denen die Daten von EU-Bürgern und Drittstaatsangehörigen gespeichert sind:
Bis 2021 kommen zwei neuen Systeme hinzu, um Touristen und Geschäftsleute zu überwachen:
All diese Datensätze – bislang in einzelnen, voneinander getrennten Silos – sollen nun in einem neuen Topf landen. Und der wird enorm.
Millionen neuer Datensätze, ungeahnte Kosten
Sechs IT-Systeme, hunderte Millionen an neuen Daten: Damit EU-Beamte hier überhaupt den Überblick behalten, soll ihnen ein europäisches Suchportal geschaffen werden – eine Art Suchmaschine für Identitäten. Die Daten selbst landen im Identitätsspeicher, einer Art Kerndatensystem, in dem Personeninformationen aus allen sechs Systemen zusammengeführt werden können. Das können Touristen, Kriminelle oder Asylsuchende sein. Das Fassungsvermögen: 300 Millionen Datensätze. Eine neue Biometrie-Komponente, der gemeinsame „Biometric Matching Service“ (sBMS), soll systemübergreifend Abgleiche ermöglichen. Eine „Monster-Datenbank“, findet der grüne Europaabgeordnete Romeo Franz.
Der Direktor von eu-LISA, Krum Garkov, erwartet, dass die neue Datenbank die Arbeit von Grenzbeamten deutlich erleichtere. Die bisherige Trennung der Systeme sei „ineffizient“, die Silos „teuer im Erhalt und in der Entwicklung“, so Garkov Ende September auf einer Konferenz in Darmstadt. Doch auch das Großprojekt dürfte teuer werden. Allein der Aufbau der beiden neuen Systeme für Drittstaatsangehörige kostet nach EU-Schätzungen mehr als eine halbe Milliarde Euro – 212,2 Millionen Euro für ETIAS und 480 Millionen Euro für EES. Dazu kommen noch Kosten für die Mitgliedsstaaten, etwa um Schnittstellen zu ihren nationalen Systemen zu bauen. Die Kosten kratzen an der Milliarden-Grenze.
Neue Fingerabdruck-Funktion
Die Sicherheitsbehörden jedenfalls freuen sich, und besonders freuen sie sich auf ein kleines IT-Werkzeug, das Abgleiche in der Riesen-Datenbank ermöglicht: den „Detektor für Mehrfach-Identitäten“. Er soll zeigen, wenn dieselbe Person in unterschiedlichen Systemen erfasst ist – sie etwa einmal als tunesischer Staatsbürger einen Visa-Antrag stellt und später als Syrer um Asyl bittet. Dann erscheint auf dem Monitor der Beamten ein gelber Link: ein Verdachtsfall. Der muss von den zuständigen Behörden aufgeklärt werden.
Eine gute Sache, findet Seehofer. Die Experten in seinem Ministerium verweisen auf eine ähnliche Fingerabdruck-Funktion im Schengener Informationssystem, die eu-Lisa im März 2018 einführte, die Biometrie-Komponente „SIS II-AFIS“. Im vergangenen Jahr sei mit dem System 2.395 Mal jemand festgestellt worden, der im Ausland zur Fahndung ausgeschrieben worden sei, erklärt ein Ministeriumssprecher.
In 900 Fällen, also in 38 Prozent der Fälle, „unterschieden sich Personalien des deutschen INPOL-Datensatzes von denen der ausländischen Schengen-Ausschreibung“, wobei darin auch Fehlalarme enthalten sind. Die Polizeien hätten daraufhin „mindestens“ zwölf Straftäter überführt und festgenommen. Zum Beispiel den 29-jährigen Russen, der am Flughafen Schiphol in den Niederlanden Asyl beantragt hatte, aber von der deutschen Polizei wegen des Verdachts der Terrorismusfinanzierung gesucht wurde. Oder einen 43-jährigen Ladendieb in Darmstadt, der sich als Italiener ausgegeben hatte, aber eigentlich aus Algerien stammte.
Die Folgen für jemanden, der fehlerhaft ins Visier gerät, könnten enorm sein
Was aber, wenn es sich bei dem gelben Link im neuen Super-System um einen Fehlalarm handelt? Die Folgen für jemanden, der fehlerhaft ins Visier gerät, könnten enorm sein: im besten Fall wird er nur kurz festgehalten, bis die Personalien überprüft sind. Läuft es nicht ganz so gut, verbringt er einige Stunden oder Tage in Polizeigewahrsam. Doch laufen die Dinge richtig schief, wird er möglicherweise in ein anderes Land überstellt, weil er fälschlicherweise für jemand gehalten wird, der dort gesucht wird.
Die Kommission verweist darauf, dass die Systeme „zu allen Zeiten“ von Menschen kontrolliert würden. Diese Aufgabe obliegt zumindest anfänglich der EU-Grenzschutzagentur Frontex. Doch auf die Frage, welchen Rechtsweg jene gehen können, die unschuldig in Verdacht geraten, gibt die Behörde keine Antwort: „Das hängt vom Einzelfall ab“, erklärt ein Frontex-Sprecher. Letztendlich liege die Entscheidung, ob jemand einreisen dürfe oder auf die schwarze Liste kommt, bei den Mitgliedsstaaten.
Das Problem: Von einem einheitlichen Standard unter den Mitgliedsstaaten kann die EU-Bürokratie im Moment nur träumen. Die Standards sind in der EU höchst unterschiedlich. Bis heute haben viele EU-Staaten noch nicht einmal die 2017 eingeführte neue Polizei-Datenschutzrichtlinie umgesetzt. Schlimmer die Lage mancher Justiz.
Beispiel Ungarn: Ein EU-Mitglied, gegen das ein Rechtsstaatlichkeitsverfahren wegen Gefährdung von EU-Grundwerten läuft, nachdem die Regierung Orban immer stärker systematisch die Unabhängigkeit der Justiz angreift. Beispiel Österreich: Ein EU-Mitglied, dessen Innenminister die Europäische Menschenrechtskonvention in Frage stellt und will, dass das Recht der Politik folgt und nicht andersherum. Beispiel Polen: Ein EU-Mitglied, gegen das vor anderthalb Jahren ein Vertragsverletzungsverfahren eingeleitet wurde, nachdem die Regierungspartei PiS Richter ersetzt hatte, die nicht auf Regierungslinie waren.
Es war auch ein polnischer Schengen-Eintrag, der im August der Ukrainerin Lyudmyla Kozlovska zum Verhängnis wurde: Am Flughafen Brüssel schlug der SIS-II-Fingerscanner Alarm. Die belgische Grenzpolizei schob Kozlovska umgehend nach Kiew ab. Dabei war Kozlovska nicht vorbestraft und ist sogar mit einem Polen, also einem EU-Bürger, verheiratet. Die polnischen Behörden blieben ihr eine Erklärung schuldig.
„ (...) stellt Migranten unter Generalverdacht“
Was kommt also mit dem neuen Super-System auf die Behörden zu? Wie viele Fälle, wie viele richtige und falsche Alarmmeldungen erwarten sie? Auf wie viel Arbeit müssen sich die Behörden einstellen, um das alles anzupassen? Fragen, die Frontex BuzzFeed News nicht beantworten konnte.
Die frühere FDP-Bundesjustizministerin Sabine Leutheusser-Schnarrenberger befürchtet „erhebliche Risiken“ für die Betroffenen. Im Schatten der EU-Urheberrechtsnovelle und des Protests gegen Artikel 13 solle hier eine Reform „fast unbemerkt durchgesetzt werden, die viel umfangreicher und datenschutzerheblicher ist als es den Anschein machen soll“. Die diesbezügliche Debatte gehe aber offenbar völlig unter, kritisiert die Liberale, die einst ihr Ministeramt aufgab, um gegen den „Großen Lauschangriff“ zu protestieren. Offenbar hat ihr Kampf wenig gebracht: „Wir sind auf dem Weg in den Überwachungsstaat“, schreibt Leutheusser-Schnarrenberger auf Anfrage von BuzzFeed News.
Ähnlich drastisch äußern sich im Bundestag FDP-Fraktionsvize Stephan Thomae und sein Kollege, Innenpolitiker Konstantin Kuhle: „Die Verknüpfung von Migrations- mit Polizeidatendanken stellt Migranten unter Generalverdacht“ – je mehr Personen Zugriff hätten, „desto wahrscheinlicher wird auch ein Missbrauch“, schreibt Thomae auf Anfrage von BuzzFeed News News.
Grüne und Linke im Europaparlament lehnen die Pläne für die neue Datenbank ab – und man könnte meinen, bei solch deutlicher Kritik aus dem Bundestag tut es die FDP im Europaparlament auch und stimmt gegen die Mehrheitsparteien der Christ- (EPP) und Sozialdemokraten (PES).
Doch so ist es nicht. Die FDP-Europaabgeordnete Gesine Meißner stimmte im Oktober im Innenausschuss vertretungsweise für das Gesetzespaket: Denn die Liberalen hätten sich „besonders dafür eingesetzt“, den Entwurf zu verbessern. „Das Verhältnis zwischen bürgerlichen Freiheiten und einem erhöhten Maß an Sicherheit“ sei ihrer Ansicht nach „gewahrt“. Meißners Büro erklärte, sie spreche da „stellvertretend für die FDP“. In Kopie der Mail: Nicola Beer, Generalsekretärin der Liberalen in Deutschland und Spitzenkandidatin für die EU-Wahl im Mai. BuzzFeed News hat auch Nicola Beer um eine Stellungnahme gebeten, die jedoch an Gesine Meißner verwies.
„Wir sind auf dem Weg in den Überwachungsstaat“.
Sabine Leutheusser-Schnarrenberger, Ex-Justizministerin
Warum? Weiß die eine FDP-Hälfte nicht, was die andere tut? Die niederländische Liberale der ALDE-Fraktion, Sophie in’t Vel, die das Interoperabilitäts-Paket für „löchrig“ und „unausgegoren“ hält und dagegen stimmen wird, ist verwundert: „In den letzten 15 Jahren hat sich die FDP immer meinem Kampf um Bürgerrechte angeschlossen.“
Teresa Quintel, Juristin an der Universität Luxemburg, sieht die Interoperabilitäts-Pläne jedenfalls als in weiten Teilen unvereinbar mit den Datenschutz-Gesetzen in der EU. So könnten normale Polizeibeamte quer durch die EU einsehen, ob Daten einer Person in der Fingerabdruck-Datenbank Eurodac vorhanden seien – selbst wenn sie den konkreten Eintrag nicht sehen, sehen sie: es gibt einen. Und das erzeugt Misstrauen, im Zweifel gegen Unschuldige. „Solch ein Zugriff war bislang nur unter bestimmten Bedingungen erlaubt und wesentlich den Migrationsbehörden vorbehalten“, sagt Quintel, die für die Grünen im Europaparlament auch eine Stellungnahme verfasst hat.
In manchen Mitgliedsstaaten wie etwa Ungarn gilt ein irregulärer Grenzübertritt, seit dem Peak der Flüchtlingszahlen 2015, als Straftat – in Verstoß gegen die Genfer Flüchtlingskonvention. Dank der Interoperabilität können Polizeibeamte dann überall den Identitätsspeicher mit biometrischen Daten durchsuchen. „So könnte jeder, der wie ein ‚irregulärer Migrant‘ aussieht, Opfer von Racial Profiling werden“, warnt Quintel.
Eine Sprecherin der Kommission erklärt dazu, es stünde jeder Person frei, sich „an den Mitgliedsstaat zu wenden, der für die Identitätsprüfung zuständig ist“. Und überhaupt: „Die EU hat die höchsten Datenschutzstandards der Welt.“ Was die in Polen, Ungarn, Österreich oder anderen Ländern der EU noch nutzen, wenn man von Beamten festgehalten wird, die im Zweifel die eigene Sprache nicht sprechen, aber wegen eines Datenbank-Eintrags misstrauisch geworden sind? Das wird man bald sehen: Im April soll das EU-Parlament das Gesamtpaket abnicken.
Die Recherche „Invisible Borders“ wurde von der Otto-Brenner-Stiftung und der Stiftung Investigative Journalism for Europe (IJ4EU) unterstützt.