Deutscher Bundestag Drucksache 19/24778 19. Wahlperiode 26.11.2020 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Christine Buchholz, Ulla Jelpke, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 19/24192 – Mögliche rechtswidrige Verarbeitung von Massendaten bei Europol Vorbemerkung der Fragesteller Im Rahmen des über den EU-Fonds für die Innere Sicherheit geförderten Pro- jekts „UMF3+“ hat das Bundeskriminalamt (BKA) die Vereinheitlichung des Informationsaustauschs unter europäischen Polizeibehörden und insbesondere Europol angeführt (Antwort zu Frage 3 auf Bundestagsdrucksache 19/3404). Auch Interpol war daran beteiligt. Zum UMF3+-Projekt gehört außerdem das Projekt QUEST, das die Implementierung des Standards für Abfragen bei Europol in ausgewählten Pilotländern erprobt (Antwort zu Frage 5 auf Bun- destagsdrucksache 19/3404). Das Verfahren kommt auch bei der Abfrage „dezentraler Datenbestände“ im Rahmen einer Automatisierung des Informa- tionsaustauschs („Automation of Data Exchange Processes“, ADEP) zum Ein- satz (Bundestagsdrucksache 19/10725). Auch daran sind das BKA und Euro- pol beteiligt. Das Pilotprojekt zu ADEP wird als ADEP 2 weitergeführt (Ant- wort zu Frage 13 auf Bundestagsdrucksache 19/7310). Zur Übermittlung von Informationen an Europol nutzen einige EU-Mitglied- staaten einen automatisierten „Dataloader“. Aus Deutschland erfolgt die Datenzulieferung zum Europol-Informationssystem (EIS) ausschließlich über dieses Verfahren, das BKA betreibt hierfür eine technische Schnittstelle (Ant- wort zu Frage 3 auf Bundestagsdrucksache 17/3143). Europol gleicht die aus den Mitgliedstaaten erhaltenen Informationen mit sei- nen Datenbanken ab und sucht dabei nach Übereinstimmungen. Der Europäi- sche Datenschutzbeauftragte hat der Polizeiagentur wegen dieses Verfahrens zur Analyse von Massendaten in einem Schreiben eine Rüge ausgesprochen (vgl. dazu das Schreiben des Europäischen Datenschutzbeauftragten vom 23. September 2020, abrufbar unter https://secure.ipex.eu/IPEXL-WEB/dossie r/files/download/8a8629a874b90f580174bfd6472406c3.do). Europol hat demnach kein Mandat zur Verfolgung von Kontaktpersonen von Beschuldig- ten oder Verdächtigen, deren Daten aber in den übermittelten Informationen häufig enthalten seien. Europol hat zwei Monate Zeit, um einen Aktionsplan zur Behebung der Mängel vorzulegen. Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 26. November 2020 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext.
Drucksache 19/24778 –2– Deutscher Bundestag – 19. Wahlperiode 1. In welchem Umfang und in welchen Fällen übermitteln Polizeien des Bundes und nach Kenntnis der Bundesregierung auch der Länder Mas- sendaten an Europol? a) Inwiefern kann es sich dabei auch um Rohdaten, etwa aus der Tele- kommunikationsüberwachung oder aus der Fallbearbeitung handeln? b) In welchen Fällen können in diesen Massendaten auch Daten von Kontaktpersonen beschuldigter oder verdächtiger Personen enthalten sein? Die Fragen 1 bis 1b werden gemeinsam beantwortet. Die Fachabteilungen des Bundeskriminalamts (BKA) „Schwere und Organi- sierte Kriminalität/SO“, „Terrorismus/TE“ sowie „Cybercrime/CC“ haben in der Vergangenheit Massendaten im Sinne der Anfrage an Europol übersandt. Dabei handelt es sich um Daten, die im Rahmen von Ermittlungs- und Auswer- teverfahren angefallen sind. Dies umfasst z.T. auch Daten aus der Telekommu- nikationsüberwachung, um aus der Täterkommunikation mögliche Verbindun- gen zu anderen Ermittlungsverfahren im Ausland festzustellen. Im Zuge der Übermittlung dieser Daten an Europol waren in Teilen auch Daten von Kon- taktpersonen enthalten. Die Bundespolizei liefert verfahrensbezogen Daten zum Abgleich in den Euro- poldatenbanken an. Diese Daten werden im Rahmen der Ermittlungsverfahren gesichert. Über den Umfang können mangels Statistik keine Angaben gemacht werden. Gemäß bundespolizeilicher Vorgaben werden nach einer zuvor erfolgten Erst- bewertung Daten sowohl aus der Telekommunikationsüberwachung als auch aus der Fallbearbeitung angeliefert. Daten von Kontaktpersonen werden zur Ermittlung weiterer Tatverdächtiger und Taten übermittelt. Die Zollverwaltung übermittelt keine Massendaten an Europol. 2. Wie viel Prozent aller Daten bei Europol stammen von deutschen Behör- den (vgl. Antwort zu Frage 3 auf Bundestagsdrucksache 17/3143, und wie viel Prozent aller Suchvorgänge bei Europol werden aus Deutsch- land vorgenommen? Mit Stand 1. April 2020 waren im Europol Informationssystem (EIS) insgesamt 1.514.803 Objekte gespeichert, der deutsche Datenbestand belief sich auf 279.321 Objekte. Im ersten Quartal 2020 wurden durch deutsche Behörden 134.050 Suchanfra- gen durchgeführt, was 12 Prozent der Suchanfragen aller EU-Mitgliedstaaten entspricht. Zum Datenbestand in den bei Europol geführten operativen Ana- lyseprojekten bzw. zu Abfragen hieraus liegen der Bundesregierung keine sta- tistischen Daten vor. 3. Werden über das QUEST-Verfahren oder den „Automation of Data Ex- change Process“ nach Kenntnis der Bundesregierung auch Daten von Kontaktpersonen beschuldigter oder verdächtiger Personen ausgetauscht (Antwort zu Frage 5 auf Bundestagsdrucksache 19/3404), und wie ver- fahren Bundesbehörden hierzu? Bei QUEST handelt es sich um eine Abfrageschnittstelle von Europol, mit der der Datenbestand des Europol-Informationssystems (EIS) aus dem angebunde-
Deutscher Bundestag – 19. Wahlperiode –3– Drucksache 19/24778 nen nationalen System heraus abgefragt werden kann. Ein Austausch von Personendaten im Sinne der Fragestellung findet nicht statt. Beim BKA ist QUEST aus dem Vorgangsbearbeitungssystem VBS nutzbar. Bei dem Vorhaben „Automation of Data Exchange Process“ handelt es sich um eine strategische Initiative der Ratsarbeitsgruppe IXIM, die eine Automatisie- rung von Datenaustauschprozessen zum Ziel hat. Automatisierung stellt in diesem Zusammenhang ein Managementkonzept dar, wonach Prozesse und Verfahren – sofern rechtlich zulässig – weitestgehend automatisiert umgesetzt werden. a) Welche Drittstaaten (etwa USA, Kanada oder des Westbalkans) kön- nen Daten an das Europol-Informationssystem liefern, und welche die- ser Staaten können dafür das System QUEST einsetzen? Drittstaaten haben weder lesenden noch schreibenden Zugriff auf das EIS und somit auch keine Möglichkeit, das EIS über die QUEST-Schnittstelle abzu- fragen. b) Bis zu welcher Geheimhaltungsstufe ist QUEST nutzbar? Die Schnittstelle QUEST ist von Europol bis zum Geheimhaltungsgrad „REST- REINT UE/EU RESTRICTED“ freigegeben. 4. Welche Länder benutzen nach Kenntnis der Bundesregierung mittler- weile den „Dataloader“ für die Übermittlung an Informationssysteme bei Europol (Antwort zu Frage 16 auf Bundestagsdrucksache 18/3766)? Der Dataloader kann nur für eine schnittstellenbasierte Datenanlieferung an das EIS genutzt werden. Eine Anlieferung an andere Fallsysteme, insbesondere an die operativen Analyseprojekte bei Europol, ist über den Dataloader nicht mög- lich. In folgenden EU-Mitgliedstaaten ist nach Kenntnis der Bundesregierung mit Stand 1. April 2020 ein Dataloader in Betrieb: Belgien, Kroatien, Finnland, Deutschland, Italien, Litauen, Niederlande, Polen, Portugal, Rumänien, Slowenien, Spanien, Großbritannien. a) Wie viele Objekte können dabei in einem Vorgang übermittelt wer- den? Über den Dataloader können sämtliche Objekte eines Vorganges an das EIS übermittelt werden, sofern diese durch den Anwender ausgewählt wurden so- wie den EIS-Erfassungsregularien entsprechen. Es gibt keine „Größenbeschrän- kung“ in Bezug auf die Übermittlung von Objekten pro Vorgang. b) Wie viel Prozent aller Einspeisungen der EU-Mitgliedstaaten bzw. sonstigen berechtigten Behörden in das Europol-Informationssystem erfolgen über den „Dataloader“? Der Bundesregierung liegen lediglich Erkenntnisse zum deutschen Erfassungs- verhalten in Bezug auf die Nutzung eines Dataloaders vor. Deutschland be- stückt das EIS ausschließlich über den Dataloader. Die Zahlen ergeben sich aus der Antwort zu Frage 2.
Drucksache 19/24778 –4– Deutscher Bundestag – 19. Wahlperiode c) Inwiefern wird der „Dataloader“ und die hierfür beim BKA installierte Schnittstelle aus Deutschland auch von Geheimdiensten genutzt? Es erfolgt keine Nutzung dieser Schnittstelle durch deutsche Nachrichten- dienste. 5. Existieren nach Kenntnis der Bundesregierung neben dem „Dataloader” weitere Verfahren zur stapelweisen Übermittlung großer Datenmengen an Europol? Neben dem „Dataloader“ existieren nach Kenntnis der Bundesregierung keine weiteren Verfahren zur stapelweisen Übermittlung großer Datenmengen an Europol. Weiterhin unterhält Europol jedoch das Verfahren LFE (Large File Exchange) zur Übermittlung großer Dateien (z. B. Bilder, Videos), die aufgrund ihrer Größe nicht über das Informationsaustauschsystem SIENA übermittelt werden können. a) Wie viele Objekte können dabei in einem Vorgang übermittelt wer- den? Beim LFE werden keine Vorgänge übermittelt, sondern große Dateien, eine Größenbeschränkung liegt nicht vor. b) Bis zu welcher Geheimhaltungsstufe ist das System nutzbar? Das Verfahren LFE ist von Europol bis zum Geheimhaltungsgrad „REST- REINT UE/EU RESTRICTED“ freigegeben. c) Von welchen Staaten wird dieses System genutzt? Das Verfahren LFE kann von den Mitgliedstaaten sowie Drittstaaten mit opera- tiven Abkommen genutzt werden. 6. Ist der Bundesregierung bekannt, ob der „Dataloader“ bei Europol in den vergangenen Jahren in einer neuen Generation installiert wurde oder hierzu gegenwärtig Arbeiten erfolgen, und inwiefern ist daran das Bun- deskriminalamt in seinem Projekt zur Einführung eines neuen UMF- Standards bei Europol beteiligt (Antwort zu Frage 4 auf Bundestags- drucksache 19/3404)? Der „Dataloader“ wurde von Europol bisher noch nicht aktualisiert. Nach der- zeitigem Planungsstand sieht Europol die Wirkbetriebsaufnahme eines neuen, UMF-fähigen „Dataloaders“ für 2022 vor.
Deutscher Bundestag – 19. Wahlperiode –5– Drucksache 19/24778 7. Mit welchem Verfahren sucht Europol nach Kenntnis der Bundesregie- rung in den für das Europol-Informationssystem eingehenden Daten nach Übereinstimmungen und Auffälligkeiten? a) Worum handelt es sich bei den „Cross Border Crime Checks (CBCC) bei Europol, und welche Daten (etwa Analysedateien, Rohdaten, An- hänge) können bei Europol nach Kreuztreffern durchsucht werden (vgl. „Consolidated Annual Activity Report“ von Europol für 2018)? b) Wie viele Suchläufe hat Europol im Jahr 2019 mithilfe von CBCCs durchgeführt, und wie viele Treffer wurden dabei gefunden, und wie stellt sich diese Zahl für Anlieferungen deutscher Behörden dar? Die Fragen 7 bis 7b werden zusammen beantwortet. Da das EIS von allen EU-Mitgliedstaaten sowie Europol mit Daten bestückt wird, kann es jederzeit zu Mehrfachbeständen, also potentiell identischen Datensätzen, innerhalb des EIS kommen. Damit dies erkannt wird, startet täglich als Hintergrundprozess eine automati- sche Überprüfung, wenn neue Objekte (wie beispielsweise Personen, Kommu- nikationsmittel, Transportmittel oder kriminelle Organisationen) angeliefert oder verändert werden. Im EIS wird dieser Mechanismus „Cross Border Crime Check“ (CBCC) ge- nannt. Die CBCC-Funktion durchsucht das EIS anhand festgelegter Kriterien (z. B. bei Personen: Vorname, Nachname, Geburtsdatum; bei Transportmitteln: Fahr- zeugidentifikationsnummer, Kennzeichen) nach potentiellen Redundanzen, die ein anderer EU-Mitgliedstaat bereits zuvor im EIS gespeichert hat. Ziel dieser Funktion ist es, diese Duplikate zu erkennen, im EIS anzuzeigen und nach Veri- fizierung durch den Sachbearbeiter zusammen zu führen. Dateianhänge (insb. Bilder) sind nicht Gegenstand dieser Redundanzprüfung. Die CBCC-Funktion wird ausschließlich innerhalb der Applikation EIS ver- wandt. Ausweislich des Europol-EIS Annual Report 2019 sind im Jahre 2019 ins- gesamt 2.736 CBCC-Treffer mit Personen (davon 896 mit deutschen Daten) sowie 890 mit anderen Objekten (davon 533 mit deutschen Daten) ausgelöst worden. 8. Nach welcher Maßgabe darf Europol aus Sicht der Bundesregierung auch sogenannte Massendaten, also große (Roh-)Datensätze, die auch Personendaten nicht verdächtiger oder beschuldigter Personen enthalten, verarbeiten und diese mit seinen Datenbanken abgleichen? Die Befugnisse von Europol sind in der Verordnung (EU) 2016/794 des Euro- päischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfol- gung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (Europol VO) geregelt. Annex II B der Europol-VO führt „Kategorien personenbezogener Daten und Kategorien von betroffenen Personen, deren Daten zu Zwecken der strate- gischen oder themenbezogenen Analyse, der operativen Analyse oder zur Erleichterung des Informationsaustauschs gemäß Artikel 18 Absatz 2 Buch- staben b, c und d erhoben und verarbeitet werden dürfen“ auf. Diese Datenkate-
Drucksache 19/24778 –6– Deutscher Bundestag – 19. Wahlperiode gorien beziehen sich auch auf bestimmte Opfer, Kontakt- und Begleitpersonen sowie Zeugen. Soweit sich die Frage auf die Rüge des Europäischen Datenschutzbeauftragten bezieht, wird auf die Antworten zu den Fragen 10 bis 10b verwiesen. 9. Mit welchen neuen Maßnahmen will die Bundesregierung die „Gemein- same Deutsch-Französische Erklärung der Innenminister“ vom 30. Okto- ber 2020 (außer einer neuerlichen Initiative zur Entfernung von Internet- inhalten) umsetzen, in der die Unterzeichnenden betonen, „in unseren Maßnahmen gegen terroristische Bedrohungen nicht nachzulassen“, und welche außer den bereits vorhandenen Möglichkeiten (etwa „QROC“ oder Ausschreibungen nach Artikel 36 des SIS-Ratsbeschlusses, vgl. Antwort zu den Fragen 7 und 9 auf Bundestagsdrucksache 19/21939) für einen grenzüberschreitenden Informationsaustausch über Personen, die eine terroristische oder gewalttätige extremistische Bedrohung darstellen, werden hierzu geprüft bzw. könnten nach Ansicht der Bundesregierung hierzu geeignet sein? Die zitierte Textstelle („in unseren Maßnahmen gegen terroristische Bedrohun- gen nicht nachzulassen“) bezieht sich auf die bestehende, sehr gute bilaterale Zusammenarbeit, auch im Rahmen der Europäischen Union, die selbstverständ- lich fortgeführt werden soll. Beispiele für mögliche neue Maßnahmen sind ins- besondere in der Gemeinsamen Erklärung der EU-Innenminister und EU-Insti- tutionen vom 13. November 2020 zu den jüngsten terroristischen Anschlägen genannt. 10. Inwiefern ist die Bundesregierung im Rahmen ihres EU-Ratsvorsitzes mit der Rüge des Europäischen Datenschutzbeauftragten befasst, der Europol wegen der Analyse von Massendaten nicht beschuldigter oder verdächtiger Personen eine Rüge ausgesprochen hat (vgl. dazu das Schreiben des Europäischen Datenschutzbeauftragten vom 23. Septem- ber 2020, abrufbar unter https://secure.ipex.eu/IPEXL-WEB/dossier/file s/download/8a8629a874b90f580174bfd6472406c3.do)? Die Rüge des Europäischen Datenschutzbeauftragten war Gegenstand der Be- fassungen in der Ratsarbeitsgruppe Strafverfolgung. a) Inwiefern betrifft die Rüge aus Sicht der Bundesregierung auch die Nutzung des „Dataloaders“ und des CBCC-Verfahrens? Aus Sicht der Bundesregierung bezieht sich die Rüge des Europäischen Daten- schutzbeauftragten nicht auf die Nutzung des „Dataloader“ oder der CBCC- Funktion. b) Wie sollte Europol aus Sicht der Bundesregierung der Rüge begegnen, und welche Änderung ihrer Praxis schlägt das Bundesministerium des Innern, für Bau und Heimat vor? Die Frage ist Gegenstand der aktuellen Diskussion in den Ratsgremien. Inso- fern gibt es hierzu noch keine abgestimmte Position der Bundesregierung. Im Übrigen wird darauf verwiesen, dass die Bundesregierung in ihrer derzeitigen Rolle als EU-Ratspräsidentschaft zur gebotenen Neutralität und Zurückhaltung verpflichtet ist.
Gesamtherstellung: H. Heenemann GmbH & Co. KG, Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333
