zum Hauptinhalt
Der Brite Rob Wainwright ist seit 2009 Chef von Europol. Seither hat sich einiges getan.

© MARTIJN BEEKMAN/dpa

Exklusiv

Internetüberwachung: Europol will eine Datensuperbehörde werden

Brüssel berät über eine Europol-Reform. Vertrauliche Dokumente zeigen: Europols Kompetenzen zur Internetüberwachung sollen deutlich erweitert werden.

Von Anna Sauerbrey

Am 29. September 2015 wendet sich die Luxemburgische Ratspräsidentschaft mit einem vertraulichen Schreiben an die drei Parteien, die derzeit in Brüssel über eine Reform der Europäischen Polizeibehörde Europol verhandeln: das Europäische Parlament, die Regierungen der Mitgliedstaaten und die Kommission.

Die Ratspräsidentschaft berichtet darin über ein Treffen mit Vertretern von Europol und übermittelt die Wünsche der Polizeibehörde: Europol will mehr Rechte für seine Internetüberwachungseinheit (Internet Referral Unit, kurz EU IRU) (hier geht es zu einem Pdf des Dokuments, das Statewatch.org veröffentlicht hat).

Aus Sicht der Behörde, berichtet Luxemburg, sei es "unerlässlich", dass Europol in Zukunft auch direkt in den "Dialog" mit Internetunternehmen treten dürfe. Dringend brauche man weitere Daten, um die vielen Aufgaben zu bewältigen, die die Mitgliedstaaten derzeit an Europol herantrügen.

Genannt werden unter anderem die Tracking-Daten von Facebook, also jene Daten über die Wege von Facebook-Nutzern durch das Internet, die das Unternehmen zum Leidwesen vieler Verbraucherschützer sammelt – selbst dann, wenn die Nutzer ausgeloggt sind. Aus diesen Internet-Bewegungsprofilen kann man maßgeschneiderte Werbung machen. Oder viel über die Einstellungen und das kriminelle Potential einer Person erfahren.

Europol will Tracking-Daten von Facebook

Die Luxemburger scheinen das Anliegen von Europol jedenfalls für nachvollziehbar zu halten. Sie machen einen Vorschlag, wie mehrere Artikel der aktuellen Europol-Reform so verändert werden könnten, dass Europol mehr Spielraum beim Sammeln und im Umgang mit Internetunternehmen erhalten würde.

Das Schreiben der Luxemburger ist Teil einer ganzen Reihe vertraulicher Dokumente, die der Tagesspiegel einsehen konnte. Dazu zählen außerdem mehrere Papiere des EU-Anti-Terror-Koordinators Gilles de Kerchove sowie eine noch unveröffentlichte Antwort des Bundesinnenministeriums auf eine Kleine Anfrage des Abgeordneten Andrej Hunko und der Fraktion Die Linke im Bundestag. In Teilen wurden die Dokumente auch von der britischen Leaking-Plattform "Statewatch.org" veröffentlicht. Alle weisen in dieselbe Richtung: Nach den Terroranschlägen von Paris im Januar, nach dem vereitelten Thalys-Attentat im August und unter dem Druck der steigenden Flüchtlingszahlen hat die Erweiterung der Kompetenzen von Europol noch einmal Fahrt aufgenommen.

Eine bessere Rechtsgrundlage durch die Hintertür

Die Reform der Rechtsgrundlagen von Europol kommt wie gerufen, um viele der Dinge, die Europol schon heute macht, nachträglich mit einer Rechtsgrundlage zu versehen – und weitere Rechte und Entwicklungsmöglichkeiten zu verankern. Die Dokumente allerdings zeigen, dass die Weiterentwicklung von Europol in mehrerer Hinsicht problematisch ist.

Zum einen verfügt Europol bereits heute über Quasi-Vollzugsgewalten, die in seinen Statuten eigentlich nicht vorgesehen sind. Zweitens dient Europol als Agentur für präventive Polizeiarbeit. Europol überwacht die Internetaktivitäten von Personen und wirkt darauf hin, dass sie sanktioniert werden – ohne richterliche Beschlüsse. Europol entscheidet in vielen Fällen vielmehr faktisch selbst, was gute und was schlechte Internetinhalte sind.

Was Europol in Zukunft konkret dürfen soll

Konkret ergibt sich aus den vorliegenden Dokumenten Folgendes: - Europol soll Daten von Internetunternehmen direkt "erhalten" dürfen, nicht nur, wie bisher, über die Mitgliedstaaten, - Europol soll Daten, die es schon hat, auch an Internetunternehmen weitergeben dürfen, etwa um weitere Accounts zu ermitteln, die von einer Europol bekannten IP-Adresse angesteuert werden und - Europol soll insgesamt stärker gegen Schleuserkriminalität vorgehen. Ein Abkommen über den Datenaustausch mit der europäischen Grenzschutzagentur "Frontex" wird derzeit verhandelt, schon für Anfang 2016 ist ein erster testweiser Datenaustausch geplant.

Außerdem soll Europol Inhalte in sozialen Netzwerken finden und löschen lassen, die Schleuserkriminalität "begünstigen".

Europol setzt seine Entwicklung zur Datensuperbehörde fort

Das alles scheint umso gewagter, weil Beobachter schon seit Jahren beklagen, dass Europol fernab der öffentlichen Aufmerksamkeit unkontrolliert wächst. "Mit den neuen Zentren und Kompetenzen ist Europol auf dem Weg zur Superbehörde", sagt etwa Andrej Hunko, der die Bundesregierung seit Jahren mit Kleinen Anfragen zum Thema traktiert. Besonders in diesem Jahr hat Europol mit der Einrichtung der Internetüberwachungseinheit IRU einen wichtigen Schritt gemacht. Europol ist auch ohne die Erfüllung seiner jüngsten Wunschliste schon eine Datensuperbehörde.

Angelegt ist dieser Weg schon im bisher gültigen Statut, einem EU-Ratsbeschluss aus dem Jahr 2009. Da die Nationalstaaten eine ihrer Kernkompetenzen, die exekutive Polizeiarbeit, nicht vergemeinschaftet haben, blieb für Europol nur eine Art Zwitterstellung zwischen Koordinierungsstelle, Geheimdienst und Polizei: Vollzugsgewalt hat Europol bislang offiziell nicht. Dem Ratsbeschluss zufolge hilft die Den Haager Behörde den nationalen Stellen bei der "Bekämpfung und Verhinderung" von organisierter Kriminalität, Terrorismus und anderen Formen schwerer Kriminalität, indem sie Informationen sammelt, speichert und analysiert.

Wie Europol Internetinhalte löschen lässt

Auf einem Workshop zum Thema Cybercrime des hessischen Justizministeriums in Frankfurt am Main wird die Aktivität eines sogenannten Botnetzes dargestellt.
Auf einem Workshop zum Thema Cybercrime des hessischen Justizministeriums in Frankfurt am Main wird die Aktivität eines sogenannten Botnetzes dargestellt.

© dpa

Im Zeitalter von Big Data bietet es sich für Europol regelrecht an, die eigene Existenz zu legitimieren, indem sie immer stärker auf die präventive Polizeiarbeit setzt und auf das Löschen von Internetinhalten, die Verbrechen nach Ansicht der Behörde begünstigen (konkret werden immer wieder Propaganda-Videos der Terrormiliz "Islamischer Staat" (IS) genannt), aber auch durch das Identifizieren möglicher zukünftiger Straftäter durch die Massenanalyse von Internetdaten und die Beobachtung von Social-Media-Accounts.

Europol hat bereits Quasi-Vollzugsgewalt

Je mehr Europol seine Kompetenzen ausbaut, desto stärker stellt sich die Frage, ob die Polizeibehörde nicht mittlerweile doch praktisch Vollzugsgewalt ausübt.

Bereits seit dem 1. August diesen Jahres ist die Europol-Internetüberwachungseinheit IRU im Einsatz. Europol selbst nennt auf Anfrage drei Aufgaben: die Identifizierung von Internetinhalten von Terroristen oder gewaltbereiten Extremisten, Löschanfragen an die Unternehmen, auf deren Servern diese Inhalte liegen und die Unterstützung der nationalen Behörden bei der Analyse.

Europol sagt, dass die IRU weder von Bürgern noch von Unternehmen direkt personenbezogene Daten erhalten darf, sondern lediglich über die Mitgliedstaaten. Aus den Dokumenten, die dem Tagesspiegel vorliegen geht allerdings hervor, dass Europol bereits heute eine Sieben-Tage-Überwachung sozialer Netzwerke vornimmt. Im Blick ist dabei die "Einschleusung illegaler Einwanderer". Auch öffentlich im Internet verfügbare personenbezogene Daten wertet sie aus.

Hält Europol bestimmte Inhalte für löschwürdig, läuft das Verfahren dem Bundesinnenministerium zufolge so: Die IRU informiert die Kontaktstelle im betroffenen Mitgliedstaat, fragt, ob sie das Unternehmen selbst um Löschung bitten darf und setzt eine Frist für den Widerspruch durch den Mitgliedsstaat. Erfolgt der nicht, kontaktiert Europol das Unternehmen.

Die Mitgliedstaaten müssen also nichts anderes tun, als die Widerspruchsfrist verstreichen lassen – was der IRU praktisch schon heute eine große Eigenständigkeit gewährt. Und tatsächlich kommen die Unternehmen den Löschersuchen "freiwillig" in der Regel nach: Einem Papier des Anti-Terrorbeauftragten der EU von Anfang Oktober zufolge hat die IRU seit August 500 Löschanfragen gestellt, in 90 Prozent erfolgreich.

Widerspruchsregelung für Speichern und Analysieren eher formaler Natur

Sollte nun der Vorschlag der Luxemburgischen Ratspräsidentschaft für die Europol-Reform durchkommen, könnte eine ähnliche formale Widerspruchsregelung auch für das Speichern und die Analyse von Daten eingeführt werden, die Europol direkt von Unternehmen erhält. Zwar soll Europol die Daten nicht abfragen dürfen. Denkbar ist aber, dass Unternehmen die Behörde selbst kontaktieren – oder dass Europol die Daten über eines der vielen Abkommen erhält, die es mit Behörden in Drittstaaten abgeschlossen hat.

Seit 2014 etwa ist Europol Partner des FBI. Eine Anfrage nach der genauen Rechtsgrundlage und den Wegen, auf denen Europol heute Daten empfängt, hat der Tagesspiegel Europol am Donnerstagnachmittag geschickt, die Behörde sah keine Möglichkeit einer Antwort bis zum Redaktionsschluss dieser Ausgabe.

Vollzugsgewalten für Europol offen zu verankern wäre politisch nicht durchsetzbar, diese Einschätzung teilt auch die Luxemburgische Ratspräsidentschaft, wie aus den Dokumenten hervorgeht. Und auch die Bundesregierung deutet an, man habe sich in den Verhandlungen für Formulierungen eingesetzt, die die Freiwilligkeit der Unternehmen hervorheben und gegen eine Formulierung, nach der Europol hätte "sicherstellen" sollen, dass die Inhalte gelöscht werden.

Der deutsche Anwalt und FU-Lehrbeauftragte Niko Härting, der auf Internetrecht und das Recht von Sicherheitsbehörden spezialisiert ist, warnt: "Sollte Europol eigene Ermittlungsbefugnisse bekommen, würde das der Behörde eine völlig neue Qualität geben. Wenn Europol sich selbst Daten beschaffen könnte, käme das einer massiven Aufrüstung gleich. Ich kann mir nicht vorstellen, dass das dem Europäischen Gerichtshof gefallen würde."

Wie unterscheidet Europol zwischen guten und schlechten Internetinhalten?

Auch in der Sache sind die geplanten Neuerungen kritisch. Sehr sensibel scheint etwa die Frage, wer genau betroffen ist, wenn Europol Inhalte löschen lässt, die "Schleuserkriminalität" unterstützen. Viele Flüchtlinge tauschen sich auf Facebook über Wege nach Europa aus, über Ereignisse und Hindernisse auf der Route. Sollten diese Inhalte gelöscht werden?

Kaum zu bestreiten ist, dass Radikalisierungsvideos des IS eine Gefahr darstellen können. Wie schwierig aber die Abgrenzung ist, zeigen die Antworten des Bundesinnenministeriums auf die Anfrage von Andrej Hunko. Hunko wollte wissen, ob das BMI der Ansicht ist, dass Hassrede, Rassismus und Fremdenfeindlichkeit als Äußerungen "gewaltbereiter Extremisten" zu zählen sind, also solche Äußerungen, die Europol löschen lassen soll. Die Antwort ist in einem verquasten Satz versteckt, lautet im Prinzip aber Ja. Europol, eine Behörde, die eigentlich nur bei schweren Verbrechen tätig werden darf, wäre also für Hassrede zuständig.

Die Parlamentarische Kontrolle von Europol funktioniert nicht gut

Das alles ist umso problematischer, als dass die Kontrolle von Europol bisher nur rudimentär funktioniert. "Leider stehen die geforderten neuen Kompetenzen in keinem Verhältnis zu den parlamentarischen Kontrollmöglichkeiten", sagt Hunko. Im Europäischen Parlament sehen viele das ähnlich. Im Juni etwa befragte die Linken-Abgeordnete Cornelia Ernst die Kommission, welche nationalen Behörden an den damaligen "Internetauswertungsgruppen" von Europol beteiligt seien. Im September erhielt sie die Antwort, das sei geheim.

Ob die Vorschläge politisch durchsetzbar sind, ist noch offen

Gerade das Europäische Parlament hat deshalb starke Vorbehalte gegen die Vorschläge der Luxemburgischen Ratspräsidentschaft angemeldet. Der Berichterstatter des Parlaments, der spanische Konservative Agustín Díaz De Mera, gilt zwar als Befürworter, hat aber kein starkes Mandat. Eine Anfrage des Tagesspiegels ließ er unbeantwortet. Die Verhandlungen, so ist hören, verlaufen schleppend.

Die Bundesregierung allerdings setzt sich nach eigenem Bekunden dafür ein, "das konkrete Verfahren zur Entfernung von Internetinhalten durch die EU IRU näher auszugestalten". Nicht nur Deutschland dürfte es recht sein, dass Europol diese rechtsstaatlich problematischen Aufgaben übernimmt – weit weg von der heimischen Öffentlichkeit.

Sie haben weitere Informationen zu dieser Geschichte? Senden Sie Anna Sauerbrey eine verschlüsselte Email. Den public key zu ihrer Adresse anna.sauerbrey@googlemail.com finden Sie in den gängigen PGP-PublicKey-Datenbanken. Oder hinterlassen Sie eine Nachricht in unserem anonymen digitalen Briefkasten.

Zur Startseite