Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz, Europa - 26.11.19

Prüm und die Vernetzung nationaler DNA-Datenbanken in Europa

Eric Töpfer

Zur Unberechenbarkeit großtechnischer Systeme der Inneren Sicherheit.* In: vorgänge Nr. 227 (3/2019), S. 135-146


Der länderübergreifende Informations- und Datenaustausch zwischen den europäischen Polizeibehörden ist nicht nur für Recht und Politik eine große Herausforderung, auch die technologische und praktische Realisierung wirft zahlreiche Probleme auf. Am Beispiel der 2005 gestarteten Vernetzung nationaler DNA-Datenbestände zeigt der folgende Beitrag, wie die ursprünglichen Erwartungen an eine europaweite Verfügbarkeit dieser Daten aufgrund zahlreicher Inkompatibilitäten und riesiger Daten(fehler)mengen immer weiter nach unten korrigiert werden mussten.


Die Vision, polizei-relevante Informationen aus separaten Datencontainern zu "befreien" und – lediglich reguliert durch ein abgestuftes Zugriffsrechtemanagement – möglichst umfassend für Zwecke der Gefahrenabwehr und Strafverfolgung verfügbar zu machen, hat eine lange Tradition. Aktuellen Niederschlag findet sie in Deutschland mit dem Projekt "Polizei 2020" und auf EU-Ebene mit den Plänen, die großen IT-Systeme im Bereich Asyl, Migration und Sicherheit interoperabel zu machen. Dass solche großtechnischen IT-Projekte im Feld der Polizei jedoch kein geschmierter, linearer Prozess sind, sondern es sich dabei um die höchst ambivalente Entwicklung heterogener sozio-technischer Netzwerke handelt, der Dysfunktionalität und Ineffizienz inhärent ist, hat der Politikwissenschaftler Stephan Heinrich bereits am Beispiel der Entwicklung von INPOL-neu gezeigt. Daher ist es notwendig, so Heinrich, jenseits der üblichen und wichtigen normativen Diskussion über die rechtliche Zulässigkeit von polizeilichem Technikeinsatz auch seine Implementierung und die Realfunktionen zu betrachten, um ein besseres Verständnis seiner gesellschaftlichen Bedeutung zu gewinnen (Heinrich 2007, 379ff.). Eben dies versucht der vorliegende Beitrag für ein Projekt der europäischen Innenpolitik, dessen zentrales Anliegen die grenzüberschreitende "Verfügbarmachung" von personenbezogenen Daten ist: Nachgezeichnet werden die Entwicklung und Praxis der europaweiten Vernetzung nationaler Datenbanken – insbesondere der forensischen DNA-Register – für polizeiliche und strafjustizielle Zwecke, die vor mehr als 14 Jahren durch den Vertrag von Prüm angestoßen wurde. An ihrem Beispiel soll gezeigt werden, wie die Realisierung großtechnischer Systeme der Inneren Sicherheit in den Mühen der Ebene aufgrund ihrer Komplexität an Grenzen stößt und die technokratischen Versprechen sich in widersprüchlichen Praktiken auflösen, die sich nicht nur der politischen Steuerung, sondern auch einer sinnvollen Evaluation entziehen.

Der Prüm-Verbund – ein "Albtraum" für Bürgerrechte und Strafverfolger?

Der Prüm-Verbund ist ein dezentrales Netzwerk der 28 EU-Mitgliedstaaten für den gegenseitigen automatisierten Zugriff von Polizeien und Strafverfolgungsbehörden auf die nationalen Datenbanken für forensische DNA-Profile und daktyloskopische Daten sowie auf Fahrzeugregister. Mittelfristig sollen auch Norwegen, Island, die Schweiz und Liechtenstein in das Netzwerk eingebunden werden. Der Datenzugriff wird vermittelt über sogenannte Nationale Kontaktstellen, in Deutschland etwa das Bundeskriminalamt und das Kraftfahrzeug-Bundesamt. DNA-Daten – einzelne Profile, aber auch die Datensätze aller offenen Spuren – dürfen ausschließlich für Zwecke der Strafverfolgung einzeln abgefragt oder massenhaft abgeglichen werden. Gescannte Bilder von Fingerabdrücken oder Handballen sowie bereits für AFIS-Systeme codierte Datensätze können auch zur Verhinderung von Straftaten übermittelt werden. Zugriffe auf Fahrzeugregister sind darüber hinaus zur Verfolgung von Ordnungswidrigkeiten oder zur Abwehr von Gefahren für die öffentliche Sicherheit autorisiert. Im Fall von DNA- und daktyloskopischen Daten werden die Abfragen lediglich in einem "Treffer/Kein Treffer"-Verfahren durchgeführt. Dabei wird in einem ersten Schritt nur ermittelt, ob eine angefragte Kontaktstelle übermittelte Daten ebenfalls gespeichert hat. Eventuell vorliegende Informationen zu Personen, die sich hinter „Treffern“ verbergen, werden erst in einem zweiten Schritt über andere Kanäle der europäischen Polizeikooperation und außerhalb des Rechtsrahmens von Prüm übermittelt. Durch dieses mehrstufige Verfahren soll verhindert werden, dass Unschuldige vorschnell ins Visier polizeilicher Ermittlungen geraten. Beim Zugriff auf die Fahrzeugregister können hingegen neben Daten zu Fahrzeugen auch unmittelbar personenbezogene Informationen zu Eigentümern und Haltern ausgetauscht werden.
Ins Leben gerufen wurde der Verbund am 27. Mai 2005 durch den Vertrag von Prüm, den ursprünglich nur sieben Länder unterzeichnet hatten: Deutschland, Österreich, Belgien, die Niederlande, Luxemburg, Spanien und Frankreich. In den kommenden Jahren folgten sieben weitere, insbesondere osteuropäische Beitrittsländer. Mit dieser kritischen Masse im Rücken gelang es der deutschen Ratspräsidentschaft 2007, die Übernahme weiter Teile des Prüm-Vertrages in EU-Recht auf den Weg zu bringen. Am 23. Juni 2008 verabschiedete der Rat schließlich die beiden Prüm-Beschlüsse 2008/ 615/JI und 2008/616/JI, ersterer für die grundlegenden Regeln des Datenaustausches und letzterer für Fragen der technischen Durchführung.
Die Prüm-Beschlüsse stellen einen zentralen Baustein bei der Umsetzung des "Grundsatzes der Verfügbarkeit" dar, der – vom Europäischen Rat im November 2004 im "Haager Programm" deklariert – darauf abzielt, die in nationalen Datenbanken vorgehaltenen Informationen unionsweit für Polizei und Strafverfolgung verfügbar zu machen. Hintergrund war die geringe Nutzung zentraler Datenbanken der EU (etwa vom Schengen-Informationssystem oder den Europol-Computersystemen) durch die Behörden der Mitgliedstaaten, so dass Brüssel auf der Suche nach einem "innovativen Konzept" für den grenzüberschreitenden Datenaustausch war. Nach den Plänen des Haager Programms sollte mit Wirkung zum 1. Januar 2008 den Strafverfolgungsbehörden (inklusive Europol) ein gleichberechtigter und möglichst unmittelbarer Zugang zu Informationen eingeräumt werden – gegebenenfalls durch den gegenseitigen (Online-)Zugriff auf nationale und die bestehenden zentralen europäischen Datenbanken. Anders als geplant nahmen jedoch die Prüm-Vertragsstaaten der EU-Kommission die Initiative aus der Hand. Dies insbesondere, weil man bei der von Brüssel angestrebten gemeinsamen Harmonisierung von Informationsaustausch und Datenschutz langwierige Verhandlungen fürchtete und die Vorhaben daher entkoppeln wollte.
Entsprechend enthält der Prüm-Beschluss 2008/615/JI, ähnlich wie bereits der Vertrag von Prüm, zwar ein eigenes Kapitel zu Datenschutzbestimmungen, das eine Zweck¬bindung der Datenbankabrufe, Vorgaben zur Datensicherheit und umfassende Protokollie¬r¬ungspflichten vorsieht. Vielfach wird jedoch auf innerstaatliches Recht verwiesen, etwa wenn es um Betroffenenrechte geht. Als Mindeststandard gelten lediglich die mehr als 30 Jahre alte Datenschutzkonvention des Europarates von 1981 und die unverbindliche Empfehlung R (87) 15 für die Anwendung der Konvention im Polizeibereich von 1987. Die Entscheidung darüber, ob die datenschutzrechtlichen Anforderungen erfüllt sind, obliegt dem Rat der EU, also den Regierungen der Mitgliedstaaten. In den Verhandlungen wurde weder die Forderung aufgegriffen, den gegenseitigen Zugriff auf die DNA-Datenbanken auf Fälle schwerer Kriminalität zu begrenzen, noch wurden die Rechte von Betroffenen einheitlich definiert. Auch der Wunsch der Datenschützer, an der Überprüfung des angemessenen Datenschutzniveaus in den teilnehmenden Staaten beteiligt zu werden, wurde ignoriert (Schaar 2006). Angesichts der deutlichen Defizite nannte der damalige Europäische Datenschutzbeauftragte den EU-weiten Informationsaustausch im Mai 2008 einen "Albtraum nicht nur für die Bürger, sondern auch für die Strafverfolgungsbehörden selbst" (zit. in Krempl 2008).
Hoffnungen, dass ein Datenschutzrecht der EU für den Polizeibereich Abhilfe schaffen könnte, erwiesen sich als trügerisch. Der Rahmenbeschluss 2008/977/JI von 27. November 2008 regulierte nur den grenzüberschreitenden Transfer der Daten, ließ aber die nationale Erhebung und Verarbeitung personenbezogener Daten unberührt; zudem klammerte er die bis dato verabschiedeten Übereinkünfte zum europäischen Datenaustausch – also auch die Prüm-Beschlüsse – aus und räumte den jeweiligen datenschutzrechtlichen Vorschriften Vorrang ein (Artikel 28 des Rahmenbeschlusses). Dies gilt auch für die neue Richtlinie (EU) 2016/680 über den Datenschutz bei Polizei und Strafjustiz (Artikel 60 der Richtlinie), die seit 25. Mai 2018 gültig ist. Zwar zielt die sogenannte JI-Richtlinie auf die Harmonisierung nationaler Datenschutzvorschriften, so dass auch das Schutzniveau im Prüm-Regime steigen könnte, etwa wenn es um die Voraussetzungen zur Erhebung von nunmehr besonders geschützten genetischen Daten oder die Rechte Betroffener geht. Allerdings räumt die Richtlinie den Mitglied-staaten mit zahlreichen Ausnahmeklauseln großen Spielraum ein, aus Gründen etwa des Schutzes der öffentlichen oder nationalen Sicherheit von den Vorgaben abzuweichen (z.B. Art. 15 der Richtlinie zur Einschränkung des Auskunftsrechts).

Netz mit Webfehlern

Schwierig gestaltet sich jedoch nicht nur die Harmonisierung des Datenschutzes, sondern auch die Umsetzung der Prüm-Beschlüsse durch die Mitgliedstaaten. Zum gesetzlichen Stichtag für die technische Implementierung der automatisierten Datenbankzugriffe am 26. August 2011 waren lediglich elf der damals 27 Mitgliedstaaten in der Lage, ihre DNA-Datenbanken abzugleichen und nur sechs bzw. sieben konnten daktyloskopische Daten bzw. Fahrzeugregister abfragen (Council of the European Union 2011a). Entsprechend räumte die EU-Kommission Ende 2011 ein, dass die gesteckten Ziele "überambitioniert" waren (Council of the European Union 2011b).

Die Gründe für die schleppende Vernetzung waren vielfältig: Schwierigkeiten, politische Mehrheiten für mitunter notwendige Anpassungen des nationalen Rechts an die Vorgaben von Prüm zu mobilisieren; Kompetenzstreitigkeiten zwischen Behörden bei der Benennung der Nationalen Kontaktstelle; Ärger bei organisationsinternen Neustrukturierungen, die aus der Internationalisierung resultieren sowie personelle und finanzielle Engpässe. Die größte Herausforderung schienen aber technische Probleme zu sein: Existierende Hard- oder Software erwiesen sich als inkompatibel; der Anschluss an das VPN-Netzwerk TESTA für die verschlüsselte Datenübermittlung gelang nicht reibungslos; mitunter mussten existierende Systeme komplett abgelöst werden. Allein die Umrüstung für den Austausch von DNA-Profilen soll durchschnittlich knapp zwei Millionen Euro pro Land gekostet haben (Council of the European Union 2010b). In den Ländern, die erst durch die Prüm-Beschlüsse verpflichtet worden waren, nationale DNA-Datenbanken einzurichten, dürften die Kosten deutlich höher gelegen haben. Entsprechend haben zahlreiche Mitgliedstaaten beträchtliche technische und finanzielle Hilfen erhalten. Bereits bis Ende 2012 hatte die EU-Kommission knapp 17 Millionen Euro für die Umsetzung der Prüm-Beschlüsse bereitgestellt (Europäische Kommission 2012, 5), und im Jahr 2017 stellte sie weitere 22 Millionen Euro zur Verfügung (Europäische Kommission 2017, 10). Nachdem auch die finanziellen Anreize nur unzureichend geholfen hatten, leitete die Kommission 2017 schließlich Vertragsverletzungsverfahren gegen Kroatien, Irland, Italien und Griechenland ein (Europäische Kommission 2017, 10), die so auf Linie gebracht wurden und bis Juni 2019 – mit Ausnahme Italiens – zumindest alle formalen Voraussetzungen für die Teilnahme am Prüm-Verbund erfüllt hatten.

In 25 von 28 EU-Mitgliedstaaten läuft der automatisierte Datenaustausch mindestens für eine der drei Datenkategorien mittlerweile im Wirkbetrieb. Lediglich Irland, Italien und Großbritannien konnten bis Ende Juni 2019 keine Daten austauschen; Griechenland nur DNA-Profile und Kroatien keine daktyloskopischen Daten. Aber auch jene Staaten, die im Wirkbetrieb an den Verbund angeschlossen sind, sind noch längst nicht in der Lage, an alle beteiligten Partner automatisiert Information zu übermitteln. Um das Prüm-Netzwerk umfänglich zu verwirklichen, sind insgesamt 1.134 Schnittstellen für den bilateralen Datenaustausch zu verwirklichen – 81 pro Land. Mitte 2019 hatte Deutschland davon 64 Schnittstellen realisiert und konnte so mit 23 Ländern KfZ-Registerdaten, mit 21 Ländern Fingerabdrücke und mit 20 Ländern DNA-Profile austauschen. Hingegen konnte etwa Kroatien nur mit zwölf Ländern DNA-Profile austauschen und Frankreich nur mit 14 Ländern Fingerabdrücke (Council of the European Union 2019b). Angesichts dieser Schwierigkeiten wurde 2017 die Idee eines "Prüm Routers" für die zentrale Vermittlung von Datenabfragen als Alternative zum existierenden Netzwerk ins Spiel gebracht (High-Level Expert Group on Information Systems and Interoperability 2017, 20). Allerdings wurde der Vorschlag, eine Machbarkeitsstudie in Auftrag zu geben, bislang nicht wieder aufgegriffen.


1

2

3

Vor