Prüm und die Vernetzung nationaler DNA-Datenbanken in Europa
Zur Unberechenbarkeit großtechnischer Systeme der Inneren Sicherheit.* In: vorgänge Nr. 227 (3/2019), S. 135-146
Der länderübergreifende Informations- und Datenaustausch zwischen den europäischen Polizeibehörden ist nicht nur für Recht und Politik eine große Herausforderung, auch die technologische und praktische Realisierung wirft zahlreiche Probleme auf. Am Beispiel der 2005 gestarteten Vernetzung nationaler DNA-Datenbestände zeigt der folgende Beitrag, wie die ursprünglichen Erwartungen an eine europaweite Verfügbarkeit dieser Daten aufgrund zahlreicher Inkompatibilitäten und riesiger Daten(fehler)mengen immer weiter nach unten korrigiert werden mussten.
Die Vision, polizei-relevante Informationen aus separaten Datencontainern zu „befreien“ und – lediglich reguliert durch ein abgestuftes Zugriffsrechtemanagement – möglichst umfassend für Zwecke der Gefahrenabwehr und Strafverfolgung verfügbar zu machen, hat eine lange Tradition. Aktuellen Niederschlag findet sie in Deutschland mit dem Projekt „Polizei 2020“ und auf EU-Ebene mit den Plänen, die großen IT-Systeme im Bereich Asyl, Migration und Sicherheit interoperabel zu machen. Dass solche großtechnischen IT-Projekte im Feld der Polizei jedoch kein geschmierter, linearer Prozess sind, sondern es sich dabei um die höchst ambivalente Entwicklung heterogener sozio-technischer Netzwerke handelt, der Dysfunktionalität und Ineffizienz inhärent ist, hat der Politikwissenschaftler Stephan Heinrich bereits am Beispiel der Entwicklung von INPOL-neu gezeigt. Daher ist es notwendig, so Heinrich, jenseits der üblichen und wichtigen normativen Diskussion über die rechtliche Zulässigkeit von polizeilichem Technikeinsatz auch seine Implementierung und die Realfunktionen zu betrachten, um ein besseres Verständnis seiner gesellschaftlichen Bedeutung zu gewinnen (Heinrich 2007, 379ff.). Eben dies versucht der vorliegende Beitrag für ein Projekt der europäischen Innenpolitik, dessen zentrales Anliegen die grenzüberschreitende „Verfügbarmachung“ von personenbezogenen Daten ist: Nachgezeichnet werden die Entwicklung und Praxis der europaweiten Vernetzung nationaler Datenbanken – insbesondere der forensischen DNA-Register – für polizeiliche und strafjustizielle Zwecke, die vor mehr als 14 Jahren durch den Vertrag von Prüm angestoßen wurde. An ihrem Beispiel soll gezeigt werden, wie die Realisierung großtechnischer Systeme der Inneren Sicherheit in den Mühen der Ebene aufgrund ihrer Komplexität an Grenzen stößt und die technokratischen Versprechen sich in widersprüchlichen Praktiken auflösen, die sich nicht nur der politischen Steuerung, sondern auch einer sinnvollen Evaluation entziehen.
Der Prüm-Verbund – ein „Albtraum“ für Bürgerrechte und Strafverfolger?
Der Prüm-Verbund ist ein dezentrales Netzwerk der 28 EU-Mitgliedstaaten für den gegenseitigen automatisierten Zugriff von Polizeien und Strafverfolgungsbehörden auf die nationalen Datenbanken für forensische DNA-Profile und daktyloskopische Daten sowie auf Fahrzeugregister. Mittelfristig sollen auch Norwegen, Island, die Schweiz und Liechtenstein in das Netzwerk eingebunden werden. Der Datenzugriff wird vermittelt über sogenannte Nationale Kontaktstellen, in Deutschland etwa das Bundeskriminalamt und das Kraftfahrzeug-Bundesamt. DNA-Daten – einzelne Profile, aber auch die Datensätze aller offenen Spuren – dürfen ausschließlich für Zwecke der Strafverfolgung einzeln abgefragt oder massenhaft abgeglichen werden. Gescannte Bilder von Fingerabdrücken oder Handballen sowie bereits für AFIS-Systeme codierte Datensätze können auch zur Verhinderung von Straftaten übermittelt werden. Zugriffe auf Fahrzeugregister sind darüber hinaus zur Verfolgung von Ordnungswidrigkeiten oder zur Abwehr von Gefahren für die öffentliche Sicherheit autorisiert. Im Fall von DNA- und daktyloskopischen Daten werden die Abfragen lediglich in einem „Treffer/Kein Treffer“-Verfahren durchgeführt. Dabei wird in einem ersten Schritt nur ermittelt, ob eine angefragte Kontaktstelle übermittelte Daten ebenfalls gespeichert hat. Eventuell vorliegende Informationen zu Personen, die sich hinter „Treffern“ verbergen, werden erst in einem zweiten Schritt über andere Kanäle der europäischen Polizeikooperation und außerhalb des Rechtsrahmens von Prüm übermittelt. Durch dieses mehrstufige Verfahren soll verhindert werden, dass Unschuldige vorschnell ins Visier polizeilicher Ermittlungen geraten. Beim Zugriff auf die Fahrzeugregister können hingegen neben Daten zu Fahrzeugen auch unmittelbar personenbezogene Informationen zu Eigentümern und Haltern ausgetauscht werden.
Ins Leben gerufen wurde der Verbund am 27. Mai 2005 durch den Vertrag von Prüm, den ursprünglich nur sieben Länder unterzeichnet hatten: Deutschland, Österreich, Belgien, die Niederlande, Luxemburg, Spanien und Frankreich. In den kommenden Jahren folgten sieben weitere, insbesondere osteuropäische Beitrittsländer. Mit dieser kritischen Masse im Rücken gelang es der deutschen Ratspräsidentschaft 2007, die Übernahme weiter Teile des Prüm-Vertrages in EU-Recht auf den Weg zu bringen. Am 23. Juni 2008 verabschiedete der Rat schließlich die beiden Prüm-Beschlüsse 2008/ 615/JI und 2008/616/JI, ersterer für die grundlegenden Regeln des Datenaustausches und letzterer für Fragen der technischen Durchführung.
Die Prüm-Beschlüsse stellen einen zentralen Baustein bei der Umsetzung des „Grundsatzes der Verfügbarkeit“ dar, der – vom Europäischen Rat im November 2004 im „Haager Programm“ deklariert – darauf abzielt, die in nationalen Datenbanken vorgehaltenen Informationen unionsweit für Polizei und Strafverfolgung verfügbar zu machen. Hintergrund war die geringe Nutzung zentraler Datenbanken der EU (etwa vom Schengen-Informationssystem oder den Europol-Computersystemen) durch die Behörden der Mitgliedstaaten, so dass Brüssel auf der Suche nach einem „innovativen Konzept“ für den grenzüberschreitenden Datenaustausch war. Nach den Plänen des Haager Programms sollte mit Wirkung zum 1. Januar 2008 den Strafverfolgungsbehörden (inklusive Europol) ein gleichberechtigter und möglichst unmittelbarer Zugang zu Informationen eingeräumt werden – gegebenenfalls durch den gegenseitigen (Online-)Zugriff auf nationale und die bestehenden zentralen europäischen Datenbanken. Anders als geplant nahmen jedoch die Prüm-Vertragsstaaten der EU-Kommission die Initiative aus der Hand. Dies insbesondere, weil man bei der von Brüssel angestrebten gemeinsamen Harmonisierung von Informationsaustausch und Datenschutz langwierige Verhandlungen fürchtete und die Vorhaben daher entkoppeln wollte.
Entsprechend enthält der Prüm-Beschluss 2008/615/JI, ähnlich wie bereits der Vertrag von Prüm, zwar ein eigenes Kapitel zu Datenschutzbestimmungen, das eine Zweck¬bindung der Datenbankabrufe, Vorgaben zur Datensicherheit und umfassende Protokollie¬r¬ungspflichten vorsieht. Vielfach wird jedoch auf innerstaatliches Recht verwiesen, etwa wenn es um Betroffenenrechte geht. Als Mindeststandard gelten lediglich die mehr als 30 Jahre alte Datenschutzkonvention des Europarates von 1981 und die unverbindliche Empfehlung R (87) 15 für die Anwendung der Konvention im Polizeibereich von 1987. Die Entscheidung darüber, ob die datenschutzrechtlichen Anforderungen erfüllt sind, obliegt dem Rat der EU, also den Regierungen der Mitgliedstaaten. In den Verhandlungen wurde weder die Forderung aufgegriffen, den gegenseitigen Zugriff auf die DNA-Datenbanken auf Fälle schwerer Kriminalität zu begrenzen, noch wurden die Rechte von Betroffenen einheitlich definiert. Auch der Wunsch der Datenschützer, an der Überprüfung des angemessenen Datenschutzniveaus in den teilnehmenden Staaten beteiligt zu werden, wurde ignoriert (Schaar 2006). Angesichts der deutlichen Defizite nannte der damalige Europäische Datenschutzbeauftragte den EU-weiten Informationsaustausch im Mai 2008 einen „Albtraum nicht nur für die Bürger, sondern auch für die Strafverfolgungsbehörden selbst“ (zit. in Krempl 2008).
Hoffnungen, dass ein Datenschutzrecht der EU für den Polizeibereich Abhilfe schaffen könnte, erwiesen sich als trügerisch. Der Rahmenbeschluss 2008/977/JI von 27. November 2008 regulierte nur den grenzüberschreitenden Transfer der Daten, ließ aber die nationale Erhebung und Verarbeitung personenbezogener Daten unberührt; zudem klammerte er die bis dato verabschiedeten Übereinkünfte zum europäischen Datenaustausch – also auch die Prüm-Beschlüsse – aus und räumte den jeweiligen datenschutzrechtlichen Vorschriften Vorrang ein (Artikel 28 des Rahmenbeschlusses). Dies gilt auch für die neue Richtlinie (EU) 2016/680 über den Datenschutz bei Polizei und Strafjustiz (Artikel 60 der Richtlinie), die seit 25. Mai 2018 gültig ist. Zwar zielt die sogenannte JI-Richtlinie auf die Harmonisierung nationaler Datenschutzvorschriften, so dass auch das Schutzniveau im Prüm-Regime steigen könnte, etwa wenn es um die Voraussetzungen zur Erhebung von nunmehr besonders geschützten genetischen Daten oder die Rechte Betroffener geht. Allerdings räumt die Richtlinie den Mitglied-staaten mit zahlreichen Ausnahmeklauseln großen Spielraum ein, aus Gründen etwa des Schutzes der öffentlichen oder nationalen Sicherheit von den Vorgaben abzuweichen (z.B. Art. 15 der Richtlinie zur Einschränkung des Auskunftsrechts).
Netz mit Webfehlern
Schwierig gestaltet sich jedoch nicht nur die Harmonisierung des Datenschutzes, sondern auch die Umsetzung der Prüm-Beschlüsse durch die Mitgliedstaaten. Zum gesetzlichen Stichtag für die technische Implementierung der automatisierten Datenbankzugriffe am 26. August 2011 waren lediglich elf der damals 27 Mitgliedstaaten in der Lage, ihre DNA-Datenbanken abzugleichen und nur sechs bzw. sieben konnten daktyloskopische Daten bzw. Fahrzeugregister abfragen (Council of the European Union 2011a). Entsprechend räumte die EU-Kommission Ende 2011 ein, dass die gesteckten Ziele „überambitioniert“ waren (Council of the European Union 2011b).
Die Gründe für die schleppende Vernetzung waren vielfältig: Schwierigkeiten, politische Mehrheiten für mitunter notwendige Anpassungen des nationalen Rechts an die Vorgaben von Prüm zu mobilisieren; Kompetenzstreitigkeiten zwischen Behörden bei der Benennung der Nationalen Kontaktstelle; Ärger bei organisationsinternen Neustrukturierungen, die aus der Internationalisierung resultieren sowie personelle und finanzielle Engpässe. Die größte Herausforderung schienen aber technische Probleme zu sein: Existierende Hard- oder Software erwiesen sich als inkompatibel; der Anschluss an das VPN-Netzwerk TESTA für die verschlüsselte Datenübermittlung gelang nicht reibungslos; mitunter mussten existierende Systeme komplett abgelöst werden. Allein die Umrüstung für den Austausch von DNA-Profilen soll durchschnittlich knapp zwei Millionen Euro pro Land gekostet haben (Council of the European Union 2010b). In den Ländern, die erst durch die Prüm-Beschlüsse verpflichtet worden waren, nationale DNA-Datenbanken einzurichten, dürften die Kosten deutlich höher gelegen haben. Entsprechend haben zahlreiche Mitgliedstaaten beträchtliche technische und finanzielle Hilfen erhalten. Bereits bis Ende 2012 hatte die EU-Kommission knapp 17 Millionen Euro für die Umsetzung der Prüm-Beschlüsse bereitgestellt (Europäische Kommission 2012, 5), und im Jahr 2017 stellte sie weitere 22 Millionen Euro zur Verfügung (Europäische Kommission 2017, 10). Nachdem auch die finanziellen Anreize nur unzureichend geholfen hatten, leitete die Kommission 2017 schließlich Vertragsverletzungsverfahren gegen Kroatien, Irland, Italien und Griechenland ein (Europäische Kommission 2017, 10), die so auf Linie gebracht wurden und bis Juni 2019 – mit Ausnahme Italiens – zumindest alle formalen Voraussetzungen für die Teilnahme am Prüm-Verbund erfüllt hatten.
In 25 von 28 EU-Mitgliedstaaten läuft der automatisierte Datenaustausch mindestens für eine der drei Datenkategorien mittlerweile im Wirkbetrieb. Lediglich Irland, Italien und Großbritannien konnten bis Ende Juni 2019 keine Daten austauschen; Griechenland nur DNA-Profile und Kroatien keine daktyloskopischen Daten. Aber auch jene Staaten, die im Wirkbetrieb an den Verbund angeschlossen sind, sind noch längst nicht in der Lage, an alle beteiligten Partner automatisiert Information zu übermitteln. Um das Prüm-Netzwerk umfänglich zu verwirklichen, sind insgesamt 1.134 Schnittstellen für den bilateralen Datenaustausch zu verwirklichen – 81 pro Land. Mitte 2019 hatte Deutschland davon 64 Schnittstellen realisiert und konnte so mit 23 Ländern KfZ-Registerdaten, mit 21 Ländern Fingerabdrücke und mit 20 Ländern DNA-Profile austauschen. Hingegen konnte etwa Kroatien nur mit zwölf Ländern DNA-Profile austauschen und Frankreich nur mit 14 Ländern Fingerabdrücke (Council of the European Union 2019b). Angesichts dieser Schwierigkeiten wurde 2017 die Idee eines „Prüm Routers“ für die zentrale Vermittlung von Datenabfragen als Alternative zum existierenden Netzwerk ins Spiel gebracht (High-Level Expert Group on Information Systems and Interoperability 2017, 20). Allerdings wurde der Vorschlag, eine Machbarkeitsstudie in Auftrag zu geben, bislang nicht wieder aufgegriffen.
Falsche Treffer
Doch nicht nur die technische Einrichtung des Prüm-Verbundes ist mit erheblichen Herausforderungen konfrontiert, sondern auch die alltägliche Praxis des Datenaustauschs. Ein zentrales Problem beim Abruf und Abgleich von DNA-Profilen ist das Risiko falsch positiver Treffer, sogenannter „Zufallstreffer“. Was als „Treffer“ gilt, wird im Anhang zum Ratsbeschlusses 2008/616/JI definiert: Demnach müssen übermittelte DNA-Profile die Allelwerte für mindestens sechs der sieben DNA-Abschnitte („Loci“) enthalten, auf die man sich mit dem alten „European Standard Set of Loci“ (ESS) geeinigt hatte. Zusätzlich dürfen die DNA-Profile Allelwerte weiterer Loci – erlaubt sind insgesamt 24 – oder Leerfelder enthalten. Als „Treffer“ gilt jedoch bereits die Übereinstimmung von mindestens sechs Loci. Unterschieden wird dabei zwischen „full matches“, bei denen alle Allelwerte übereinstimmen, und „near matches“, bei denen die Allelwerte von sechs Loci übereinstimmen, aber ein weiterer Allelwert abweicht. [1] Diese Regelung wurde aus dem Vertrag von Prüm übernommen, der Standards für nur sieben Mitglieder festgelegt hatte. Mit der wachsenden Zahl von Mitgliedern im Prüm-Netzwerk wuchs jedoch die statistische Wahrscheinlichkeit von falschen Treffern, durch die ein zum Abgleich übermitteltes DNA-Profil fälschlicherweise einer Person zugeordnet wird, die bereits in einer forensischen DNA-Datenbank erfasst ist (Toom 2018, 51f.).
Bekannt sind die Risiken schon länger. Bereits 2005 diskutierten europäische Forensiker die Möglichkeit, den alten ESS aus dem Jahr 2001 um weitere Loci zu erweitern (Gill et al. 2006). Nachdem man sich 2008 darauf einigte, den ESS um fünf auf zwölf Loci zu erweitern, verabschiedete der EU-Ministerrat im November 2009 eine entsprechende Entschließung. Allerdings handelt es sich dabei nur um unverbindliches „soft law“, mit dem den EU-Mitgliedstaaten lediglich empfohlen wird, „den neuen Europäischen Standardsatz so bald wie möglich, spätestens jedoch 24 Monate nach der Annahme dieser Entschließung, anzuwenden“ (Rat der Europäischen Union 30.11.2009). Umgangen wurde damit eine Änderung der Prüm-Beschlüsse, die insbesondere nach Inkrafttreten des Lissabon-Vertrages und der neuen Mitspracherechte des Europaparlamentes im Bereich der Polizeikooperation politisch kaum durchsetzbar schien. Die niederländische Delegation in der „Arbeitsgruppe Informationsaustausch“ behauptete zwar in einer Note vom Juni 2010, dass die Prüm-Beschlüsse ausdrücklich zur Umsetzung eines neuen ESS verpflichten (Council of the European Union 2010a). In der deutschen Version des bemühten Rechtsaktes heißt es allerdings: „Jeder Mitgliedstaat sollte, so bald wie praktisch möglich, die Loci eines neuen ESS, der von der EU übernommen wurde, einführen.“ (§ 1.1 in Kapitel 1 des Anhangs zum Ratsbeschluss 2008/616/JI) Keine Muss-, sondern eine Soll-Vorschrift, die sich zudem an der praktischen Realisierbarkeit orientiert. Und eben hier liegt der Haken, da die Anpassung der nationalen Infrastruktur an den neuen ESS zumindest bei einigen Mitgliedstaaten mit erheblichem technischen und finanziellen Aufwand verbunden wäre.
Auf Initiative Europols gelang 2013 die weitgehende Anpassung der technischen Infrastruktur auf den neuen ESS, und auch biotechnologische Unternehmen reagierten schnell und brachten neue Analyse-Kits auf den Markt. Gleichwohl entsprechen auch weiterhin viele der gespeicherten DNA-Profile nicht dem neuen ESS. Zum einen lassen sich mitunter nur Teilabschnitte aus DNA-Spuren extrahieren und zum anderen haben Länder, die vergleichsweise früh DNA-Datenbanken eingerichtet haben, noch zahlreiche Profile gespeichert, die mit mittlerweile überholten Analyse-Kits generiert wurden, so dass weniger als die zwölf ESS-Loci erfasst sind (ENSFI DNA Working Group 2016, 10). Über Deutschland wird z.B. berichtet, dass auch 2015 noch mehr als 50 Prozent – mehr als 600.000 – der beim BKA gespeicherten DNA-Profile nicht mehr als acht Loci zählten (Home Office 2015, 51).
DNA-Experten gehen davon aus, dass etwa 60 Prozent der „Treffer“, bei denen die Allelwerte von nur sechs Loci verglichen werden, bzw. sechs Prozent der Treffer, bei denen die Werte von sieben Loci verglichen werden, falsch positive Treffer sind (siehe Toom et al. 2019, 54). Vor diesem Hintergrund empfahl die „Arbeitsgruppe Informationsaustausch“ des Rates der EU schon 2010, dass „Treffer“, die einer anfragenden Kontaktstelle aus einem anderen Land gemeldet werden, manuell überprüft werden sollten, bevor sie an andere Polizei- oder Justizbehörden weitergeleitet würden: „Es gelte, die Balance zu wahren zwischen der Bereitstellung von Ermittlungshilfen für die Strafverfolgung, die das Ziel des Prümer Datenaustausches war, und der Vermeidung unnötigen Aufwandes bei der Nachverfolgung falscher Treffer.“ (Council of the European Union 2019a, 5) Für die nationalen Kontaktstellen aber bedeutet die manuelle Überprüfung in jedem Fall erheblichen Aufwand, den Beteiligte als „Verschwendung von Zeit und Ressourcen“ beklagen (zit. in Toom 2018, 33).
Uneinheitliches „Follow-up“
Auch bei der eventuellen Anfrage nach Zusatzinformationen zu einem Prüm-Treffer – die jedoch nicht durch die Prüm-Beschlüsse geregelt wird – hakt es an verschiedenen Stellen. Schon länger ist die EU darum bemüht, den Informationsaustausch in klassischen Rechtshilfeverfahren zu beschleunigen. Mit der „Schwedischen Initiative“, dem Rahmenbeschluss 2006/960/JI, hatte sie im Dezember 2006 verbindliche Fristen von maximal 14 Tagen vorgegeben. Auch wenn die Vorgaben mittlerweile weitgehend in nationales Recht umgesetzt worden sind, steht ihre praktische Umsetzung vor erheblichen Problemen, zu deren Ursachen Personalmangel oder die fehlende bzw. unzureichende Standardisierung von Datenformaten gehört, die eine automatisierte Übermittlung unmöglich machen. Auch scheinen ungezielte Rundum-Abfragen in allen Prüm-Ländern und die Tendenz, jede Abfrage als „dringlich“ zu markieren, zu gewissen Ermüdungserscheinungen geführt zu haben (Doherty et al. 2015, 28ff.).
Doch selbst dort, wo die „Schwedische Initiative“ etabliert ist, gibt sie nicht notwendigerweise auch die Wege des tatsächlichen Informationsaustauschs vor. Viele Beamte nutzen andere Kanäle, insbesondere über Interpol, so dass die gelebte Vielfalt an Übermittlungsverfahren ein weiterer Faktor für Verzögerungen ist und zudem die Schwierigkeiten erklärt, Informationen über das „Follow-up“ zu Prüm-Treffern statistisch zu erfassen (Doherty et al. 2015, 41ff.). Hinzu kommt, dass die bearbeitenden Nationalen Kontaktstellen recht unterschiedlichen Logiken folgen, je nachdem um welchen Organisationstyp es sich handelt. Während in vielen Ländern Innenministerien oder zentrale Polizeidienststellen zuständig sind, die den lokalen Dienststellen bereitwillig beim Sammeln der Hinweise helfen, scheinen Staatsanwaltschaften oder rechtsmedizinische Institute, wie sie etwa in Belgien, den Niederlanden, Portugal oder Schweden zuständig sind, deutlich höhere Anforderungen an die Weiterbearbeitung von Treffern zu legen (Toom et al. 2019, 54). So wird etwa aus den Niederlanden berichtet, dass von den 2.020 Treffern, die es im Jahr 2010 bei DNA-Abgleichen gab, lediglich in 138 Fällen ein Ersuchen nach Zusatzinformationen ins Ausland übermittelt wurde, von denen wiederum nur 37 Fälle zur Eröffnung eines Gerichtsverfahrens führten (Toom et al. 2019, 54).
Unklarer und ungleicher Nutzen
Eine Gesamtbilanz des gigantischen Unterfangens liegt nur in Bruchstücken vor. Statistiken sind nur teilweise öffentlich zugänglich und weisen zudem deutliche Inkonsistenzen auf. Gleichwohl sind sie Indikator für die Größenordnung und Muster des Datenaustauschs: Im Jahr 2015 wurden mehr als 1,3 Millionen DNA-Profile zur Abfrage oder zum Abgleich von einem Mitgliedstaat in den anderen übermittelt. Die Hauptnutzer sind Deutschland und Österreich: Zwei Drittel der übermittelten Daten kamen allein aus diesen beiden Ländern; 2016 waren es sogar drei Viertel der dann 1,2 Millionen übermittelten DNA-Profile (eigene Berechnungen auf Grundlage der Zahlen in Council of the European Union 2016, 2017). Nach einer Auswertung der Prüm-Statistiken von 2011 bis 2015 durch die portugiesischen Soziologen Santos und Machado verzeichneten Abfragen aus Deutschland, Österreich, Spanien, Frankreich und den Niederlanden die meisten Treffer in den DNA-Datenbanken anderer Mitgliedstaaten, hauptsächlich in Rumänien und Litauen (Santos und Machado 2017, 309f.). Folgerichtig konstatieren Santos und Machado, dass es insbesondere osteuropäische Länder sind, die zum Nutzen anderer Länder – insbesondere Deutschlands, das in dem Zeitraum jährlich zwischen etwa 4.500 und 7.000 Treffer rückgemeldet bekam – die Kosten tragen für die Sammlung von DNA-Profilen und den Unterhalt entsprechender Datenbanken (Santos und Machado 2017, 311).
Darüber hinaus sind die statistischen Angaben zu den „Treffern“ wenig aussagekräftig. Zum einen handelt es sich keineswegs immer um Treffer einer offenen Spur mit dem DNA-Profil einer bekannten Person, sondern häufig auch um sogenannte Spur-Spur-Treffer. Zum anderen werden die oben genannten falsch positiven Treffer nicht aus der Statistik gefiltert. Auch findet sich kein Hinweis auf die Relevanz für Ermittlungsverfahren oder die Schwere der Delikte. Die Diskussion um „aussagekräftige“ Statistiken führt die EU-Kommission gegen Widerstände aus den Mitgliedstaaten. Gerne würde sie auch Angaben zum „Follow up“ sammeln, um zu erfahren, wie viele „Treffer“ denn bei Strafermittlung wirksam werden, um so für zukünftige Verhandlungen mit dem Parlament gerüstet zu sein, falls die Weiterentwicklung der Prüm-Beschlüsse einmal auf die Tagesordnung kommt. Doch die Mitgliedstaaten zieren sich mit dem Hinweis auf den hohen Verwaltungsaufwand, entsprechende Daten zu erheben, obwohl Brüssel zwischenzeitlich sogar Kompensationszahlungen für die administrative Mehrarbeit angeboten hat (Council of the European Union 2013).
Aktuell kein Interesse besteht auch an der Erfassung der Art der Delikte, die mittels Prümer DNA-Abgleich verfolgt werden. Aus der ersten Bilanz des deutschen Datenabgleichs mit Österreich, Spanien und Luxemburg von Dezember 2007 ist nur bekannt, dass von den damals 2.330 „Treffern“ mehr als 86 Prozent (2.005 Treffer) auf Eigentumsdelikte wie Diebstahl oder Betrug entfielen, knapp zehn Prozent (227 Treffer) im Zusammenhang mit Gewaltdelikten oder gemeingefährlichen Straftaten standen und nicht einmal zwei Prozent (40 Treffer) im Zusammenhang mit Straftaten gegen das Leben oder die sexuelle Selbstbestimmung standen (Töpfer 2008, 18). Es ist zu vermuten, dass der quantitative kriminalistische Nutzen des DNA-Abgleichs im Rahmen der Prüm-Beschlüsse allen spektakulären Erfolgsmeldungen zum Trotz auch heute noch im Bereich der Eigentumskriminalität liegt.
Fazit
Mit dem Begriff des „technologischen Momentums“ beschrieb der Technikhistoriker Thomas P. Hughes Technisierungsprozesse, die, einmal in Schwung gebracht von einem Netzwerk interessierter Akteure, kaum mehr zu bremsen sind (Hughes 1993). Die Schaffung und Erweiterung des Prüm-Verbundes wurde – wie nicht wenige andere Instrumente im Feld der europäischen Innenpolitik – von einer kerneuropäischen Staatengruppe unter Führung Deutschlands vorangetrieben, dessen Polizeien zugleich auch zu den stärksten Nutzern der neuen Möglichkeiten gehören. Ob sich die Versprechungen und Erwartungen an die multilaterale Vernetzung nationaler DNA-Datenbanken allerdings erfüllt haben und im Verhältnis zu den grundrechtlichen und ökonomischen Kosten stehen, bleibt im Dunkeln. Jenseits der von Befürwortern der Vernetzung gerne bemühten spektakulären Einzelfälle, in denen Prüm-Abfragen dazu beitragen konnten, schwere Verbrechen mit grenzüberschreitenden Bezügen aufzuklären, entziehen sich Wirkung und Nutzen des gigantischen Apparates einer sinnvollen Evaluation. Weder ist bekannt, in welchem Ausmaß DNA-Abfragen über die Prüm-Kanäle bei welchen strafrechtlichen Ermittlungen ausschlaggebend waren; noch weiß man, wie viele falsch positive „Zufallstreffer“ in der Bilanz zu Buche schlagen oder welche grundrechtlichen Kollateralschäden der grenzüberschreitende Informationsaustausch zeitigt, weil Betroffene zu Unrecht in Verdacht geraten. Fest steht jedoch, dass nicht nur die technische Realisierung, sondern auch die alltägliche Praxis des Informationsaustausches erhebliche Ressourcen bindet, wodurch sich unter anderem erklärt, warum die Umsetzung der ambitionierten Pläne, insbesondere in den wirtschaftsschwachen Staaten der europäischen Peripherie, trotz aller Hilfen aus Brüssel auf erhebliche Widerstände stieß, zumal der kriminalistische Mehrwert ungleich verteilt ist.
Anders als das politische Versprechen suggeriert, ist Prüm nicht das effektive Instrument zur technokratischen Lösung des „Problems“ grenzüberschreitender Kriminalität. Vielmehr handelt es sich um eine komplexe und heterogene sozio-technische Konstellation, deren Entwicklung immer wieder neue Probleme generiert. Dass nur ein exklusiver Kreis von Fachleuten aus Innenbehörden, IT und Forensik in europäischen Expertengremien nach Antworten auf diese Probleme sucht, um die Funktionsfähigkeit des Netzwerks sicherzustellen, ohne sich jedoch über deren tatsächliche Funktion wirklich im Klaren zu sein oder die lokale Umsetzung überprüfen zu können, demonstriert, dass die Netzwerke des europäischen Informationsaustausches sich nicht nur in wachsendem Maße der politischen Kontrolle entziehen, sondern auch der Steuerung durch die Verwaltung selbst.
Umso problematischer ist es vor diesem Hintergrund, dass die österreichische Ratspräsidentschaft im September 2018 unter dem Schlagwort „Next Generation Prüm“ schon eine neue Runde in der Entwicklung des Prüm-Verbundes eingeläutet hat: Angeregt wurde, auch den Austausch von Zusatzinformationen vollständig zu automatisieren, Lichtbilder mit Gesichtserkennung und neue forensische Methoden wie die DNA-Familiensuche zu integrieren sowie Europol und Drittstaaten mit an das Netzwerk anzubinden (Council of the European Union 2018). Wieder finden die Diskussionen über die weitreichenden Pläne in kleinem Kreis statt, obwohl eine umfassende und selbstkritische Bestandsaufnahme unter Einbeziehung einer breiten Öffentlichkeit geboten wäre.
ERIC TÖPFER Jahrgang 1970, ist Politologe und wissenschaftlicher Mitarbeiter am Deutschen Institut für Menschenrechte, der unabhängigen nationalen Menschenrechtsinstitution Deutschlands. Dort ist er zuständig für den Bereich Menschenrechte im Politikfeld Innere Sicherheit. Zuvor war er wissenschaftlicher Mitarbeiter an der Technischen Universität Berlin und Research Consultant für die britische NGO Statewatch. Eine Übersicht seiner Publikationen findet sich unter: www.emato.de.
* Bei diesem Artikel handelt es sich um eine überarbeitete und aktualisierte Fassung des Beitrages „Verheddert im Netz der DNA-Datenbanken. Prüm und die Mythen der Interoperabilität“. In: Plöse, M., Fritsche, T., Kuhn, M., Lüders, S. (Hrsg.) (2016): „Worüber reden wir eigentlich?“ Festgabe für Rosemarie Will. Berlin: Humanistische Union, S. 809-826. Er gibt ausschließlich die
persönliche Auffassung des Autors wieder.
Literatur
Council of the European Union, 2010a: „Prüm Decision“ – Implementation of the new European Standard Set of Loci. Note from Dutch delegation to Ad hoc Group on Infor-mation Exchange, Council Document 11084/10.
Council of the European Union, 2010b: Analysis of replies to the questionnaire on the Implementation of the „Prüm Decisions“, Council Document 14918/10.
Council of the European Union, 2011a: Implementation of the provisions on infor-mation exchange of the „Prüm Decisions“ – overview of documents and procedures – overview of declarations – state of play of implementation of automated data ex-change, Council Document 6077/7/11 REV 7.
Council of the European Union, 2011b: Semi-annual report on the implementation of automated data exchange provisions of Council Decisions 2008/615/JHA and 2008/616/JHA („Prüm Decisions“), Council Document 17761/11.
Council of the European Union, 2013: Summary of discussions. Outcome of Proceed-ings of DAPIX / experts DNA/FP meeting on 2 October 2013, Council Document 14568/13.
Council of the European Union, 2016: „Prüm Decisions“ – statistics and reports on au-tomated data exchange for 2015, Council Document 5129/16.
Council of the European Union, 2017: „Prüm Decisions“ – statistics and reports on au-tomated data exchange for 2016, Council Document 6126/17.
Council of the European Union, 2018: „Next Generation Prüm“ – Discussion paper on developing Prüm, Council Document 11868/18.
Council of the European Union, 2019a: Summary of discussions. Outcomes of Proceed-ings of Ad Hoc Group on Information Exchange (experts DNA + fingerprints) meeting on 31 March – 1 April 2009, Council Document 8505/09.
Council of the European Union, 2019b: Implementation of the provisions on infor-mation exchange of the „Prüm Decisions“ – overview of documents and procedures – overview of declarations – state of play of implementation of automated data ex-change, Council Document 5322/3/19 REV 3.
Doherty, Richard, Vandresse, Benoît, Kamarás, Éva, Siede, Anna, Segerberg, Jan, De Hert, Paul, Mitsilegas, Valsamis, 2015: Study on the implementation of the European Information Exchange Model (EIXM) for strengthening law enforcement cooperation. Final report. European Commission,
ENSFI DNA Working Group, 2016: DNA database management. Review and recom-mendations. Unter: http://www.enfsi.eu/sites/default/files/documents/final_version_enfsi_2016_document_on_dna-database_management_0.pdf (aufgerufen 13.07.2019).
Europäische Kommission, 2012: Bericht der Kommission an das Europäische Parlament und den Rat zur Durchführung des Beschlusses 2008/615/JI des Rates vom 23. Juni 2008 zur Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus und der grenzüberschreitenden Kriminalität („Prümer Beschluss“), COM(2012) 732 final.
Europäische Kommission, 2017: Neunter Bericht über die Fortschritte auf dem Weg zu einer wirksamen und nachhaltigen Sicherheitsunion, COM(2017) 407 final.
Gill, Peter, Fereday, Lyn, Morling, Niels, Schneider, Peter M., 2006: The evolution of DNA databases. Recommendations for new European STR loci. In: Forensic Science Interna-tional (156), S. 242–244.
Heinrich, Stephan, 2007: Innere Sicherheit und neue Informations- und Kommunikationstechnologien. Veränderungen des Politikfeldes zwischen institutionellen Faktoren, Akteursorientierungen und technologischen Entwicklungen, Münster: LIT Verlag.
High-Level Expert Group on Information Systems and Interoperability, 2017: Final re-port, Brussels. Unter: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetailDoc&id=32600&no=1. (aufgerufen 13.07.2019).
Home Office, 2015: Prüm business and implementation case. To asssess fairly the im-pact on the UK, including the potential practical benefits, the potential negative im-pacts and the steps that would be necessary, of rejoining the Prüm Decisions (EU Coun-cil Decision 2008/615/JHA and its implementing decision, 2008/616/JHA of 23 June 2008 in conjunction with Council Framework Decision 2009/905/JHA), London.
Hughes, Thomas Parke, 1993: Networks of power. Electrification in Western society, 1880-1930, Baltimore, Md.: Johns Hopkins University Press.
Krempl, Stefan, 2008: EU-Datenschützer tadelt Schäubles Polizei-Superdatenbank. In: heise online, 15.05.2008. Unter: https://www.heise.de/newsticker/meldung/EU-Datenschuetzer-tadelt-Schaeubles-Polizei-Superdatenbank-207975.html (aufgerufen 13.07.2019).
Rat der Europäischen Union (30.11.2009): Entschließung des Rates vom 30. November 2009 über den Austausch von DNS-Analyseergebnissen. In: Amtsblatt der Europäischen Union C 296/1.
Santos, Filipe, Machado, Helena, 2017: Patterns of exchange of forensic DNA data in the European Union through the Prüm system. In: Science and Justice, 57 (4), S. 307–313.
Schaar, Peter, 2006: Datenaustausch und Datenschutz im Vertrag von Prüm. In: Datenschutz und Datensicherheit, 30 (11), S. 691–693.
Toom, Victor, 2018: Cross-border exchange and comparison of forensic DNA data in the context of the Prüm Decision. Brüssel: European Parliament, LIBE Study PE 604.971.
Toom, Victor, Granja, Rafaela, Ludwig, Anika, 2019: The Prüm Decisions as an aspira-tional regime. Reviewing a decade of cross-border exchange and comparison of foren-sic DNA data. In: Forensic Science International: Genetics, 41, S. 50–57.
Töpfer, Eric, 2008: Europäischer DNA-Binnenmarkt. In: GID. Gen-ethischer Informationsdienst (191), S. 14–19.
Anmerkungen:
1 „Allele“ sind die Zahlenpaare zur Bestimmung der individuellen Basensequenzvariation eines be-
stimmten DNA-Abschnitts („Locus“), die als numerische Daten in den DNA-Datenbanken gespei-
chert werden.