Darf das EU-Parlament die Fingerabdrücke seiner Abgeordneten nutzen, um festzustellen, ob sie bei einer Sitzung anwesend sind? Wie kann die EU-Kommission die Office-Programme von Microsoft nutzen, obwohl dabei Daten in andere Länder übertragen werden? Für solche Fragen ist Wojciech Wiewiórowski zuständig. Er ist seit 2019 der Europäische Datenschutzbeauftragte (EDPS) und kontrolliert, ob sich die europäischen Institutionen und Behörden an ihre Datenschutzregeln halten.

Gestern hat Wiewiórowski im Innenausschuss des europäischen Parlaments seinen Jahresbericht für 2023 (PDF) vorgestellt. Dabei standen einige Themen im Vordergrund, die auch im laufenden Jahr noch aktuell geblieben sind: das Datensammeln an den EU-Außengrenzen, das neue Pflichtfach Künstliche Intelligenz und das Chatkontrolle-Vorhaben der Kommission.

Dauerclinch mit Frontex

Wie schon in den Jahren davor sind 2023 Menschen auf dem Weg in die EU im Mittelmeer ertrunken. Über die, die es an die Außengrenzen geschafft haben, sammelt die Europäische Agentur für die Grenz- und Küstenwache, kurz Frontex, Daten. Seit Jahren gibt es Beschwerden darüber, wie Frontex das tut und was danach mit den Daten passiert. Im Oktober 2022 schaute der EDPS deshalb im Hauptquartier von Frontex in Warschau vorbei.

Das Ergebnis dieses Besuchs: eine Liste mit 36 Kritikpunkten. Besonders ging es dabei um die Frontex-Praxis, mit manchen Migrant:innen sogenannte „Debriefing“-Interviews durchzuführen und die Ergebnisse dieser Interviews mit anderen Behörden zu teilen. Der EDPS habe „ernste Zweifel“ daran, ob diese Interviews in ihrer aktuellen Form den geltenden Datenschutzregeln entsprechen, hieß es im Bericht zur Untersuchung.

Frontex reagierte und änderte seine Regeln zum Umgang mit Daten. Aber diese Änderungen gingen Wiewiórowski nicht weit genug, wie Euractiv berichtete: In einem Brief an Frontex kritisierte der Datenschutzbeauftragte unklare Formulierungen, „besonders dazu, welche Daten für welchen Zweck und unter welchen Rahmenbedingungen gesammelt und verarbeitet werden können.“

Die „Privatsphäre der Verwundbarsten“

Der EDPS eröffnete auf Basis seines Berichts und seiner Empfehlungen eine Voruntersuchung. Außerdem besuchte der Datenschutzbeauftragte Frontex im Sommer erneut – aber diesmal nicht im Büro, sondern vor Ort auf der griechischen Insel Lesvos. Diesmal ging es auch um das Sammeln der Fingerabdrücke von Migrant:innen.

„Wir glauben fest daran, dass die Privatsphäre der Verwundbarsten ein höheres Risiko hat, grundlegend getroffen zu werden“, sagte Wiewiórowski gestern im Innenausschuss. „Als Aufsichtsbehörde sind wir bis an die Grenzen gegangen – buchstäblich“, so der Datenschutzbeauftragte zur Untersuchung auf Lesvos.

Um Fingerabdrücke wird es heute auch im EU-Parlament gehen, das stimmt nämlich zu einem neuen „Migrationspakt“ ab. Der soll auch die Eurodac-Datenbank reformieren, die Millionen an Fingerabdrücken etwa von Asylsuchenden enthält. In Zukunft soll sie auch biometrische Fotos erfassen. Bürgerrechtsorganisationen wie EDRi kritisierten die geplante Reform.

Neue Gesetze sollen Daten schützen

Der EDPS überprüft nicht nur, ob sich europäische Institutionen an geltende Datenschutzregeln halten: Er mischt sich auch ein, wenn die EU an neuen Gesetzen arbeitet, die den Datenschutz berühren. Im vergangenen Jahr hat er das besonders zu zwei Themen getan, nämlich zu Künstlicher Intelligenz und zur Chatkontrolle.

Im Oktober hat der Datenschutzbeauftragte auf eigene Initiative einen Bericht zur KI-Verordnung vorgelegt. Darin forderte er besonders, dass das Gesetz KI-Systeme komplett verbieten sollte, die inakzeptable Risiken für Grundrechte darstellen. Damit waren etwa Systeme gemeint, die versuchen, automatisch Emotionen zu erkennen, ebenso wie die biometrische Überwachung. Leider konnte sich Wiewiórowski mit diesen Forderungen nicht durchsetzen: Die fertige KI-Verordnung sieht große Ausnahmen für solche Verbote vor.

Besser sieht es bei der Chatkontrolle aus. Hier konnten die Gegner:innen von zusätzlicher Überwachung zumindest bis jetzt verhindern, dass die EU gegen die Verschlüsselung privater Nachrichten vorgeht. Auch der Datenschutzbeauftragte hatte sich klar gegen das Vorhaben gestellt. Im November lud er Expert:innen ins EU-Parlament ein, die das geplante Gesetz scharf kritisierten, im Januar warnte er vor einer Verlängerung der aktuell geltenden freiwilligen Regeln. Die dauerhafte Chatkontrolle stockt momentan im EU-Rat, weil genug Mitgliedstaaten dagegen sind.

Eine weitere Warnung hat Wiewiórowski in Sachen Finanzierung. Es sei ja gut, dass der AI Act jetzt KI reguliere und dabei auch seiner Behörde viel Verantwortung gebe. Wenn aber die EU-Institutionen nun selbst KI-Tools für alle möglichen Anwendungen entwickeln, dann müsse der EDPS dass auch kontrollieren können, sagte er gestern. „Damit das passieren kann, muss der EDPS mit Ressourcen ausgestattet werden, die wir momentan noch nicht bekommen. Das stellt unsere Fähigkeit in Frage, die Funktionen auszuüben, die uns auferlegt worden sind.“