Der Europäische Datenschutzbeauftrage, Wojciech Wiewiórowski, will den Erkenntnissen zu Europols „Schatten-IT“ nachgehen, die CORRECTIV gemeinsam mit dem griechischen Investigativmedium Solomon und dem britischen Branchenmagazin Computer Weekly aufgedeckt hat. Das erklärte er am Donnerstag vor dem Innenausschuss des Europäischen Parlaments. 

Wiewiórowski verwies darauf, dass seine Behörde Europol bereits in der Vergangenheit wegen der unberechtigten Speicherung großer Datenmengen abgemahnt hatte. Die nun berichteten Vorgänge deuteten jedoch „auf ein weitaus größeres Ausmaß des Programms“ hin, als es bisher seiner Behörde behandelt wurde, so Wiewiórowski.

CORRECTIV hatte Europols Schatten-IT gemeinsam mit seinen Kooperationspartnern am Dienstag aufgedeckt. Demnach hat die Polizeibehörde der EU, geheime Analyseplattformen betrieben, auf denen Mitarbeiter riesige Mengen sensibler Daten auswerten konnten – ein Teil blieb offenbar jahrelang vor dem Europäischen Datenschutzbeauftragten verborgen.

Im Europäischen Parlament beschrieb Wiewiórowski ein Problem, vor dem seine Behörde stehe: Das Instrument der Abmahnung sei sehr mild – das nächste Mittel, ein Verarbeitungsverbot, dagegen so mächtig, dass es Europols Arbeit beeinträchtigen könne. „Das könnte sehr gefährlich für die Sicherheit in Europa sein“, sagte Wiewiórowski während der Diskussion nach der Vorstellung seines Jahresberichts.

„Das ist eindeutig etwas, das wir uns näher anschauen müssen“, sagte SPD-Europaabgeordnete Birgit Sippel in der Innenaususschussitzung. „Die Recherchen von CORRECTIV zeigen: Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagte Sippel zuvor gegenüber CORRECTIV. 

Die Schatten-IT untergrabe das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung. „Bevor wir überhaupt die Diskussion beginnen, ob Europols Mandat ausgeweitet werden soll, brauchen wir echte parlamentarische Kontrolle, unabhängige Aufsicht mit echten Durchgriffsrechten und vollständige Aufklärung und Transparenz über das, was bis heute im Verborgenen geblieben ist.“ 

„Diese Erkenntnisse sind schockierend, nach so vielen Jahren der Aufsicht und angeblicher Bemühungen, Datenschutz und Grundrechte zu respektieren“, kommentierte Europaabgeordnete Saskia Bricmont (Grüne) in einer Mitteilung, die CORRECTIV vorliegt.  

„Wo steht Europol heute?“, fragt Bricmont. Es sei dringlich, dass die Behörde und die EU-Kommission detaillierte Erklärungen liefern. „Ich werde mich für eine Aussprache mit der Europäischen Kommission und Europol im LIBE-Ausschuss einsetzen.”

Das EU-Parlament müsse seine Aufsicht stärken, vor allem durch den parlamentarischen Kontrollausschuss von Europol, JPSG. Dieser sei genau das Organ, dem Europol ein solches Systemversagen melden müsste. „Doch wieder einmal werden wir nur dank der Arbeit investigativer Journalisten auf ein Problem bei Europol aufmerksam gemacht, das führt nur zu größerem Misstrauen.“

Die Recherche von CORRECTIV und seinen Partnern basiert auf internen Dokumenten und Aussagen von Insidern. Sie zeigt, dass Europol, die Polizeibehörde der EU, offenbar geheime Analyseplattformen betrieben hat, auf denen Mitarbeiter riesige Mengen sensibler Daten auswerten konnten. Ehemalige Europol-Mitarbeiter beschreiben das System als „Schatten-IT-Umgebung“, die parallel zu den offiziellen Systemen der Strafverfolgungsbehörde genutzt wurde – allerdings ohne die rechtlich notwendigen Sicherheits- und Datenschutzvorkehrungen. Teile dieser Schatten-IT wurden offenbar vor dem Europäischen Datenschutzbeauftragten geheim gehalten.

Eines der Systeme ermöglichte es Europolmitarbeitern, sensible Daten abzurufen und zu analysieren, darunter Telefonverbindungsdaten, Ausweisdokumente sowie Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Es protokollierte weder ordnungsgemäß, wer auf die Daten zugriff, noch wer sie möglicherweise änderte oder löschte.

 Dieser Teil der Schatten-IT entwickelte sich laut einem bislang unveröffentlichten, Europol-internen Bericht zur wichtigsten Plattform der Behörde für groß angelegte Kriminalanalysen. 

2019 hatte Europol dem Europäischen Datenschutzbeauftragten einige Probleme gemeldet. Doch erst jetzt wird durch diese Recherche öffentlich, wie groß das Problem damals war: Laut einem internen Europol-Bericht aus dem Jahr 2019, den CORRECTIV über eine Informationsfreiheitsanfrage erhalten hat, wurden dort 99 Prozent der operativen Daten von Europol gespeichert und verarbeitet. 

Außerdem blieb ein weiteres, verstecktes IT-System offenbar bestehen. Darauf deuten mehrere interne E-Mails zwischen Europol-Mitarbeitern und Berichte von ehemaligen hochrangigen Mitarbeitern hin. Das Tool trägt demnach den Namen „Pressure Cooker“. Am 5. Oktober 2022 schickte ein Europol-Mitarbeiter eine E-Mail mit „Wichtigkeit: Hoch“ an die Postfächer hochrangiger Mitarbeiter. Darin warnte er, der Europäische 

Datenschutzbeauftragte könne bald von der „irregulären Situation mit dem Pressure Cooker“ erfahren. In der E-Mail schreibt der Mitarbeiter, Pressure Cooker sei die Bezeichnung der operativen Einheiten für ein Netzwerk, in dem sie „einige Aktivitäten ohne richtige IT-Kontrolle“ entwickeln. „Wir haben mehrfach darauf hingewiesen, wie wichtig es ist, den ‚Pressure Cooker‘ zu beseitigen“. Nach seinen Angaben drängte Europols IT-Abteilung die Leitung, die Systeme in solche „mit ordnungsgemäßen Designs, Kontrollen usw. “ umzuwandeln. 

Mit den Ergebnissen der Recherche konfrontiert, antwortete ein Sprecher, dass Europol dem Europäischen Datenschutzbeauftragten transparent über seine operativen Datenverarbeitungssysteme und -anwendungen berichtet habe. Der Vorwurf, dass Europol Informationen über Verarbeitungsumgebungen oder -systeme versteckt habe, sei eine falsche Darstellung der Tatsachen.

Ein hochrangiger ehemaliger Europol-Mitarbeiter, mit dem CORRECTIV gesprochen hat, geht davon aus, dass Europol aktuell versucht, das Tool nachträglich zu formalisieren. Dazu werde es dem Europäischen Datenschutzbeauftragten als geplante, künftige Funktion unter dem Namen „IFOE-QRA“ vorgestellt.