Dieser Artikel beleuchtet wie im Rahmen der EU-weiten Verbrechensbekämpfung der Datenschutz sowie rechtsstaatliche Grundsätze plötzlich nicht mehr gar so wichtig sind, wenn es um die Einrichtung einer Biometrie-Superdatenbank geht. Mit der Folge eines Paradigmenwechsels weg von einem begründeten Verdacht, hin zu einer verdachtsunabhängige Massenüberwachung, die den Datenschutz mittels Datamining und Algorithmen natürlicher Personen aushöhlt.
Der Inhalt im Überblick
Reisedokumente gibt es nur gegen umfassende Daten
Am 16.04.2019 beschloss das EU-Parlament die Errichtung einer Biometrie-Superdatenbank. Das Vorhaben soll nun laut Bundesinnenminister forciert werden. Das von der EU hierfür erlassene Gesetzespaket erlaubt es, europäische Informationssysteme zur inneren Sicherheit zu verknüpfen und abzugleichen.
Grundsätzlich soll die EU-weite Zusammenarbeit für zwei Aspekte erfolgen:
- Grenzmanagement, Migrationssteuerung und Sicherheit
- Ausbau der biometrischen Überwachung der Bevölkerung und Einreisender
Ähnlich wie die USA, plant auch die EU, sich im Zuge der Verbrechensbekämpfung und zum Schutz von Migrationsbewegungen gegenüber Nicht-Schengen-Bürgern abzuschotten. Begründet mit der Verbrechensbekämpfung, sollen zukünftig Reisende bei der Ein- und Ausreise aus dem Schengenraum umfassende personenbezogene Daten preisgeben, um Reisegenehmigungen zu erhalten.
Nur wer im Vorfeld bereit sein wird, diese personenbezogenen und sensiblen Daten den Grenzbehörden zukommen zu lassen, wird Einreisedokumente in die EU erhalten. Zuvor werden die bei dem Betroffenen erhobenen Daten, mit Polizeidatenbanken ab- und mit einer von Europol geführten „Pre-Crime-Watchlist“ verglichen.
Was versteht man unter Pre-Crime?
Der Begriff wurde durch Steven Spielbergs Minority Report bekannt, geht aber auf den Science-Fiction-Autor Philip K. Dick zurück und wird zunehmend im polizeilichen Bereich für eine moderne Art der Fahndung bzw. von Systemen, die der Polizeiarbeit zugrunde liegen, verwendet. Letztendlich ist diese Art der „vorausschauenden“ Polizeiarbeit (Predective Policing) jedoch schon heute in rechtsstaatlichen Gesetzen verankert. So kann die Identitätsfeststellung unabhängig von einem konkreten Verdacht aufgrund generalistischer Verdachtsmomente schon heute an Orten vorgenommen werden, an an denen häufig Straftaten von erheblicher Bedeutung stattfinden.
Mit Pre-Crime sollen künftige Straftaten aufgrund computergestützter Verfahren für bestimmte Personengruppen und Orte prognostiziert werden. Predictive Policing richtet sich auch nicht nur gegen Einreisende aus Nicht-Schengenstaaten, ganz im Gegenteil, in vielen Bundesländern der Bundesrepublik Deutschland wird es bereits eingesetzt. Hauptsächlich um damit gegen Wohnungseinbrüche mit Hilfe von Pre-Crime-Observation-System (PRECOBS) vorzugehen. Derzeit erfolgt dies noch ohne Verwendung von personenbezogenen Daten, aber dennoch, der Anfang ist gemacht.
Die Prognose für weitere Gefahren und Straftaten ergibt sich bei Pre-Crime-Anwendungen daraus, dass man davon ausgeht, dass eine Straftat immer auch eine andere nach sich zieht, d.h., dass in kurzer räumlicher und zeitlicher Distanz Folgetaten auftreten. Entscheidend für die Wirksamkeit bzw. Realitätsnähe dieser Pre-Crime-Anwendungen ist jedoch die Datenbasis aus der sich die Prognose ergibt, die Auswertung und Nachverfolgung durch geeignetes Personal sowie die Möglichkeit von den Heat-Lists, die die Personen auflisten, von denen man glaubt, dass diese Gefahrenpotential in sich tragen, wieder ausgetragen werden zu können.
Das Ende der Unschuldsvermutung
Die Verbrechensprognose mit Pre-Crime-Policing wird damit zum Einfallstor für den Überwachungsstaat und zum Ende der Unschuldsvermutung, die in Art. 11 EU-Richtlinie zum Datenschutz in der Strafjustiz verankert ist. Wenn allein die Zugehörigkeit zu gewissen Berufsgruppen oder anderen Merkmalen wie Geringverdiener, Herkunft, Geschlecht, Reisezweck die Person als gefährlich erscheinen lassen, können Unschuldige auf die Heat List der Polizei gelangen. Damit wird die Datenbasis auf die für den Abgleich zugegriffen wird, zumal wenn diese nicht auf Richtigkeit geprüft wird, verzerrt und liefert damit falsche Prognosen.
Interoperabilität der Datenbanken innerhalb der EU
Viele ursprüngliche Ziele und Werte der EU sind in den letzten Jahren etwas in den Hintergrund gerückt. Einzig die Verbrechensbekämpfung und die Sicherung der EU-Grenzen scheint noch als eines der letzten gemeinsamen Ziele verblieben zu sein. Kein Wunder, dass man an diesem Ziel festhält und das Vorhaben bis 2022 eine Biometrie-Superdatenbank zu schaffen, vorantreibt. Verbunden werden folgende Datenbanken:
- Schengen-Informationssystem (SIS)
- VISA-Register (VIS)
- Eurodac-Datei (Verknüpfung mit Fingerabdrücken von Asylbewerbern)
- Ein- und Ausreisesystem zur biometrischen Grenzkontrolle (Smart Borders)
- Europäisches Reisegenehmigungssystem (ETIAS)
- Speicher für Identitätsdaten beschränkt auf Personen aus Drittstaaten (Geburtsdatum, Fingerabdrücke, Passnummer, digitale Gesichtsbilder)
In diese Biometrie-Superdatenbank sollen vor der Ein- und Ausreise, aber auch während des Aufenthalts von Personen aus dem Nicht-Schengenraum, Informationen gespeichert werden. Dabei scheut die EU auch nicht davor zurück, hochsensible Daten, wie Biometriedaten in Form von Fingerabdrücken oder Daten von Kindern, in die Datenbanken einzuspeisen. Gemanagt wird das Ganze durch Eu-LISA, die European Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (wir berichteten).
Und wo bleibt der Rechtsstaat?
Das Rechtsstaatsprinzip aus Art. 20 GG ist auch als Strukturprinzip der EU in Art. 23 GG festgelegt. Dadurch, dass die Algorithmen, die den Datenbanken zum Abgleich hinterlegt sind, nicht offengelegt werden, ist keine Kontrolle möglich und der willkürlichen Handhabung Tür und Tor geöffnet. Auch die Tatsache, dass die Datenbasis einseitig und verzerrt sein kann, schafft die Gefahr einer Entscheidung die rechtsstaatlichen Grundsätzen nicht genügt.
Die Fütterung der Datenbank, d.h. die Dateneingabe müsste kontrolliert werden, um die Datenqualität zu erhöhen und Fehlentscheidungen aufgrund falscher Datensätze zu vermeiden. Immer wieder kommt es bei der Dateneingabe zu Fehlern z.B. falsche Schreibweisen von Namen, die unentdeckt zu gravierenden Rechtsverstößen gegenüber den Betroffenen führen, etwa durch die Aufnahme in eine Heat List und die darauf basierende Stigmatisierung als Gefahr.
Datenschutzkonform ist anders
Ähnlich einer Rasterfahndung erfolgt in der Biometrie-Datenbank eine anlasslose Vorratsspeicherung, die in die Grundrechte des Einzelnen eingreift und den Grundsatz der Datenminimierung in keinster Weise berücksichtigt. Aus Datenschutzsicht dürfen Daten nur zu einem konkreten Zweck gem. Art. 5 Abs. 1 lit. b DSGVO verarbeitet werden, d.h. erhobene Daten sollen nur zu dem Zweck verarbeitet werden, zudem diese ursprünglich erhoben wurden. Werden diese in der Biometrie-Superdatenbank eingespeisten Daten im Nachgang ausgewertet, erfolgt dies zu einem anderen Zweck, als dieser zuvor festgelegt worden war. Eine Zweckänderung ist jedoch nur möglich, wenn hierfür eine gesetzliche Grundlage oder eine Einwilligung des Betroffenen gem. Art. 6 Abs. 4 DSGVO vorliegt und der Betroffene entsprechend informiert wurde, was wohl nicht erfolgt.
Äußerst bedenklich ist das Ganze, wenn man betrachtet, dass Daten besonderer Kategorien gem. Art. 9 Abs. 1 DSGVO, verarbeitet werden und für deren Verarbeitung weder ein konkreter Anlass noch eine Einwilligung durch den Betroffenen vorliegt. Insbesondere soll das Alter für biometrische Fingerabdrücke von Kindern von 12 Jahren auf 6 Jahre verringert werden.
Wie oben dargestellt, besteht in erheblichen Maße auch die Gefahr von falschen Dateneingaben in die Superdatenbank, wodurch wiederum gegen den Grundsatz der Richtigkeit aus Art. 5 Abs. 1 lit. d DSGVO verstoßen wird. Maßnahmen zur Qualitätssicherung und auch zur richtigen Evaluierung der Daten, um dem Rechtmäßigkeitsgrundsatz aus Art. 5 Abs. 1 lit. a DSGVO Rechnung zu tragen, sind zwingend erforderlich.
Wenn eine unrichtige bzw. verzerrte Datensubstanz für das Profiling herangezogen wird, dann werden fälschlicherweise getroffenen Zuordnungen noch verstärkt, so zum Beispiel wenn jemand aufgrund seiner Herkunft als Gefahr eingestuft wird und kein Visum erhält.
Brauchen wir eine Biometrie-Superdatenbank?
Angst war noch nie ein guter Ratgeber und daher sollten die Regierungen auch nicht mit der Angst der Bevölkerung spielen. Man kann sich des Verdachts nur schwer erwehren, dass die Biometrie-Superdatenbank nur vordergründig zum Schutz der EU, der Sicherheit der Bürger und der Grenzen, auch vor Migration, eingerichtet werden soll. Letztendlich richtet sich diese Datenbank und damit deren geringe Datenschutzkompatibilität auch gegen die EU-Bevölkerung, nur nimmt das keiner wahr. Man sollte vorsichtig sein, nicht dass es der EU so geht, wie dem Zauberlehrling in der Ballade von Goethe, der die Geister, die er rief nicht mehr los wurde.
Update 23.05.2022 Und täglich grüßt das Murmeltier
Wie netzpolitk berichtete drängen nun kurz vor Inbetriebnahme der Biometrie Datenbank die EU-Mitgliedstaaten auf deren verstärkte polizeiliche Nutzung im Rahmen einer Änderung an der Verordnung über einen Unionskodex für das Überschreiten der Grenzen durch Personen (Schengener Grenzkodex).
Wie kann man sich gegen diese Entwicklung wehren?
Ist die DSGVO gem. Art 2 II b) für die genannte System „Biometrie-Superdatenbank“ überhaupt sachlich anwendbar? Es liegt nahe, dass hier der Bereich der gemeinsamen Sicherheits- und Außenpolitik betroffen ist.
Gemäß Art. 2 Abs. 2 lit. b DSGVO sollen Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, nicht der DSGVO unterliegen. Unabhängig davon, kann bzw. sollte die EU auch in diesem Bereich nicht losgelöst von dem eigenen geschaffenen Rechtssystem agieren.
Denn gem. Art. 24 des EU-Vertrages sollen die Tätigkeiten im Rahmen der GASP (gemeinsame Außen- und Sicherheitspolitik) den Grundsätzen entsprechen, welche in Art. 21 EU-Vertrag festgelegt sind (u.a. Rechtsstaatlichkeit, Menschenrechten etc). Die GASP beschreibt eine zwischenstaatliche Zusammenarbeit der Regierungen auf höchster Ebene bzw. im diplomatischen Bereich und betrifft die Außen- und Sicherheitspolitik (u.a. im Bereich Verteidigung) der EU. Das Vorgehen im Rahmen der GASP ist daher nicht einmal dem EUGH unterworfen.
Davon zu unterscheiden ist das tatsächliche Agieren der Staaten durch ihre Organe, Einrichtungen, Ämter und Agenturen. Diese unterliegen bei der Verarbeitung personenbezogener Daten nach Art. 2 Abs. 3 DSGVO dem sachlichen Anwendungsbereich. Sämtliche Rechtsakte der europäischen Länder/Staaten mit denen die Sicherheitsbehörden oder andere Behörden etc. befugt sind, in die Grundfreiheiten, Grundrechte bzw. Rechte der EU-Bürger einzugreifen, müssen gem. Art. 2 Abs. 3 S. 2 DSGVO i.V.m. Art. 98 DSGVO den Vorschriften und Grundsätzen der DSGVO entsprechen, so dass der Zugriff und die Einrichtung einer Biometrie-Superdatenbank auch an der DSGVO zu messen und somit auch der sachliche Anwendungsbereich der DSGVO eröffnet ist.
Warum spricht der Erwägungsgrund 16 S1 dann explizit von „wie etwa die nationale Sicherheit betreffende Tätigkeiten.“ oder der S2 „Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.“? Hier wird sogar auf die Maßnahmen eines einzelenen Mitgliedsstaates im Rahmen der gemeinsamen Außen- und Sicherheitspolitik abgestellt. Die DSGVO ist hier lex specialis zu den allgemeinen Verträgen. Dies wird auch unter dem Aspekt des späteren Erlasses der DSGVO deutlich. Art 2 Abs. 3 DSGVO findet nur Anwendung auf eine Verarbeitung „durch alle Organe und Einrichtungen der Gemeinschaft“ (Art 3 Abs. 1 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr). Es gäbe sonst überhaupt keinen sachlichen Ausnahmebereich, wenn alles der DSGVO unterfiele.
Es kommt in diesem Zusammenhang maßgeblich auf die Definition des Begriffs der „Verarbeitungen personenbezogener Daten durch die Mitgliedstaaten im Rahmen einer Tätigkeit im Bereich der Gemeinsamen Außen- und Sicherheitspolitik“ an. Hier bestimmt Art. 2 Abs. 2 Buchst. b DSGVO, dass auf diese Verarbeitungen die DSGVO keine Anwendung findet, so dass die Biometrie-Superdatenbank dann nicht an der DSGVO zu messen wäre. Ein Schutz personenbezogener Daten wäre insoweit nur direkt über Art. 7 und 8 GRCh zu erreichen, sofern nicht im Rahmen der Anwendung der Kompetenzbestimmungen der GASP entsprechende Spezialregeln erlassen werden.
Titel V, Kapitel 2, Abschnitt 1, Artikel 24, Absatz 1 EUV bestimmt:
„Für die Gemeinsame Außen- und Sicherheitspolitik gelten besondere Bestimmungen und Verfahren. Sie wird vom Europäischen Rat und vom Rat einstimmig festgelegt und durchgeführt, soweit in den Verträgen nichts anderes vorgesehen ist. Der Erlass von Gesetzgebungsakten ist ausgeschlossen.“
Im Rahmen der GASP kann die EU demnach keine Gesetzgebungsakte erlassen, sondern es muss auf andere Instrumente (z.B. Beschlüsse, Ratsschlussfolgerungen) zurückgegriffen werden, für die der Europäische Rat und der Rat für Auswärtige Beziehungen zuständig ist.
Bei der im obigen Artikel beleuchteten Biometrie-Superdatenbank geht es jedoch gerade um ein Gesetzespaket der EU. Im April 2019 wurden hierzu zwei Verordnungsentwürfe zur Interoperabilität vom EU-Parlament verabschiedet.
Selbst wenn hier zweifelsohne Fragen der GASP berührt sind, so handelt es sich trotzdem nicht um eine Tätigkeit im Sinne des Art. 2 Abs. 2 Buchst. b DSGVO. Die Biometrie-Superdatenbank (bzw. die dementsprechenden Gesetzesakte) sowie die damit unmittelbar zusammenhängenden Datenverarbeitungen müssen sich mithin an der DSGVO messen lassen.
Vielen Dank für den wichtigen Beitrag.
Ist die DSGVO ein Versehen und in Wahrheit China unser großes Vorbild – ein technokratischer Überwachungsstaat?