Something Wicked This Way Comes

Nach den Terroranschlägen vom 11. September 2001 schrieb Steven R. Salbu: “Da die politischen Interessen der EU und der USA im Kampf gegen den Terrorismus weitgehend übereinstimmen, ist es möglich, dass sich die EU infolge der Anschläge eher den USA annähert, als dass sich die USA von der EU entfernen. In dem Maße, in dem sich die Europäer durch Terrorismus verwundbar fühlen, könnten sie ihren Schwerpunkt weg vom Datenschutz und hin zu protektiven Anti-Terror-Überwachungsprogrammen verlagern“. Zu Beginn der 2000er Jahre, als der Datenschutz mit der Verabschiedung der Richtlinie 95/46 an Bedeutung gewann, hätte seine dystopische Vorhersage nicht unheilvoller ausfallen können. Heute ist sie gar nicht mehr so weit von der Wahrheit entfernt, zumindest aus der Sicht von Drittstaatsangehörigen.

Eine Krise nach der anderen wurde als Rechtfertigung für den Aufbau eines umfassenden Überwachungsapparats angeführt, während Drittstaatsangehörigen nach und nach ihre Rechte auf Privatsphäre und Datenschutz genommen wurden. Dadurch wurde die Mobilität unschuldiger Personen in eine verdächtige, potenziell terroristische Aktivität umgewandelt. Unter den wichtigsten Veränderungen im Informationsmanagement im Raum der Freiheit, der Sicherheit und des Rechts (RFSR) wird Interoperabilität – die Fähigkeit von Informationssystemen, Daten auszutauschen – die tiefgreifendsten Auswirkungen auf das Recht auf Datenschutz haben und als solche den “point of no return” markieren. Dieser Beitrag versucht die Frage zu beantworten, wie wir an diesen Punkt gelangt sind und, was noch wichtiger ist, wie es weitergeht.

Wissen ist Macht

Am 6. Juni 2013 legte Snowden mit seinen Enthüllungen ein Massenüberwachungsprogramm der Nationalen Sicherheitsbehörde der USA offen, die seit Jahrzehnten heimlich Informationen über die gesamte ausländische Bevölkerung, einschließlich ihrer politischen Führer, internationalen Organisationen und Unternehmen, sammelte. Während die Vereinigten Staaten die Rechtmäßigkeit ihrer nachrichtendienstlichen Programme energisch verteidigten und sich dabei vor allem auf das Argument der Unverzichtbarkeit im Kampf gegen Terrorismus stützten, verurteilte die internationale Gemeinschaft einhellig die massenhafte und systematische flächendeckende Erfassung von (personenbezogenen) Daten. Das Europäische Parlament gehörte zu den lautstärksten Kritikern sowohl der Überwachungspraktiken als auch der unzureichenden Begründungen dafür. In seinem am 12. März 2014 angenommenen Beschluss erklärte es, dass “der Kampf gegen Terrorismus niemals eine Rechtfertigung für ungezielte, geheime oder sogar illegale Massenüberwachungsprogramme sein kann; […] solche Programme sind mit den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit in einer demokratischen Gesellschaft unvereinbar“.

Interessanter ist, was das Europäische Parlament verschwiegen hat, insbesondere, was es über die eigenen Datenerhebungspraktiken der EU im Kampf gegen Terrorismus und schwere Kriminalität nicht gesagt hat. Zu diesem Zeitpunkt waren alle EU-Informationssysteme im RFSR, die heute im Einsatz sind, nämlich das Schengener Informationssystem der zweiten Generation (SIS II), das Visa-Informationssystem (VIS) und die Europäische Datenbank für Asyl-Daktyloskopie (Eurodac), bereits voll funktionsfähig. Zwei von ihnen (SIS II und Eurodac) hatten sich gerade von zweckgebundenen zentralisierten Datenbanken mit eng definierten Zugriffsrechten zu allgemeineren, sicherheitsorientierten Ermittlungsinstrumenten gewandelt. Darüber hinaus hatte die EU erwogen, zwei weitere Datenbanken einzurichten, das Einreise-/Ausreisesystem (EES) und das Europäische Reiseinformations- und -genehmigungssystem (ETIAS), und alle RFSR-Informationssysteme miteinander zu vernetzen, um das Sicherheitsniveau zu erhöhen und gleichzeitig Reisen für Bona-fide-Drittstaatsangehörige zu erleichtern. Keine der ursprünglich vorgeschlagenen Maßnahmen wurde seinerzeit angenommen. Das bedeutet jedoch nicht, dass sie von der Tagesordnung der EU gestrichen wurden, sondern eher, dass sie im Winterschlaf waren und auf den richtigen Zeitpunkt warteten, um wieder auf den Tisch gebracht zu werden.

Krisen in der EU als Katalysator für verstärkte Überwachung

Die Terroranschläge in Paris im Januar und November 2015 sowie Anfang 2016 in Brüssel und der Höhepunkt der Migrationskrise gaben der Sicherheitsagenda der Juncker-Kommission Auftrieb. Die EU-Institutionen waren sich einig in der Verurteilung der tragischen Ereignisse, die den alten Kontinent erschütterten, und kündigten umgehend neue Maßnahmen zur Terrorismusbekämpfung an. Dem Trend folgend, die Grenzen zwischen Einwanderungsmanagement, Grenzkontrolle, Strafverfolgung und umfassenderer (innerer und äußerer) Sicherheitsprävention zu verwischen, wurde die Verstärkung der Kontrolle der EU-Außengrenzen zu einer der obersten Prioritäten im Kampf der EU gegen Terrorismus. “Stärkere und intelligentere Informationssysteme” standen dabei im Mittelpunkt. Während in der Anfang 2015 beschlossenen Europäischen Sicherheitsagenda bereits eine Verlagerung hin zu einer allgemeineren Überwachung von Drittstaatsangehörigen zu erkennen war, drängt die Agenda nicht auf die Einführung neuer Maßnahmen, sondern fordert vielmehr die Reform der bestehenden Instrumente und deren möglichst umfassende Nutzung. Die 2016 beschlossenen Dokumente zeigen jedoch ein deutlich anderes Bild – ein Bild von Europa, das danach strebt, “die Kontrolle über die Außengrenzen wiederzuerlangen“, indem es zahlreiche zuvor zurückgezogene Legislativvorschläge vorantreibt und eine Fülle neuer Vorschläge einbringt, um ein hohes Maß an innerer Sicherheit zu gewährleisten. In den darauffolgenden drei Jahren wurde die Rechtsgrundlage für die Einrichtung drei zusätzlicher zentraler Datenbanken (EES, ETIAS, ECRIS-TCN) verabschiedet; der Informationsaustausch wurde durch die Überarbeitung zwei der bestehenden Informationssysteme (SIS II und VIS) intensiviert, während der Vorschlag zur Reform von Eurodac als Teil einer umfassenderen Umgestaltung der Migrations- und Asylpolitik in der EU noch immer verhandelt wird.

EU in Krisenzeiten trifft auf technische Machbarkeit: Interoperabilität der Informationssysteme im RFSR

Im Mai 2019 wurden schließlich mit der Annahme zweier Interoperabilitätsverordnungen (Verordnung 2019/817, Verordnung 2019/818) alle zuvor getrennten Datenbanken des RFSR interoperabel – oder zumindest auf dem Weg dahin, verbunden zu sein, sobald die vorgeschlagenen Maßnahmen in Kraft treten. Interoperabilität als “die Fähigkeit von Informationssystemen, Daten auszutauschen und die gemeinsame Nutzung von Informationen zu ermöglichen” wird aus vier Komponenten bestehen: dem European Search Portal, dem gemeinsamen Dienst für den Abgleich biometrischer Daten, dem Mehrfachidentitätsspeicher und dem Mehrfachidentitätsdetektor (eine detaillierte Beschreibung der Komponenten finden Sie hier). Sie werden es ermöglichen, dass getrennte Informationssysteme miteinander kommunizieren können, um die blinden Flecken zu schließen, die durch die Abschottung der RFSR-Informationssysteme entstanden sind. In EU-Dokumenten und -Vorschlägen wird immer wieder der Standpunkt vertreten, dass das Konzept auf eine rein technische Angelegenheit reduziert wird und ihm ausdrücklich jede politische oder rechtliche Konnotation genommen wird, indem erklärt wird, dass “Interoperabilität ein technisches und kein rechtliches oder politisches Konzept” ist. Durch die Annahme des Standpunkts, dass Interoperabilität eine technische Entscheidung ist, drehte sich die Debatte im Zusammenhang mit der Annahme der Interoperabilitätsverordnungen hauptsächlich um die Frage, ob die vorgeschlagenen Maßnahmen technisch durchführbar sind, und nicht um die Vereinbarkeit mit EU-Grundrechten, insbesondere mit dem Recht auf Datenschutz. Dieser Standpunkt stieß bei den mit Grundrechtsschutz betrauten Institutionen (z. B. EDSB, WP29, FRA) auf heftigen Widerstand. Sie erinnerten einhellig daran, dass Interoperabilität den Informationsaustausch in der EU tiefgreifend verändern wird, weshalb die Entscheidung für ihre Umsetzung nach gründlicher Prüfung aller relevanter Faktoren und nicht nur der technischen Machbarkeit getroffen werden sollte. Die Verwechslung von rechtlichen und technischen Auswirkungen schließt eine angemessene Debatte aus der Grundrechtsperspektive aus. Wenn man Interoperabilität auf ein rein technisches Konzept reduziert und dann zulässt, dass die technische Durchführbarkeit politische Entscheidungen diktiert, ohne dass die Ziele der Maßnahme klar definiert sind, besteht die Gefahr, dass Interoperabilität zum Selbstzweck wird.

Wie geht es weiter?

Bei der Bewertung von Überwachungsmaßnahmen zu diesem kritischen Zeitpunkt, an dem die Welt mit der Covid-19-Pandemie konfrontiert ist, ist es vielleicht wichtiger denn je, einen Blick in die Vergangenheit zu werfen, um besser zu verstehen, was auf uns zukommen könnte. Wieder einmal sind wir mit einer noch nie dagewesenen Bedrohung konfrontiert, ähnlich wie im Jahr 2001, als die Terroranschläge vom 11. September die nachrichtendienstliche Praxis der Weltgemeinschaft für immer veränderten. Mit der weltweiten Ausbreitung von Covid-19, einer hoch ansteckenden Krankheit mit einem hohen Prozentsatz asymptomatischer Fälle, ist der Gegner heute weniger greifbar als je zuvor. Infolgedessen könnten Länder den Drang verspüren, ihre Überwachungspraktiken noch einen Schritt weiter auszudehnen und ihre eigenen Bürger ständiger Überwachung zu unterziehen.

Die Idee ist nicht neu, ganz im Gegenteil. Bereits während der Diskussionen über das „Smart Borders Package“ kam die Idee auf, Grenzübertritte aller Reisenden, nicht nur von Drittstaatsangehörigen, entweder im Einreise-/Ausreisesystem oder in einer separaten groß angelegten Datenbank zu überwachen. Falls (oder besser: wenn) Grenzkontrollen nicht mehr eine Maßnahme der Einwanderungskontrolle und der inneren Sicherheit sind, sondern eine Maßnahme zur Eindämmung der Ausbreitung eines tödlichen Virus, das keinen Unterschied zwischen EU-Bürgern und Drittstaatsangehörigen macht, wird es viel einfacher, die Überwachung der gesamten Bevölkerung zu rechtfertigen. In der Tat wäre dies nicht die erste Maßnahme, die im Kampf gegen Covid-19 in die Privatsphäre eingreift. Zahlreiche Länder haben Anwendungen zur Verfolgung von Kontakten eingeführt, während andere die infizierten Personen sogar einer obligatorischen Ortung durch am Körper zu tragende Technologien unterzogen haben. Obwohl die meisten der in der EU entwickelten Lösungen versuchen, die Privatsphäre zu schützen und mit den geltenden Datenschutzbestimmungen in Einklang stehen, ist es unbestreitbar, dass sie das Potenzial haben, bestimmte Aspekte unseres Privatlebens zu enthüllen. Die Argumente, die von den Regierungen weltweit zugunsten der neuen Welle hochentwickelter digitaler Überwachungsinstrumente vorgebracht werden, ähneln auffallend der Rhetorik nach dem 11. September 2001: Jeder Einzelne von uns wird ein Stück seiner Privatsphäre aufgeben müssen, damit wir als Gemeinschaft überleben.

Da es immer deutlicher wird, dass Grundrechte möglicherweise das größte Opfer der Corona-Pandemie sind, ist es höchste Zeit für die EU, neu zu bewerten, ob sie Privatsphäre und Datenschutz noch genug schätzt, um bereit zu sein, dafür zu kämpfen. Und wenn sie das tut, sollte sie damit beginnen, die Rechte von Drittstaatsangehörigen zu schützen, denn deren Rechte sind derzeit am meisten gefährdet. Morgen könnten wir es sein.

Bei diesem Text handelt es sich um eine Übersetzung des Beitrags “Something Wicked This Way Comes” durch Felix Kröner.