Differences between revisions 18 and 41 (spanning 23 versions)
Revision 18 as of 2010-12-18 09:14:31
Size: 11816
Editor: LilaBlume
Comment: + Protokolle beim Datenaustausch
Revision 41 as of 2017-02-04 17:35:50
Size: 15597
Editor: anonymous
Comment: + Beispiel aus 2012/735, bessere Einführung
Deletions are marked like this. Additions are marked like this.
Line 1: Line 1:
Nicht an sich eine Datenbank, sondern ein Vertrag zwischen etlichen
EU-Staaten zum Austausch von Daten aus nationalen
Repressionsdatenbanken sowie zur verstärkten Zusammenarbeit der
verschiedenen Behörden im Bereich von Repression und Migrationskontrolle
(z.B. grenzüberschreitende Einsätze).

Inzwischen (Ratsbeschlüsse <<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>> und <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>>) vom 23.6.2008 sind
größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht worden. Insbesondere sollen die Daten ab 2011-08-26 zwischen allen Mitgliedsstaaten munter fließen.

Vgl. auch [[Datenbanken EU]].

Der Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden
Fortschritte bei [[SIS]] II zwischen der BRD, Spanien, Frankreich,
Österreich und den Beneluxstaaten geschlossen. Ende 2009 haben laut
<<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> 14 EU-Staaten
<<TableOfContents>>
= Vertrag von Prüm =

Unter dem Label „Vertrag von Prüm” firmiert ein Mechanismus zur
Vernetzung nationaler Polizeidatenbanken innerhalb der [[EU]]. Er
erlaubt vor allem den Austausch von DNA-Spuren und Fingerabdrücken
zwischen einzelnen Mitgliedsstaaten, die dann zunächst nur mit „Haben
wir” oder „Haben wir nicht” (Hit/No Hit) reagieren. Daneben geht es
auch um den Austausch von Daten z.B. bei Gipfelprotesten und von
Fahrzeugdaten.

Das Prüm-System ist zwar Teil des EU-Acquis, krankte aber über viele
Jahre an einer schleppenden Einführung und technischen Problemen.

<<Ratsdokument(2012/735)>> erzählt folgende Geschichten zur Illustration
des Prüm-Prozesses:

{{{#!blockquote
A man was found stabbed to death in an apartment in a German city. A
fingerprint was found on a doorframe. An automated Prüm search led to a
hit in the Bulgarian database. Follow-up information requested from
Bulgaria the next day was submitted within 3 hours and immediately
entered into the Schengen Information System (SIS – see below). The next
day the individual concerned was arrested in Austria.

In 2007, at the start of Prüm exchanges, equipment was stolen from a
police car in Vienna. A DNA trace from the car was matched in the
Austrian database with a trace from a similar case, but it was a Prüm
hit in the German database that led to the identification of a Polish
serial burglar. An EAW was issued in Austria. The suspect was arrested
in Poland (due to a hit on an SIS alert) and was later convicted in
Austria.
}}}
.

== Rechtsgrundlage ==

Prüm war ursprünglich ein zwischenstaatlicher Vertrag
([[http://www.bmj.de/cln_164/SharedDocs/Downloads/DE/pdfs/Pruemer_Vertrag.html;jsessionid=EEC570BB4176C3A6BB06D61A2FDA666D|Vertrag von Prüm auf der Webseite des Bundesministerium für Justiz]])

2008 wurden die Regelungen im Wesentlichen in
Gemeinschaftsrecht überführt:

 * <<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>>
 * <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>>

Die einzelnen Bestimmungen werden unten einzeln diskutiert.

=== Prümer Vertragsgesetz ===

Für die BRD setzt das
[[http://www.gesetze-im-internet.de/pr_mvtrag/index.html|Ausführungsgesetz zum Prümer Vertrag und zum Ratsbeschluss Prüm]]
die Regelungen in natrionales Recht um. Im einzelnen regelt es:

 * Das [[BKA]] ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten
 * Das Kraftfahrt-Bundesamt ist (als Betreiber von [[ZEVIS]]) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen in andere Länder vom [[BKA]] durchgeführt werden.
 * Das [[Datenbanken BKA|BKA]] darf nach Maßgabe des Prümer Vertrags über die Verletzung der [[Zweckbindung]] von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, im [[Einvernehmen]] mit diesen.
 * Bei der Abfragen der BKA-Gendatenbank [[DAD]] müssen alle Abfragen protokolliert werden und der Abfragende eindutug gekennzeichnet werden -- kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des [[DatenSchutz|Datenschutzes]]
 * Die datenschutzrechtliche Verantwortung trägt die Stelle, die das [[BKA]] mit der Abfrage betraut hat.
 * Für die Datenschutzkontrolle im Bereich der BRD ist der [[BfDI]] zuständig


== Biometrie ==

Der Vertrag von Prüm sieht vor, dass die Mitgliedsstaaten Datebanken für [[Biometrie|Biometrische Daten]], insbesondere [[DNA]] und daktyloskopische Fingerabdrücke, führen. In diesen können dann alle beteiligten Staaten ohne unabhängig suchen. Sie bekommen aber im Fall eines Treffers zunächst nur eine pseudonyme Kennung und eine grobe Einordnung zurück.

Bei einem Treffer in der Datenbank wird der Staat, dem die Daten gehören, informiert und er übermittelt dann "nach innerstaatlichem Recht" weitere Daten, d.h. Personendaten und Falldaten. Zuständig für die Übermittlung ist die nationale Kontaktstelle. Biometrische Daten dürfen dabei nur weitergeben werden, wenn die Datenerfassungs für den betreffenden Vorfall in beiden Staaten rechtmäßig wäre.

<<Ratsdokument(15870/09)>> enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien an Markern für DNA-Daten übertragen sollen, nämlich den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge falscher Treffer geführt hat. Deswegen gibt es seit 2010 zwölf Marker für DNA-Daten.


== Großereignisse und Datenaustausch im Rahmen von Prüm ==

Artikel 14 des Vertrages von Prüm erwähnt extra "Tagungen des
europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von
"Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative"
zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten
dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn
sie sie nicht mehr brauchen). Übertragen werden wohl, ähnlich wie im
"Terrorismus"-Bereich (Art. 16 Vertrag von Prüm) neben
Identifikationsdaten auch weitere "Tatsachen" ("haben wir mal bei einer Demo
erwischt").

=== Austausch von Verbindungsbeamten bei Großereignisse ===

Bei Großereignissen wie WMs oder Gipfelprotesten werden regelmäßig
sogenannre szenekundige [[Verbindungsbeamte]] in den Staat entsand, wo
das Ereigniss staatfindet. Sie haben allerdings nur Beobachter-Status
und keine exekutiven Befugnisse. Dies basiert allerdings auf
Vereinbarungen über Prüm hinaus.

In diesem Zusammenhang bemerkenswert ist der in
[[http://euro-police.noblogs.org/2010/11/ausleihe-prugelnder-polizisten-bald-gangige-praxis/|"Ausleihe prügelnder Polizisten bald gängige Praxis"]]
berichtete Fall:
Während des Castor-Tansportes 2010
hatte ein [[Frankreich|französischer]] Beamter sich über die
Einsatzbeschärnkungen hinweggesetzt. Es wurde deswegen ein Verfahren
wegen Amtsanmaßung gegen ihn eingeleitet. Der Ausgang ist unbekannt.


== Technische Umsetzung ==

<<Iimage(2007-pruemStructure.jpg,Ablauf einer Prüm-Anfrage)>>
 
Abgewickelt wird der Datenabgleich über die Kommunkationsinfrastruktur "Secured Trans European Services for Telematics between Administrations" ([[sTESTA]]), die Anfang 2007 das alte TESTA-Netz ablöste. Die Kommunikation im sTESTA-Netz funktioniert dabei mit einem auf XML-basierten Austauschprotokoll, während die nationalen Behörden mit der Schnittstelle zum sTESTA-Netz durch verschlüsselte Mail kommunizieren.

Kurios und ein wenig bezeichnend für die Schwierigkeiten polizeilicher
Kooperation ist die in <<Ratsdokument(6077/10/11)>> (S. 2) festgelegte
Prozedur, Aktualisierungen zur Umsetzung seien per E-Mail an
prum@consilium.europa.eu zu kommunizieren.

== Datenschutz ==

Die Datenschutzregelungen zeigen deutlich eine "deutsche" Handschrift (etwa, was Löschung, Berichtigung oder Zweckbindung angeht). Angesichts des "Zwecks" der Übung ist allerdings die Zweckbindung nicht viel wert. Die teilnehmenden Behörden müssen zudem sämtliche Übermittlungen protokollieren.

Um am Prüm-System teilzunehmen, müssen die Mitgliedsstaaten ein
ausreichendes Datenschutzniveau nachweisen. Das geschieht durch
Ausfüllen eines an Ratsdokument 6661/1/09 angehängten Fragebogens
(geheim, klar; macht jemand ein FoI?) und seiner Einsendung
an prum@consilium.europa.eu. Das ist keine
Erfindung und kein Witz, sondern an vielen Stellen (u.a. <<Ratsdokument(6077/10/11)>>,
S. 3) so beschrieben.

Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen
erhält, möge sich bei datenschutzgruppe@rote-hilfe.de melden.

=== Kritik am mangelnden Datenschutz ===

Eric Töpfers Telepolis-Artikel [[http://www.heise.de/tp/r4/artikel/29/29013/1.html|Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm]]
referiert die Kritik von Bürgerrechtler_innen und
[[Datenschutzbeauftragten|Datenschützer_innen]] am Vertrag von Prüm und
seiner Überführung in den europäischen Rechtsrahmen. Dabei geht es
nicht nur um das intransparente Verfahren und die unzureichenden
Öffentlichkeit, sondern auch um den mangelhaften Schutz von
Grundrechten. Zwar schreibt der Vertrag eine umfassende
Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor,
allerdings trifft die Harmonisierung der polizeilichen Befugnisse
bislang lediglich auf die EU-Datenschutzrichtlinie. Ansonsten gilt für
Datenbankabrufe und -abgleiche innerstaatliches Recht, das äußerst
unterschiedlich ist. Der Europäische Datenschutzbeauftragte Peter
Hustinx bezeichnete den [[EU]]-weiten Informationsaustausch als einen
"Alptraum" und beklagte das Fehlen von verbindlichen
Datenschutzstandards für die polizeilich- und justizielle Zusammenarbeit
in der [[EU]]



=== Auskunftsrecht ===

Das [[RechtsLage/Auskunftsrecht|Auskunftsrecht]] wird in Artikel 40 des Vertrages von Prüm geregelt. Die Auskunft soll insbesondere enthalten "Herkunft, Empfänger oder Empfängerkategorien, den vorgesehenen Verarbeitungszweck und die Rechtsgrundlage". Auskunftsersuchen sind zu stellen an die nationalen Kontaktstellen. Für die [[Datenbanken der Bundespolizeien|BRD]] ist die nationale Kontaktsetelle das das [[BKA]].

== Geschichte und Umsetzung ==

Der Prümer Vertrag wurde 2007 offenbar aus Unzufriedenheit über die
schleppenden Fortschritte bei [[SIS II]] zwischen der
[[Datenbanken der Bundespolizeien|BRD]], [[Datenbanken Spanien|Spanien]],
[[Datenbanken Frankreich|Frankreich]], [[Datenbanken Austria|Österreich]]
und den
Beneluxstaaten geschlossen. Ende 2009 hatten laut
<<Doclink(2009-bundestag-1614150.pdf,Bt-DS 16/14150)>> 14 EU-Staaten
Line 18: Line 163:
In deutsches Recht überführt wird der Vertrag durch ein [[http://www.buzer.de/gesetz/7263/index.htm|Ausführungsgesetz namens PrümerVtrG]]. Es sieht zusätzlich zu den Regelungen von Prüm vor:

 * Das BKA ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten, aber bemerkenswerterweise nicht in seiner Eigenschaft als SIRENE-Büro.
 * Das Kraftfahrt-Bundesamt ist (als Betreiber von ZEVIS) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen nach außen wieder vom BKA behandelt werden.
 * Das BKA darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, "im Einvernehmen" mit diesen.
 * Eine Ergänzung der Errichtungsanordnung der [[DAD]], um den Protokolierungspflichen aus Prüm nachzukommen [Kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des Datenschutzes!]
 * Wenn es wirklich jemand schaffen sollte, Schadenersatz zu erstreiten, zahlt die BRD. Haha.


= Biometrie =

Prüm sieht vor, dass die
Mitgliedsstaaten Dateien mit Biometrie, insbesondere genetische und
daktyloskopische Fingerabdrücke, führen. In diesen können dann alle
beteiligten Staaten ohne weitere Beteiligung nationaler Behörden suchen,
bekommen aber im Fall eines Treffers zunächst nur eine pseudonyme
Kennung und eine Einordnung (VerdächtigeR oder Tatortspur) zurück.

Die nationalen Behörden bekommen die Übereinstimmung mit (sowohl durch
Mitteilung der suchenden Behörde als auch durch die Datenbank selbst)
und übermitteln dann "nach innerstaatlichem Recht" vollständigere Daten,
also etwa Identitäten, Falldaten oder wilde Spekulationen. Zuständig dafür
ist die nationale Kontaktstelle.

Biometrische Daten sollen weiter in Rechtshilfe erfasst werden, wenn
diese Erfassung in beiden Jurisdiktionen rechtmäßig wäre.

[[http://register.consilium.europa.eu/pdf/en/09/st15/st15870.en09.pdf|Ratsdokument 15870/09]] enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien so an Markern übertragen sollen, den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge false positives führen muss (denn die Features sind ja nicht gleich verteilt). Der 2010 verabschiedete ESS D3S1358 enthält nun die zwölf Marker
D3S1358, VWA, D8S1179, D21S11, D18S51, HUMTH01, FGA, D1S1656, D2S441, D10S1248, D12S391, D22S1045.


= Gipfel und so =

Artikel 14 erwähnt extra "Tagungen des europäischen Rats"; zu solchen
und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf
Ersuchen als auch aus eigener Initiative" zwischen den Staaten
ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem
Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr
brauchen).

Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16)
neben Identifikationsdaten auch "Tatsachen" (i.e., "war mal bei einer
Demo).

Auch ohne bzw. vor Prüm hat das BKA unter Rückgriff auf §14 BKAG Daten ins
Ausland verschoben. Es ist damit zu rechnen, dass es in Zukunft versuchen
wird, Auskünften und Statistiken durch gezielte Umdefinition zu entkommen.

= Sonstiges =

Der gegenseitige Zugriff auf die Fahrzeugregister erfolgt (immerhin ohne
"Wildcards", Anfragen wie "alle Fahrzeuge mit ER-RA am Anfang" gehen
also nicht) automatisch mit personenbezogenen Daten nach dem Recht des
abfragenden Staates. Allerdings lief das 2009 offenbar noch praktisch gar
nicht, der einzige funktionierende Zugriff war von einer Handvoll Länder auf
die ZEVIS-Bestände.

Bemerkenswert sind die Anmerkungen zum Datenschutz, die deutlich eine
"deutsche" Handschrift zeigen (etwa, was Löschung, Berichtigung oder
Zweckbindung angeht). Die Artikel lesen sich teilweise wie aus
deutschen Polizeigesetzen abgeschrieben. Angesichts des "Zwecks" der
Übung ist allerdings die Zweckbindung nicht viel wert.

Die teilnehmenden Behörden müssen sämtliche Übermittlungen
protokollieren. Wer auf ein Auskunftsersuchen Mitteilungen
entsprechender Übermittlungen erhält, möge sich bei uns melden.

Das Auskunftsrecht wird ebenfalls weitgehend nach deutschem Muster in
Artikel 40 geregelt. Die Auskunft soll insbesondere enthalten
"Herkunft, Empfänger oder Empfängerkategorien, den vorgesehenen
Verarbeitungszweck und die Rechtsgrundlage". Auskunftsersuchen sind zu
stellen an die nationalen Kontaktstellen; für die BRD ist das das BKA bzw.
für ZEVIS-Daten Flensburg.

= Umsetzung =

Was den (relativ billigen) Datenaustausch zu Gipfeln u.ä. angeht, soll Prüm 8/2009 operativ gewesen sein. Wirklich prüfen kann das wohl niemand. Für
den Rest (also die Kreuzabfragen der Datenbanken) ist der 26.8.2011 Deadline.

<<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> berichtet Ende 2009, die BRD tausche auf Prüm-Grundlage
DNA-Daten mit Österreich (seit 2006-12), Spanien (2007-05),
Luxemburg (2007-05), Slowenien (2008-07) und den Niederlanden (2008-07) aus.
Fingerabdrücke werden nur mit Österreich (seit 2007-07) ausgetauscht. Im
KfZ-Bereich konnten zu diesem Zeitpunkt A, E, LUX, NL, F abfragen, die BRD
aber nirgends.

2009 [[http://www.statewatch.org/news/2009/nov/eu-council-prum-implementation-16623-09.pdf|jammert die österreicheische Delegation bei Rat]]: "in some Member States the implementation of the Prüm Decision is seriously delayed," offenbar seien sich nicht alle Mitgliedsstaaten im Klaren über die Komplexität des Vorhabens. Ansonsten gibt das Papier Wunderdinge über gegenseitigen Datenzugriff an, die nicht verträglich mit den Auskunften aus <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> sind: Unter anderem sollen KfZ-Daten bereits zwischen be, de, es, fr, lu, nl und at ausgetauscht werden. Bei DNA-Profilen seien auch ro und bg dabei.

Selbst dort, wo es im Prinzip funktioniert, plätten die eifrigen Anfragen
aus den großen Mitgliedsstaaten die Server der kleineren Polizeien. Dies
führt bereits 2008 zur
[[http://www.statewatch.org/news/2009/aug/eu-prum-databases.pdf|Ratsmitteilung 148885/08]],
die versucht, Regeln aufzustellen, die Prüm-Abfragen zahlenmäßig begrenzen
sollen (Abfragen in Fremdstaatensystemen "should not be predetermined
systematically"; [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewach-Kommentar dazu]]).
Durch einige Ratsbeschlüsse aus dem Jahre 2008 (<<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>> und <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>>)
wurden größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht
("Acquis").

Das <<Ratsdokument(15567/10)>>
("Draft discussion paper on the state of play on [...] Prüm Decisions")
von 2010 berichtet:
 * DNA-Kreuzabfragen laufen zwischen Belgien, BRD, Spanien, [[Frankreich]], Luxemburg, Niederlande, [[Österreich]], Rumänien, Slowenien, und Finnland
 * Fingerabdruck-Abfragen laufen zwischen BRD, Spanien, Österreich, Luxemburg und Slowenien
 * KFZ-Kennzeichen-Abfragen laufen zwischen Belgien, BRD, Spanien, [[Frankreich]], Luxemburg, Niederlande, und [[Österreich]]

Das Dokument zitiert auch Begründungen, weshalb einige der Staaten die
EDV noch nicht umgesetzt hätten:

{{{#!blockquote
problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common
}}}

Zudem werden Vorschläge gemacht um mit den Problemen fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der bei [[Europol]] angesiedelt sein soll.

Selbst dort, wo Prüm im Prinzip funktionierte, legten die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Staaten lahm. Dies führte bereits 2008 zur [[http://www.statewatch.org/news/2009/aug/eu-prum-databases.pdf|Ratsmitteilung 148885/08]], die versucht, Regeln aufzustellen, die die Prüm-Abfragen zahlenmäßig begrenzen sollen
(vgl. den [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewatch-Kommentar dazu]]).
Line 115: Line 187:
[[http://www.statewatch.org/news/2010/mar/eu-prum-limited-searches-5860-rev1-10.pdf|Ratsmitteilung 5860/1/10]] recht enge Richtwerte bekannt gibt, die sich die MS so gewünscht
haben. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10
Anfragen pro Tag und Partner haben, während Staaten wie die BRD typischerweise
100 Anfragen pro Tag und Partner zulassen. Das bedeutet angesichts der Zahlen
von [[AFIS]], dass die [[SIS]]-Praxis, einfach mal europäische Datenbanken
mit abzufragen, für Prüm nicht fliegen wird.

Ende 2010 gabs mal wieder ein [[http://register.consilium.europa.eu/pdf/en/10/st15/st15567.en10.pdf|Dokument zum State of Play]], dass DNA-Kreuzabfragen zwischen bg, de, es, fr, lu, nl, at, ro, sl, und fi gehen, Fingerabdruck-Abfragen zwischen de, es, at, lu und sl sowie Kennzeichen-Geschichten zwischen be, de, es, fr, lu, nl, und at. Das passt nicht recht zu den Asymmetrien, die vorher angegeben wurden. In dem Dokument werden weiter nach Datenkategorie aufgeschlüsselt die Ausreden der nicht implementierenden Staaten angegeben ("problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common") und die üblichen Manager-Versuche beschrieben, mit dem Kram fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der ausgerechnet beim EDV-Katastrophenepizentrum [[Europol]] angesiedelt sein soll.

Ende 2010 stellt Reinhard Schmidt (Österreich) in einem [[http://www.riseproject.eu/_fileupload/RISE%20Conference/Presentations/Reinhard%20Schmid.pdf|Vortrag über internationalen DNA-Austausch]] vor, wie Prüm-Abfragen zu dem Zeitpunkt funktionieren (Folie 14): Im Wesentlichen läuft dabei über das kommissionseigene sTESTA-Netz irgendein XML-basiertes Austauschprotokoll, während die nationalen Behörden mit dem Gateway in sTESTA per Mail (also SMTP und POP) kommunizieren. Warum die Mails nicht einfach so durch das Gateway können, verrät er nicht.
<<Ratsdokument(5860/5/10)>> recht enge Richtwerte für die Anzahl der Datenbankabfragenn bekannt gibt. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Staat haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Staat zulassen.

Ende 2011 berichtet <<Ratsdokument(6077/10/11)>> vom Stand der
Umsetzung. Zusammengefasst:

 * Im DNA-Bereich sind NL und AT besonders fleißig und tauschen mit bis zu 10 Partnern Daten aus. Überblicksmäßig funktioniert das System nirgends voll, in 12 Ländern teilweise, in 7 Ländern fast, 6 haben mit der Umsetzung glaubhaft angefangen, und drei Länder haben im wesentlichen nichts vorzuweisen. Irland war zu dem Zeitpunkt das einzige Land, das noch keine DNA-Datenbank betrieben hat -- eigentlich erstaunlich in einem "Raum der Freiheit".
 * Aus den genannten Gründen ist es im Fingerabdruck-Bereich schwieriger (die Ausreden ab S. 14 aaO sind lesenswert); wieder gibt es kein System, das mit allen laufenden Systemen austauschen könnte, 9 Länder haben partiell funktionierende Software, drei scheinen ernsthaft am Testen zu sein, 15 haben nichts vorzuweisen oder zeigen allenfalls marginal glaubhafte Versuche der Implementation
 * Im Autobereich baut Prüm offenbar vor allem auf EUCARIS auf; trotzdem haben nur 11 Staaten laufende Systeme, die auch nicht durchweg austauschen. 6 Staaten haben Systeme, die glaubhaft laufen könnten, 9 haben nichts, was absehbar laufen könnte.

Bemerkenswert am 2011er Stand ist die extrem unkooperative Haltung des UK,
inbesondere angesichts der massiven Menschenrechtsverletzungen im
Datenbankbereich im UK-Inneren ("Auf den Rechten unserer Bürger trampeln nur ''wir'' rum"?).

Im Jahr 2015 gibt <<Ratsdokument(5010/3/15)>> eine Übersicht über den "State of
Play", also den Stand der Fähigkeiten zum Datenaustausch. Die
Austauschmatritzen (für DNA S. 16, Fingerabdrücke S. 23, Autos S. 28) füllen
sich langsam auf, vor allem, wenn mensch die notorischen Trödler wie be, el,
hr, ie, it, uk rausrechnet.
Line 128: Line 208:
<<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach
gab es bis 2009-09 rund 5000 DNA-Treffer bei Prüm-Abfragen. Fast alle davon
lagen im Bereich von Trivialkriminalität oder Migrationskontrolle
(rund 4800 der Treffer sind keiner
der aufgeführten Bereiche von Schwerkriminalität zugeordnet). Zuordnungen von
Spuren zu Personen sind dabei ungefähr so häufig wie Zuordnungen von
Spuren zu Spuren ("hier haben wir eine Serie"). Viel seltener werden
Personen Spuren aus dem Ausland zugeordnet.

Bei Fingerabdrücken hat die BRD einen Außenhandelsüberschuss, d.h. Österreich
hat viel mehr Matches aus deutschen Datenbanken als die BRD aus
österreichischen. Auch dabei dominiert Trivialkriminalität und
Migrationskontrolle (unter den 325 Matches, die die BRD aus Österreich
bekommen hat, waren 1 Vergewaltigung, 3 Straftaten gegen das Leben, 1
Misshandlung Schutzbefohlener, 3 schwerer Raub; dafür aber auch Sachbeschädigung, Beleidigung, Widerstand gegen Vollstreckungsbeamte...)

Die ZEVIS-Leute haben 2009 noch keine Statistiken auf Reihe bekommen
.

[[http://www.statewatch.org/news/2009/nov/eu-council-prum-implementation-16623-09.pdf|Österreich gibt 2009 an]], seit 2006-12-05 6930 Prüm-Treffer im DNA-Bereich, seti 2007-05-29 2490 Treffer bei Fingerabdrücken und seit 2008-09-18 614 Treffer im Kfz-Bereich gehabt zu haben, jeweils für Anfragen von Österreich nach
draußen.
Österreich selbst habe 6820 Anfragen ''bekommen''. Aus wie vielen was geworden ist, sagen sie nicht.

= Referenzen =

 *
<<Doclink(vertragPruem.pdf,Vertragstext)>>
 * [[http://www.heise.de/newsticker/Warnungen-vor-Superdatenbank-der-Sicherheitsbehoerden--/meldung/83870|heise.de dazu]]
 *
[[http://www.bmj.bund.de/enid/Internationales_Strafrecht/Pruemer_Vertrag_v1.html|Prümer Vertrag im Internetauftritt des BMJ]]
 * Umsetzungsgesetz: BGBl. I Nr. 32 vom 18.7.2006 S. 1485; es gibt Änderungen von 2009
 * [[http://register.consilium.europa.eu/pdf/en/09/st08/st08505.en09.pdf||Ratsdokument 8505/09]] erzählt von den Mühen der Etappe: Interoperabilitätstests und ähnliches.
<<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach gab es bis 2009-09 rund 5000 DNA-Treffer bei Prüm-Abfragen. Fast alle davon lagen im Bereich von Trivialkriminalität oder Migrationskontrolle  (rund 4800 der Treffer sind keiner der aufgeführten Bereiche von Schwerkriminalität zugeordnet). Zuordnungen von  Spuren zu Personen sind dabei ungefähr so häufig wie Zuordnungen von Spuren zu Spuren ("hier haben wir eine Serie"). Viel seltener werden Personen Spuren aus dem Ausland zugeordnet.

Bei Fingerabdrücken hat die [[Datenbanken der Bundespolizeien|BRD]] einen Außenhandelsüberschuss, d.h. [[Datenbanken Austria|Österreich]] hat viel mehr Treffer aus deutschen Datenbanken als die BRD aus  österreichischen. Auch dabei dominiert Trivialkriminalität und  Migrationskontrolle (unter den 325 Treffern, die die BRD aus [[Datenbanken Austria|Österreich]] bekommen hat, waren 1 Vergewaltigung, 3 Straftaten gegen das Leben, 1
Misshandlung Schutzbefohlener, 3 schwerer Raub; dafür aber auch Sachbeschädigung, Beleidigung, Widerstand gegen Vollstreckungsbeamte...).

[[http://www.statewatch.org/news/2009/nov/eu-council-prum-implementation-16623-09.pdf|Österreich gibt 2009 an]], seit 2006 6930 Prüm-Treffer im DNA-Bereich, seit 2007 2490 Treffer bei Fingerabdrücken und seit 2008 614 Treffer im Kfz-Bereich gehabt zu haben, jeweils für Anfragen von Österreich in andere Staaten. Österreich selbst habe 6820 Anfragen ''bekommen''. Aus wie vielen was geworden ist, sagen sie nicht.

Zahlen für 2014: <<Ratsdokument(5503/2/15)>>.

== Weitere Infos ==

 * [[http://www.heise.de/newsticker/Warnungen-vor-Superdatenbank-der-Sicherheitsbehoerden--/meldung/83870|Heise-Meldung von 2007]]: Bunyan, Alvaro und andere warnen bei einer Veranstaltung in Berlin vor der Entwicklung von Prüm zu einer Superdatenbank (vgl. [[EPRIS]]).

Vertrag von Prüm

Unter dem Label „Vertrag von Prüm” firmiert ein Mechanismus zur Vernetzung nationaler Polizeidatenbanken innerhalb der EU. Er erlaubt vor allem den Austausch von DNA-Spuren und Fingerabdrücken zwischen einzelnen Mitgliedsstaaten, die dann zunächst nur mit „Haben wir” oder „Haben wir nicht” (Hit/No Hit) reagieren. Daneben geht es auch um den Austausch von Daten z.B. bei Gipfelprotesten und von Fahrzeugdaten.

Das Prüm-System ist zwar Teil des EU-Acquis, krankte aber über viele Jahre an einer schleppenden Einführung und technischen Problemen.

Ratsdokument 2012/735 erzählt folgende Geschichten zur Illustration des Prüm-Prozesses:

A man was found stabbed to death in an apartment in a German city. A fingerprint was found on a doorframe. An automated Prüm search led to a hit in the Bulgarian database. Follow-up information requested from Bulgaria the next day was submitted within 3 hours and immediately entered into the Schengen Information System (SIS – see below). The next day the individual concerned was arrested in Austria.

In 2007, at the start of Prüm exchanges, equipment was stolen from a police car in Vienna. A DNA trace from the car was matched in the Austrian database with a trace from a similar case, but it was a Prüm hit in the German database that led to the identification of a Polish serial burglar. An EAW was issued in Austria. The suspect was arrested in Poland (due to a hit on an SIS alert) and was later convicted in Austria.

.

Rechtsgrundlage

Prüm war ursprünglich ein zwischenstaatlicher Vertrag (Vertrag von Prüm auf der Webseite des Bundesministerium für Justiz)

2008 wurden die Regelungen im Wesentlichen in Gemeinschaftsrecht überführt:

Die einzelnen Bestimmungen werden unten einzeln diskutiert.

Prümer Vertragsgesetz

Für die BRD setzt das Ausführungsgesetz zum Prümer Vertrag und zum Ratsbeschluss Prüm die Regelungen in natrionales Recht um. Im einzelnen regelt es:

  • Das BKA ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten

  • Das Kraftfahrt-Bundesamt ist (als Betreiber von ZEVIS) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen in andere Länder vom BKA durchgeführt werden.

  • Das BKA darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, im Einvernehmen mit diesen.

  • Bei der Abfragen der BKA-Gendatenbank DAD müssen alle Abfragen protokolliert werden und der Abfragende eindutug gekennzeichnet werden -- kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des Datenschutzes

  • Die datenschutzrechtliche Verantwortung trägt die Stelle, die das BKA mit der Abfrage betraut hat.

  • Für die Datenschutzkontrolle im Bereich der BRD ist der BfDI zuständig

Biometrie

Der Vertrag von Prüm sieht vor, dass die Mitgliedsstaaten Datebanken für Biometrische Daten, insbesondere DNA und daktyloskopische Fingerabdrücke, führen. In diesen können dann alle beteiligten Staaten ohne unabhängig suchen. Sie bekommen aber im Fall eines Treffers zunächst nur eine pseudonyme Kennung und eine grobe Einordnung zurück.

Bei einem Treffer in der Datenbank wird der Staat, dem die Daten gehören, informiert und er übermittelt dann "nach innerstaatlichem Recht" weitere Daten, d.h. Personendaten und Falldaten. Zuständig für die Übermittlung ist die nationale Kontaktstelle. Biometrische Daten dürfen dabei nur weitergeben werden, wenn die Datenerfassungs für den betreffenden Vorfall in beiden Staaten rechtmäßig wäre.

Ratsdokument 15870/09 enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien an Markern für DNA-Daten übertragen sollen, nämlich den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge falscher Treffer geführt hat. Deswegen gibt es seit 2010 zwölf Marker für DNA-Daten.

Großereignisse und Datenaustausch im Rahmen von Prüm

Artikel 14 des Vertrages von Prüm erwähnt extra "Tagungen des europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative" zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr brauchen). Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16 Vertrag von Prüm) neben Identifikationsdaten auch weitere "Tatsachen" ("haben wir mal bei einer Demo erwischt").

Austausch von Verbindungsbeamten bei Großereignisse

Bei Großereignissen wie WMs oder Gipfelprotesten werden regelmäßig sogenannre szenekundige Verbindungsbeamte in den Staat entsand, wo das Ereigniss staatfindet. Sie haben allerdings nur Beobachter-Status und keine exekutiven Befugnisse. Dies basiert allerdings auf Vereinbarungen über Prüm hinaus.

In diesem Zusammenhang bemerkenswert ist der in "Ausleihe prügelnder Polizisten bald gängige Praxis" berichtete Fall: Während des Castor-Tansportes 2010 hatte ein französischer Beamter sich über die Einsatzbeschärnkungen hinweggesetzt. Es wurde deswegen ein Verfahren wegen Amtsanmaßung gegen ihn eingeleitet. Der Ausgang ist unbekannt.

Technische Umsetzung

[Bild:Ablauf einer Prüm-Anfrage]

Abgewickelt wird der Datenabgleich über die Kommunkationsinfrastruktur "Secured Trans European Services for Telematics between Administrations" (sTESTA), die Anfang 2007 das alte TESTA-Netz ablöste. Die Kommunikation im sTESTA-Netz funktioniert dabei mit einem auf XML-basierten Austauschprotokoll, während die nationalen Behörden mit der Schnittstelle zum sTESTA-Netz durch verschlüsselte Mail kommunizieren.

Kurios und ein wenig bezeichnend für die Schwierigkeiten polizeilicher Kooperation ist die in Ratsdokument 6077/10/11 (S. 2) festgelegte Prozedur, Aktualisierungen zur Umsetzung seien per E-Mail an prum@consilium.europa.eu zu kommunizieren.

Datenschutz

Die Datenschutzregelungen zeigen deutlich eine "deutsche" Handschrift (etwa, was Löschung, Berichtigung oder Zweckbindung angeht). Angesichts des "Zwecks" der Übung ist allerdings die Zweckbindung nicht viel wert. Die teilnehmenden Behörden müssen zudem sämtliche Übermittlungen protokollieren.

Um am Prüm-System teilzunehmen, müssen die Mitgliedsstaaten ein ausreichendes Datenschutzniveau nachweisen. Das geschieht durch Ausfüllen eines an Ratsdokument 6661/1/09 angehängten Fragebogens (geheim, klar; macht jemand ein FoI?) und seiner Einsendung an prum@consilium.europa.eu. Das ist keine Erfindung und kein Witz, sondern an vielen Stellen (u.a. Ratsdokument 6077/10/11, S. 3) so beschrieben.

Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen erhält, möge sich bei datenschutzgruppe@rote-hilfe.de melden.

Kritik am mangelnden Datenschutz

Eric Töpfers Telepolis-Artikel Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm referiert die Kritik von Bürgerrechtler_innen und Datenschützer_innen am Vertrag von Prüm und seiner Überführung in den europäischen Rechtsrahmen. Dabei geht es nicht nur um das intransparente Verfahren und die unzureichenden Öffentlichkeit, sondern auch um den mangelhaften Schutz von Grundrechten. Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor, allerdings trifft die Harmonisierung der polizeilichen Befugnisse bislang lediglich auf die EU-Datenschutzrichtlinie. Ansonsten gilt für Datenbankabrufe und -abgleiche innerstaatliches Recht, das äußerst unterschiedlich ist. Der Europäische Datenschutzbeauftragte Peter Hustinx bezeichnete den EU-weiten Informationsaustausch als einen "Alptraum" und beklagte das Fehlen von verbindlichen Datenschutzstandards für die polizeilich- und justizielle Zusammenarbeit in der EU

Auskunftsrecht

Das Auskunftsrecht wird in Artikel 40 des Vertrages von Prüm geregelt. Die Auskunft soll insbesondere enthalten "Herkunft, Empfänger oder Empfängerkategorien, den vorgesehenen Verarbeitungszweck und die Rechtsgrundlage". Auskunftsersuchen sind zu stellen an die nationalen Kontaktstellen. Für die BRD ist die nationale Kontaktsetelle das das BKA.

Geschichte und Umsetzung

Der Prümer Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden Fortschritte bei SIS II zwischen der BRD, Spanien, Frankreich, Österreich und den Beneluxstaaten geschlossen. Ende 2009 hatten laut Bt-DS 16/14150 14 EU-Staaten Prüm unterzeichnet.

Durch einige Ratsbeschlüsse aus dem Jahre 2008 (2008/615/JHA und 2008/616/JHA) wurden größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht ("Acquis").

Das Ratsdokument 15567/10 ("Draft discussion paper on the state of play on [...] Prüm Decisions") von 2010 berichtet:

  • DNA-Kreuzabfragen laufen zwischen Belgien, BRD, Spanien, Frankreich, Luxemburg, Niederlande, Österreich, Rumänien, Slowenien, und Finnland

  • Fingerabdruck-Abfragen laufen zwischen BRD, Spanien, Österreich, Luxemburg und Slowenien
  • KFZ-Kennzeichen-Abfragen laufen zwischen Belgien, BRD, Spanien, Frankreich, Luxemburg, Niederlande, und Österreich

Das Dokument zitiert auch Begründungen, weshalb einige der Staaten die EDV noch nicht umgesetzt hätten:

problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common

Zudem werden Vorschläge gemacht um mit den Problemen fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der bei Europol angesiedelt sein soll.

Selbst dort, wo Prüm im Prinzip funktionierte, legten die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Staaten lahm. Dies führte bereits 2008 zur Ratsmitteilung 148885/08, die versucht, Regeln aufzustellen, die die Prüm-Abfragen zahlenmäßig begrenzen sollen (vgl. den Statewatch-Kommentar dazu).

2010 war die Situation so weit eskaliert, dass der Rat in der Ratsdokument 5860/5/10 recht enge Richtwerte für die Anzahl der Datenbankabfragenn bekannt gibt. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Staat haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Staat zulassen.

Ende 2011 berichtet Ratsdokument 6077/10/11 vom Stand der Umsetzung. Zusammengefasst:

  • Im DNA-Bereich sind NL und AT besonders fleißig und tauschen mit bis zu 10 Partnern Daten aus. Überblicksmäßig funktioniert das System nirgends voll, in 12 Ländern teilweise, in 7 Ländern fast, 6 haben mit der Umsetzung glaubhaft angefangen, und drei Länder haben im wesentlichen nichts vorzuweisen. Irland war zu dem Zeitpunkt das einzige Land, das noch keine DNA-Datenbank betrieben hat -- eigentlich erstaunlich in einem "Raum der Freiheit".
  • Aus den genannten Gründen ist es im Fingerabdruck-Bereich schwieriger (die Ausreden ab S. 14 aaO sind lesenswert); wieder gibt es kein System, das mit allen laufenden Systemen austauschen könnte, 9 Länder haben partiell funktionierende Software, drei scheinen ernsthaft am Testen zu sein, 15 haben nichts vorzuweisen oder zeigen allenfalls marginal glaubhafte Versuche der Implementation
  • Im Autobereich baut Prüm offenbar vor allem auf EUCARIS auf; trotzdem haben nur 11 Staaten laufende Systeme, die auch nicht durchweg austauschen. 6 Staaten haben Systeme, die glaubhaft laufen könnten, 9 haben nichts, was absehbar laufen könnte.

Bemerkenswert am 2011er Stand ist die extrem unkooperative Haltung des UK, inbesondere angesichts der massiven Menschenrechtsverletzungen im Datenbankbereich im UK-Inneren ("Auf den Rechten unserer Bürger trampeln nur wir rum"?).

Im Jahr 2015 gibt Ratsdokument 5010/3/15 eine Übersicht über den "State of Play", also den Stand der Fähigkeiten zum Datenaustausch. Die Austauschmatritzen (für DNA S. 16, Fingerabdrücke S. 23, Autos S. 28) füllen sich langsam auf, vor allem, wenn mensch die notorischen Trödler wie be, el, hr, ie, it, uk rausrechnet.

Zahlen

BtD 16/14150 hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach gab es bis 2009-09 rund 5000 DNA-Treffer bei Prüm-Abfragen. Fast alle davon lagen im Bereich von Trivialkriminalität oder Migrationskontrolle (rund 4800 der Treffer sind keiner der aufgeführten Bereiche von Schwerkriminalität zugeordnet). Zuordnungen von Spuren zu Personen sind dabei ungefähr so häufig wie Zuordnungen von Spuren zu Spuren ("hier haben wir eine Serie"). Viel seltener werden Personen Spuren aus dem Ausland zugeordnet.

Bei Fingerabdrücken hat die BRD einen Außenhandelsüberschuss, d.h. Österreich hat viel mehr Treffer aus deutschen Datenbanken als die BRD aus österreichischen. Auch dabei dominiert Trivialkriminalität und Migrationskontrolle (unter den 325 Treffern, die die BRD aus Österreich bekommen hat, waren 1 Vergewaltigung, 3 Straftaten gegen das Leben, 1 Misshandlung Schutzbefohlener, 3 schwerer Raub; dafür aber auch Sachbeschädigung, Beleidigung, Widerstand gegen Vollstreckungsbeamte...).

Österreich gibt 2009 an, seit 2006 6930 Prüm-Treffer im DNA-Bereich, seit 2007 2490 Treffer bei Fingerabdrücken und seit 2008 614 Treffer im Kfz-Bereich gehabt zu haben, jeweils für Anfragen von Österreich in andere Staaten. Österreich selbst habe 6820 Anfragen bekommen. Aus wie vielen was geworden ist, sagen sie nicht.

Zahlen für 2014: Ratsdokument 5503/2/15.

Weitere Infos

  • Heise-Meldung von 2007: Bunyan, Alvaro und andere warnen bei einer Veranstaltung in Berlin vor der Entwicklung von Prüm zu einer Superdatenbank (vgl. EPRIS).