|
Größe: 11222
Kommentar:
|
Größe: 14343
Kommentar: + Stand 2014
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 9: | Zeile 9: |
| === Vertrag von Prüm === | Prüm war ursprünglich ein zwischenstaatlicher Vertrag ([[http://www.bmj.de/cln_164/SharedDocs/Downloads/DE/pdfs/Pruemer_Vertrag.html;jsessionid=EEC570BB4176C3A6BB06D61A2FDA666D|Vertrag von Prüm auf der Webseite des Bundesministerium für Justiz]]) |
| Zeile 11: | Zeile 12: |
| [[http://www.bmj.de/cln_164/SharedDocs/Downloads/DE/pdfs/Pruemer_Vertrag.html;jsessionid=EEC570BB4176C3A6BB06D61A2FDA666D|Vertrag von Prüm auf der Webseite des Bundesministerium für Justiz]] | 2008 wurden die Regelungen im Wesentlichen in Gemeinschaftsrecht überführt: * <<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>> * <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>> Die einzelnen Bestimmungen werden unten einzeln diskutiert. |
| Zeile 15: | Zeile 22: |
| Für die BRD setzt das | |
| Zeile 16: | Zeile 24: |
=== BRD-Regelungen === Die BRD sieht folgende Regelungen für den Prümer-Vertrag im [[#Prümer Vertragsgesetz|Prümer Vertragsgesetz]] vor: |
die Regelungen in natrionales Recht um. Im einzelnen regelt es: |
| Zeile 24: | Zeile 29: |
| * Bei der Abfragen der Gendatenbank [[DAD]]der müssen alle Abfragen protokolliert werden und der Abfragende eindutug gekennzeichnet werden. (''Anmerkung: Kaum zu glauben: [[Datenbanken EU|EU]]-Gesetze erzwingen eine Stärkung des [[DatenSchutz|Datenschutzes]]!'') * Die Datenschutzrechtliche Verantwort trägt die Stelle, die das [[BKA]] mit der Abfrage betraut hat. |
* Bei der Abfragen der BKA-Gendatenbank [[DAD]] müssen alle Abfragen protokolliert werden und der Abfragende eindutug gekennzeichnet werden -- kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des [[DatenSchutz|Datenschutzes]] * Die datenschutzrechtliche Verantwortung trägt die Stelle, die das [[BKA]] mit der Abfrage betraut hat. |
| Zeile 28: | Zeile 33: |
| == Geschichte == Der Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden Fortschritte bei [[SIS]] II zwischen der [[Datenbanken der Bundespolizeien|BRD]], [[Datenbanken Spanien|Spanien]], [[Datenbanken Frankreich|Frankreich]], [[Datenbanken Austria|Österreich]] und den Beneluxstaaten geschlossen. Ende 2009 haben laut <<Doclink(2009-bundestag-1614150.pdf,BtD 16/14150)>> 14 [[Datenbanken EU|EU]]-Staaten Prüm unterzeichnet, aber vermutlich nicht umgesetzt. === EU-weite Gültigkeit verabschiedet === Durch einige Ratsbeschlüsse aus dem Jahre 2008 sollten (Ratsbeschlüsse <<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>> und <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>>) größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht werden. Laut Angaben der EU-Kommission von 2010 beteiligen sich allerdings weiterhin nur zehn Staaten und Norwegen an dem Datenaustausch (vgl [[http://www.statewatch.org/news/2010/jul/eu-com-overview-information-management-com-385-10.pdf|Papier der EU-Komission]] (pdf) ) |
|
| Zeile 42: | Zeile 40: |
| [[http://register.consilium.europa.eu/pdf/en/09/st15/st15870.en09.pdf|Ratsdokument 15870/09]] enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien an Markern für DNA-Daten übertragen sollen, nämlich den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge falscher Treffer geführt hat. Deswegen gibt es seit 2010 zwölf Marker für DNA-Daten. | <<Ratsdokument(15870/09)>> enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien an Markern für DNA-Daten übertragen sollen, nämlich den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge falscher Treffer geführt hat. Deswegen gibt es seit 2010 zwölf Marker für DNA-Daten. |
| Zeile 45: | Zeile 43: |
| == Gipfelproteste und Datenaustausch im Rahmen von Prüm == | == Großereignisse und Datenaustausch im Rahmen von Prüm == |
| Zeile 47: | Zeile 45: |
| Artikel 14 des Vertrages von Prüm erwähnt extra "Tagungen des europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative" zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr brauchen). Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16 Vertrag von Prüm) neben Identifikationsdaten auch weitere "Tatsachen" (''d.h. vermutlich war mal bei einer Demo''). | Artikel 14 des Vertrages von Prüm erwähnt extra "Tagungen des europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative" zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr brauchen). Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16 Vertrag von Prüm) neben Identifikationsdaten auch weitere "Tatsachen" ("haben wir mal bei einer Demo erwischt"). === Austausch von Verbindungsbeamten bei Großereignisse === Bei Großereignissen wie WMs oder Gipfelprotesten werden regelmäßig sogenannre szenekundige [[Verbindungsbeamte]] in den Staat entsand, wo das Ereigniss staatfindet. Sie haben allerdings nur Beobachter-Status und keine exekutiven Befugnisse. Dies basiert allerdings auf Vereinbarungen über Prüm hinaus. In diesem Zusammenhang bemerkenswert ist der in [[http://euro-police.noblogs.org/2010/11/ausleihe-prugelnder-polizisten-bald-gangige-praxis/|"Ausleihe prügelnder Polizisten bald gängige Praxis"]] berichtete Fall: Während des Castor-Tansportes 2010 hatte ein [[Frankreich|französischer]] Beamter sich über die Einsatzbeschärnkungen hinweggesetzt. Es wurde deswegen ein Verfahren wegen Amtsanmaßung gegen ihn eingeleitet. Der Ausgang ist unbekannt. |
| Zeile 51: | Zeile 74: |
{{http://www.heise.de/tp/r4/artikel/29/29013/29013_1.jpg}} |
<<Iimage(2007-pruemStructure.jpg,Ablauf einer Prüm-Anfrage)>> |
| Zeile 55: | Zeile 77: |
Kurios und ein wenig bezeichnend für die Schwierigkeiten polizeilicher Kooperation ist die in <<Ratsdokument(6077/10/11)>> (S. 2) festgelegte Prozedur, Aktualisierungen zur Umsetzung seien per E-Mail an prum@consilium.europa.eu zu kommunizieren. |
|
| Zeile 60: | Zeile 87: |
| ''Anmerkung: Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen erhält, möge sich bei uns melden.'' | Um am Prüm-System teilzunehmen, müssen die Mitgliedsstaaten ein ausreichendes Datenschutzniveau nachweisen. Das geschieht durch Ausfüllen eines an Ratsdokument 6661/1/09 angehängten Fragebogens (geheim, klar; macht jemand ein FoI?) und seiner Einsendung an prum@consilium.europa.eu. Das ist keine Erfindung und kein Witz, sondern an vielen Stellen (u.a. <<Ratsdokument(6077/10/11)>>, S. 3) so beschrieben. Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen erhält, möge sich bei datenschutzgruppe@rote-hilfe.de melden. |
| Zeile 64: | Zeile 100: |
| Bürgerrechtler und [[Datenschutzbeauftragten|Datenschützer]] kritisieren den Vertrag von Prüm und seine Überführung in den europäischen Rechtsrahmen nicht nur wegen des intransparenten Verfahrens und der unzureichenden Öffentlichkeit, sondern auch wegen des mangelhaften Schutzes von Grundrechten. Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor, allerdings trifft die Harmonisierung der polizeilichen Befugnisse bislang lediglich auf die EU-Datenschutzrichtlinie. Ansonsten gilt für Datenbankabrufe und -abgleiche innerstaatliches Recht, das äußerst unterschiedlich ist. Der Europäische Datenschutzbeauftragte Peter Hustinx bezeichnete den [[EU]]-weiten Informationsaustausch als einen "Alptraum" und beklagte das Fehlen von verbindlichen Datenschutzstandards für die polizeilich- und justizielle Zusammenarbeit in der [[EU]] | Eric Töpfers Telepolis-Artikel [[http://www.heise.de/tp/r4/artikel/29/29013/1.html|Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm]] referiert die Kritik von Bürgerrechtler_innen und [[Datenschutzbeauftragten|Datenschützer_innen]] am Vertrag von Prüm und seiner Überführung in den europäischen Rechtsrahmen. Dabei geht es nicht nur um das intransparente Verfahren und die unzureichenden Öffentlichkeit, sondern auch um den mangelhaften Schutz von Grundrechten. Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor, allerdings trifft die Harmonisierung der polizeilichen Befugnisse bislang lediglich auf die EU-Datenschutzrichtlinie. Ansonsten gilt für Datenbankabrufe und -abgleiche innerstaatliches Recht, das äußerst unterschiedlich ist. Der Europäische Datenschutzbeauftragte Peter Hustinx bezeichnete den [[EU]]-weiten Informationsaustausch als einen "Alptraum" und beklagte das Fehlen von verbindlichen Datenschutzstandards für die polizeilich- und justizielle Zusammenarbeit in der [[EU]] |
| Zeile 66: | Zeile 117: |
| vgl [[http://www.heise.de/tp/r4/artikel/29/29013/1.html|Telepolis-Artikel: Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm]] | |
| Zeile 73: | Zeile 123: |
| == Umsetzungs von Prüm EU-weit == | == Geschichte und Umsetzung == |
| Zeile 75: | Zeile 125: |
| In einem EU-Dokument von 2010 steht, dass DNA-Kreuzabfragen zwischen Belgien, BRD, [[Spanien]], [[Frankreich]], Luxembourg, Niederlande, [[Österreich]], Rumänien, Slowenien, und Finnland möglich sind. Fingerabdruck-Abfragen seien zwischen Deutschland, Spanien, Österreich,Luxenbourg und Slowenien möglich. KFZ-Kennzeichen-Abfragen seien zwischen Belgien, BRD,[[Spanien]], [[Frankreich]], Luxembourg, Niederlande, und [[Österreich]] möglich. In dem EU-Dokument werden auch die Begründungen, weshalb einige der Staaten die EDV noch nicht umgesetzt hätten, zitiert: | Der Prümer Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden Fortschritte bei [[SIS II]] zwischen der [[Datenbanken der Bundespolizeien|BRD]], [[Datenbanken Spanien|Spanien]], [[Datenbanken Frankreich|Frankreich]], [[Datenbanken Austria|Österreich]] und den Beneluxstaaten geschlossen. Ende 2009 hatten laut <<Doclink(2009-bundestag-1614150.pdf,Bt-DS 16/14150)>> 14 EU-Staaten Prüm unterzeichnet. |
| Zeile 77: | Zeile 134: |
| ''problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common '' | Durch einige Ratsbeschlüsse aus dem Jahre 2008 (<<Doclink(2008-Rat-pruemaquis.pdf,2008/615/JHA)>> und <<Doclink(2008-Rat-pruemaquis2.pdf,2008/616/JHA)>>) wurden größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht ("Acquis"). Das <<Ratsdokument(15567/10)>> ("Draft discussion paper on the state of play on [...] Prüm Decisions") von 2010 berichtet: * DNA-Kreuzabfragen laufen zwischen Belgien, BRD, Spanien, [[Frankreich]], Luxemburg, Niederlande, [[Österreich]], Rumänien, Slowenien, und Finnland * Fingerabdruck-Abfragen laufen zwischen BRD, Spanien, Österreich, Luxemburg und Slowenien * KFZ-Kennzeichen-Abfragen laufen zwischen Belgien, BRD, Spanien, [[Frankreich]], Luxemburg, Niederlande, und [[Österreich]] Das Dokument zitiert auch Begründungen, weshalb einige der Staaten die EDV noch nicht umgesetzt hätten: {{{#!blockquote problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common }}} |
| Zeile 81: | Zeile 154: |
| [[http://register.consilium.europa.eu/pdf/en/10/st15/st15567.en10.pdf|EU-Dokument zum State of Play von Prüm]] | Selbst dort, wo Prüm im Prinzip funktionierte, legten die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Staaten lahm. Dies führte bereits 2008 zur [[http://www.statewatch.org/news/2009/aug/eu-prum-databases.pdf|Ratsmitteilung 148885/08]], die versucht, Regeln aufzustellen, die die Prüm-Abfragen zahlenmäßig begrenzen sollen (vgl. den [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewatch-Kommentar dazu]]). |
| Zeile 83: | Zeile 157: |
| Selbst dort, wo Prüm im Prinzip funktioniert, legen die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Staaten lahm. Dies führte bereits 2008 zur [[http://www.statewatch.org/news/2009/aug/eu-prum-databases.pdf|Ratsmitteilung 148885/08]], die versucht, Regeln aufzustellen, die die Prüm-Abfragen zahlenmäßig begrenzen sollen (siehe [[http://www.statewatch.org/news/2009/aug/03eu-databases.htm|Statewach-Kommentar dazu]]). |
2010 war die Situation so weit eskaliert, dass der Rat in der <<Ratsdokument(5860/5/10)>> recht enge Richtwerte für die Anzahl der Datenbankabfragenn bekannt gibt. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Staat haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Staat zulassen. |
| Zeile 86: | Zeile 160: |
| 2010 war die Situation so weit eskaliert, dass der Rat in der [[http://www.statewatch.org/news/2010/mar/eu-prum-limited-searches-5860-rev1-10.pdf|Ratsmitteilung 5860/1/10]] recht enge Richtwerte für die Anzahl der Datenbankabfragenn bekannt gibt. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Staat haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Staat zulassen. | Ende 2011 berichtet <<Ratsdokument(6077/10/11)>> vom Stand der Umsetzung. Zusammengefasst: |
| Zeile 88: | Zeile 163: |
| == Anzahl Übermitllungen durch Prüm == | * Im DNA-Bereich sind NL und AT besonders fleißig und tauschen mit bis zu 10 Partnern Daten aus. Überblicksmäßig funktioniert das System nirgends voll, in 12 Ländern teilweise, in 7 Ländern fast, 6 haben mit der Umsetzung glaubhaft angefangen, und drei Länder haben im wesentlichen nichts vorzuweisen. Irland war zu dem Zeitpunkt das einzige Land, das noch keine DNA-Datenbank betrieben hat -- eigentlich erstaunlich in einem "Raum der Freiheit". * Aus den genannten Gründen ist es im Fingerabdruck-Bereich schwieriger (die Ausreden ab S. 14 aaO sind lesenswert); wieder gibt es kein System, das mit allen laufenden Systemen austauschen könnte, 9 Länder haben partiell funktionierende Software, drei scheinen ernsthaft am Testen zu sein, 15 haben nichts vorzuweisen oder zeigen allenfalls marginal glaubhafte Versuche der Implementation * Im Autobereich baut Prüm offenbar vor allem auf EUCARIS auf; trotzdem haben nur 11 Staaten laufende Systeme, die auch nicht durchweg austauschen. 6 Staaten haben Systeme, die glaubhaft laufen könnten, 9 haben nichts, was absehbar laufen könnte. Bemerkenswert am 2011er Stand ist die extrem unkooperative Haltung des UK, inbesondere angesichts der massiven Menschenrechtsverletzungen im Datenbankbereich im UK-Inneren ("Auf den Rechten unserer Bürger trampeln nur ''wir'' rum"?). Im Jahr 2015 gibt <<Ratsdokument(5010/3/15)>> eine Übersicht über den "State of Play", also den Stand der Fähigkeiten zum Datenaustausch. Die Austauschmatritzen (für DNA S. 16, Fingerabdrücke S. 23, Autos S. 28) füllen sich langsam auf, vor allem, wenn mensch die notorischen Trödler wie be, el, hr, ie, it, uk rausrechnet. == Zahlen == |
| Zeile 97: | Zeile 186: |
| Zahlen für 2014: <<Ratsdokument(5503/2/15)>>. |
|
| Zeile 99: | Zeile 190: |
| * [[http://www.heise.de/newsticker/Warnungen-vor-Superdatenbank-der-Sicherheitsbehoerden--/meldung/83870|heise.de: Warnungen vor Superdatenbank der Sicherheitsbehörden]] | * [[http://www.heise.de/newsticker/Warnungen-vor-Superdatenbank-der-Sicherheitsbehoerden--/meldung/83870|Heise-Meldung von 2007]]: Bunyan, Alvaro und andere warnen bei einer Veranstaltung in Berlin vor der Entwicklung von Prüm zu einer Superdatenbank (vgl. [[EPRIS]]). |
Inhaltsverzeichnis
Vertrag von Prüm
Der Vertrag von Prüm ist ein Vertrag zwischen einigenEU-Staaten zum Austausch von Daten aus nationalen Datenbanken und zur verstärkten Zusammenarbeit der verschiedenen Polizeibehörden im Bereich der Repression und der Migrationskontrolle .
Rechtsgrundlage
Prüm war ursprünglich ein zwischenstaatlicher Vertrag (Vertrag von Prüm auf der Webseite des Bundesministerium für Justiz)
2008 wurden die Regelungen im Wesentlichen in Gemeinschaftsrecht überführt:
Die einzelnen Bestimmungen werden unten einzeln diskutiert.
Prümer Vertragsgesetz
Für die BRD setzt das Ausführungsgesetz zum Prümer Vertrag und zum Ratsbeschluss Prüm die Regelungen in natrionales Recht um. Im einzelnen regelt es:
Das BKA ist nationale Kontaktstelle für DNA- und Fingerabdruckdaten
Das Kraftfahrt-Bundesamt ist (als Betreiber von ZEVIS) nationale Kontaktstelle für ausgehende KfZ-Daten, während Anfragen in andere Länder vom BKA durchgeführt werden.
Das BKA darf nach Maßgabe des Prümer Vertrags über die Verletzung der Zweckbindung von Daten entscheiden, bei Daten, die es von Dritten bekommen hat, im Einvernehmen mit diesen.
Bei der Abfragen der BKA-Gendatenbank DAD müssen alle Abfragen protokolliert werden und der Abfragende eindutug gekennzeichnet werden -- kaum zu glauben: EU-Gesetze erzwingen eine Stärkung des Datenschutzes
Die datenschutzrechtliche Verantwortung trägt die Stelle, die das BKA mit der Abfrage betraut hat.
Für die Datenschutzkontrolle im Bereich der BRD ist der BfDI zuständig
Biometrie
Der Vertrag von Prüm sieht vor, dass die Mitgliedsstaaten Datebanken für Biometrische Daten, insbesondere DNA und daktyloskopische Fingerabdrücke, führen. In diesen können dann alle beteiligten Staaten ohne unabhängig suchen. Sie bekommen aber im Fall eines Treffers zunächst nur eine pseudonyme Kennung und eine grobe Einordnung zurück.
Bei einem Treffer in der Datenbank wird der Staat, dem die Daten gehören, informiert und er übermittelt dann "nach innerstaatlichem Recht" weitere Daten, d.h. Personendaten und Falldaten. Zuständig für die Übermittlung ist die nationale Kontaktstelle. Biometrische Daten dürfen dabei nur weitergeben werden, wenn die Datenerfassungs für den betreffenden Vorfall in beiden Staaten rechtmäßig wäre.
Ratsdokument 15870/09 enthält im Dezember 2009 verabschiedete Normen, was europäische Polizeien an Markern für DNA-Daten übertragen sollen, nämlich den "ESS" ("Europäischer Standardsatz"). In dessen ursprünglicher Definition von 2001 (Entschließung 2001/C 187/01) waren sieben Stellen vorgesehen, was angesichts der Flut von DNA-Profilen zu jeder Menge falscher Treffer geführt hat. Deswegen gibt es seit 2010 zwölf Marker für DNA-Daten.
Großereignisse und Datenaustausch im Rahmen von Prüm
Artikel 14 des Vertrages von Prüm erwähnt extra "Tagungen des europäischen Rats"; zu solchen und ähnlichen Anlässen sollen Daten von "Gefährdern" sowohl aus "auf Ersuchen als auch aus eigener Initiative" zwischen den Staaten ausgetauscht werden. Die empfangenden Staaten dürfen diese bis zu einem Jahr behalten (sollen sie aber löschen, wenn sie sie nicht mehr brauchen). Übertragen werden wohl, ähnlich wie im "Terrorismus"-Bereich (Art. 16 Vertrag von Prüm) neben Identifikationsdaten auch weitere "Tatsachen" ("haben wir mal bei einer Demo erwischt").
Austausch von Verbindungsbeamten bei Großereignisse
Bei Großereignissen wie WMs oder Gipfelprotesten werden regelmäßig sogenannre szenekundige Verbindungsbeamte in den Staat entsand, wo das Ereigniss staatfindet. Sie haben allerdings nur Beobachter-Status und keine exekutiven Befugnisse. Dies basiert allerdings auf Vereinbarungen über Prüm hinaus.
In diesem Zusammenhang bemerkenswert ist der in "Ausleihe prügelnder Polizisten bald gängige Praxis" berichtete Fall: Während des Castor-Tansportes 2010 hatte ein französischer Beamter sich über die Einsatzbeschärnkungen hinweggesetzt. Es wurde deswegen ein Verfahren wegen Amtsanmaßung gegen ihn eingeleitet. Der Ausgang ist unbekannt.
Technische Umsetzung
![[Bild:Ablauf einer Prüm-Anfrage]](/img/2007-pruemStructure.jpg "Ablauf einer Prüm-Anfrage")
Abgewickelt wird der Datenabgleich über die Kommunkationsinfrastruktur "Secured Trans European Services for Telematics between Administrations" (sTESTA), die Anfang 2007 das alte TESTA-Netz ablöste. Die Kommunikation im sTESTA-Netz funktioniert dabei mit einem auf XML-basierten Austauschprotokoll, während die nationalen Behörden mit der Schnittstelle zum sTESTA-Netz durch verschlüsselte Mail kommunizieren.
Kurios und ein wenig bezeichnend für die Schwierigkeiten polizeilicher Kooperation ist die in Ratsdokument 6077/10/11 (S. 2) festgelegte Prozedur, Aktualisierungen zur Umsetzung seien per E-Mail an prum@consilium.europa.eu zu kommunizieren.
Datenschutz
Die Datenschutzregelungen zeigen deutlich eine "deutsche" Handschrift (etwa, was Löschung, Berichtigung oder Zweckbindung angeht). Angesichts des "Zwecks" der Übung ist allerdings die Zweckbindung nicht viel wert. Die teilnehmenden Behörden müssen zudem sämtliche Übermittlungen protokollieren.
Um am Prüm-System teilzunehmen, müssen die Mitgliedsstaaten ein ausreichendes Datenschutzniveau nachweisen. Das geschieht durch Ausfüllen eines an Ratsdokument 6661/1/09 angehängten Fragebogens (geheim, klar; macht jemand ein FoI?) und seiner Einsendung an prum@consilium.europa.eu. Das ist keine Erfindung und kein Witz, sondern an vielen Stellen (u.a. Ratsdokument 6077/10/11, S. 3) so beschrieben.
Wer auf ein AuskunftErsuchen Mitteilungen entsprechender Übermittlungen erhält, möge sich bei datenschutzgruppe@rote-hilfe.de melden.
Kritik am mangelnden Datenschutz
Eric Töpfers Telepolis-Artikel Die Vernetzung polizeilicher DNA-Datenbanken nach Prüm referiert die Kritik von Bürgerrechtler_innen und Datenschützer_innen am Vertrag von Prüm und seiner Überführung in den europäischen Rechtsrahmen. Dabei geht es nicht nur um das intransparente Verfahren und die unzureichenden Öffentlichkeit, sondern auch um den mangelhaften Schutz von Grundrechten. Zwar schreibt der Vertrag eine umfassende Protokollierungspflicht und eine Zweckbindung der Datenbankabrufe vor, allerdings trifft die Harmonisierung der polizeilichen Befugnisse bislang lediglich auf die EU-Datenschutzrichtlinie. Ansonsten gilt für Datenbankabrufe und -abgleiche innerstaatliches Recht, das äußerst unterschiedlich ist. Der Europäische Datenschutzbeauftragte Peter Hustinx bezeichnete den EU-weiten Informationsaustausch als einen "Alptraum" und beklagte das Fehlen von verbindlichen Datenschutzstandards für die polizeilich- und justizielle Zusammenarbeit in der EU
Auskunftsrecht
Das Auskunftsrecht wird in Artikel 40 des Vertrages von Prüm geregelt. Die Auskunft soll insbesondere enthalten "Herkunft, Empfänger oder Empfängerkategorien, den vorgesehenen Verarbeitungszweck und die Rechtsgrundlage". Auskunftsersuchen sind zu stellen an die nationalen Kontaktstellen. Für die BRD ist die nationale Kontaktsetelle das das BKA.
Geschichte und Umsetzung
Der Prümer Vertrag wurde 2007 offenbar aus Unzufriedenheit über die schleppenden Fortschritte bei SIS II zwischen der BRD, Spanien, Frankreich, Österreich und den Beneluxstaaten geschlossen. Ende 2009 hatten laut Bt-DS 16/14150 14 EU-Staaten Prüm unterzeichnet.
Durch einige Ratsbeschlüsse aus dem Jahre 2008 (2008/615/JHA und 2008/616/JHA) wurden größere Teile des Prüm-Vertrags für alle Staaten verbindlich gemacht ("Acquis").
Das Ratsdokument 15567/10 ("Draft discussion paper on the state of play on [...] Prüm Decisions") von 2010 berichtet:
DNA-Kreuzabfragen laufen zwischen Belgien, BRD, Spanien, Frankreich, Luxemburg, Niederlande, Österreich, Rumänien, Slowenien, und Finnland
- Fingerabdruck-Abfragen laufen zwischen BRD, Spanien, Österreich, Luxemburg und Slowenien
KFZ-Kennzeichen-Abfragen laufen zwischen Belgien, BRD, Spanien, Frankreich, Luxemburg, Niederlande, und Österreich
Das Dokument zitiert auch Begründungen, weshalb einige der Staaten die EDV noch nicht umgesetzt hätten:
problems mentioned the most were IT and financial problems. But logistic, legal and political (decision making) problems as well as shortage in personnel were also very common
Zudem werden Vorschläge gemacht um mit den Problemen fertig zu werden: Die BRD hätte gern ein "Mobile Competence Team", Österreich einen "Prüm Helpdesk", der bei Europol angesiedelt sein soll.
Selbst dort, wo Prüm im Prinzip funktionierte, legten die eifrigen Anfragen aus den großen Mitgliedsstaaten die Server der kleineren Staaten lahm. Dies führte bereits 2008 zur Ratsmitteilung 148885/08, die versucht, Regeln aufzustellen, die die Prüm-Abfragen zahlenmäßig begrenzen sollen (vgl. den Statewatch-Kommentar dazu).
2010 war die Situation so weit eskaliert, dass der Rat in der Ratsdokument 5860/5/10 recht enge Richtwerte für die Anzahl der Datenbankabfragenn bekannt gibt. Von der Größenordnung her wollen kleinere Staaten nicht mehr als 10 Anfragen pro Tag und Staat haben, während Staaten wie die BRD typischerweise 100 Anfragen pro Tag und Staat zulassen.
Ende 2011 berichtet Ratsdokument 6077/10/11 vom Stand der Umsetzung. Zusammengefasst:
- Im DNA-Bereich sind NL und AT besonders fleißig und tauschen mit bis zu 10 Partnern Daten aus. Überblicksmäßig funktioniert das System nirgends voll, in 12 Ländern teilweise, in 7 Ländern fast, 6 haben mit der Umsetzung glaubhaft angefangen, und drei Länder haben im wesentlichen nichts vorzuweisen. Irland war zu dem Zeitpunkt das einzige Land, das noch keine DNA-Datenbank betrieben hat -- eigentlich erstaunlich in einem "Raum der Freiheit".
- Aus den genannten Gründen ist es im Fingerabdruck-Bereich schwieriger (die Ausreden ab S. 14 aaO sind lesenswert); wieder gibt es kein System, das mit allen laufenden Systemen austauschen könnte, 9 Länder haben partiell funktionierende Software, drei scheinen ernsthaft am Testen zu sein, 15 haben nichts vorzuweisen oder zeigen allenfalls marginal glaubhafte Versuche der Implementation
- Im Autobereich baut Prüm offenbar vor allem auf EUCARIS auf; trotzdem haben nur 11 Staaten laufende Systeme, die auch nicht durchweg austauschen. 6 Staaten haben Systeme, die glaubhaft laufen könnten, 9 haben nichts, was absehbar laufen könnte.
Bemerkenswert am 2011er Stand ist die extrem unkooperative Haltung des UK, inbesondere angesichts der massiven Menschenrechtsverletzungen im Datenbankbereich im UK-Inneren ("Auf den Rechten unserer Bürger trampeln nur wir rum"?).
Im Jahr 2015 gibt Ratsdokument 5010/3/15 eine Übersicht über den "State of Play", also den Stand der Fähigkeiten zum Datenaustausch. Die Austauschmatritzen (für DNA S. 16, Fingerabdrücke S. 23, Autos S. 28) füllen sich langsam auf, vor allem, wenn mensch die notorischen Trödler wie be, el, hr, ie, it, uk rausrechnet.
Zahlen
BtD 16/14150 hat Tabellen mit Statistiken zu Prüm-Aktivitäten. Danach gab es bis 2009-09 rund 5000 DNA-Treffer bei Prüm-Abfragen. Fast alle davon lagen im Bereich von Trivialkriminalität oder Migrationskontrolle (rund 4800 der Treffer sind keiner der aufgeführten Bereiche von Schwerkriminalität zugeordnet). Zuordnungen von Spuren zu Personen sind dabei ungefähr so häufig wie Zuordnungen von Spuren zu Spuren ("hier haben wir eine Serie"). Viel seltener werden Personen Spuren aus dem Ausland zugeordnet.
Bei Fingerabdrücken hat die BRD einen Außenhandelsüberschuss, d.h. Österreich hat viel mehr Treffer aus deutschen Datenbanken als die BRD aus österreichischen. Auch dabei dominiert Trivialkriminalität und Migrationskontrolle (unter den 325 Treffern, die die BRD aus Österreich bekommen hat, waren 1 Vergewaltigung, 3 Straftaten gegen das Leben, 1 Misshandlung Schutzbefohlener, 3 schwerer Raub; dafür aber auch Sachbeschädigung, Beleidigung, Widerstand gegen Vollstreckungsbeamte...).
Österreich gibt 2009 an, seit 2006 6930 Prüm-Treffer im DNA-Bereich, seit 2007 2490 Treffer bei Fingerabdrücken und seit 2008 614 Treffer im Kfz-Bereich gehabt zu haben, jeweils für Anfragen von Österreich in andere Staaten. Österreich selbst habe 6820 Anfragen bekommen. Aus wie vielen was geworden ist, sagen sie nicht.
Zahlen für 2014: Ratsdokument 5503/2/15.
Weitere Infos
Heise-Meldung von 2007: Bunyan, Alvaro und andere warnen bei einer Veranstaltung in Berlin vor der Entwicklung von Prüm zu einer Superdatenbank (vgl. EPRIS).