von Lewin Rexin, LL.M.
Abstract
Der Beitrag untersucht Europols Voranalyse von unbekannten Datensätze zu Zwecken der Identifizierung von Personenkategorien, deren personenbezogene Daten Europol nicht verarbeiten darf. Zunächst wird aufgezeigt, dass für die Voranalyse unter der bis zum 27.6.2022 geltenden Europol-Verordnung keine Rechtsgrundlage existierte. Anschließend wird auf die Entscheidung des Europäischen Datenschutzbeauftragten aus Januar 2022 eingegangen, der Europol eine Höchstspeicherfrist für die Daten, die voranalysiert werden müssen, auferlegte. Dem gegenübergestellt wird die durch die Reform der Europol-Verordnung eingeführte Rechtsgrundlage für die Voranalyse. Diese wird kritisch auf ihre Vereinbarkeit mit geltendem Primärrecht geprüft. Abschließend werden Handlungsempfehlungen ausgesprochen, die die Defizite der neuen Rechtsgrundlage adressieren.
The article examines Europol’s pre-analysis of unknown data sets for the purpose of identifying categories of persons whose personal data Europol is not allowed to process. First, it is shown that there was no legal basis for the pre-analysis under the Europol Regulation in force until 27 June 2022. Subsequently, the decision of the European Data Protection Supervisor from January 2022, which imposed a maximum retention period on Europol for the data that must be pre-analyzed, is discussed. This is contrasted with the legal basis for the pre-analysis introduced by the reform of the Europol Regulation. Its compatibility with applicable EU primary law is critically examined. Finally, recommendations for measures are made that address the deficits of the new legal basis.
I. Einleitung
Die Reputation der Agentur der Europäischen Union (EU) für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) droht durch zwei aktuelle Schlagzeilen Schaden zu nehmen:
Zum einen wurde Europol wegen der Handhabung der Verarbeitung von großen und komplexen Datensätzen kritisiert. Europol sei „Europas Datenmonster“, das seit Jahren massenhaft Daten ohne Rechtsgrundlage sammeln würde.[1] Die Berichterstattung geht auf die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) – die für Europol zuständige Aufsichtsbehörde – vom 3.1.2022 zurück, in welcher dieser die Rechtswidrigkeit der Datenverarbeitung der sog. Voranalyse zu Zwecken der Identifizierung von Kategorien von betroffenen Personen feststellte und die Löschung von Daten, die zu diesem Zwecke vorgehalten werden, anordnete[2] (siehe Kapitel IV. dieses Beitrages).
Zum anderen wird über den Ausbau Europols zur „Big-Data-Polizei“ berichtet.[3] Dem zu Grunde liegt die Reform des Rechtsrahmens Europols, der Europol-Verordnung (Europol-VO)[4]. Die „Verordnung zur Änderung der Europol-VO“ ist am 28. Juni 2022 in Kraft getreten.[5] Mitunter werden Europols Befugnisse zur Verarbeitung personenbezogener Daten erweitert. Mit Art. 18 Abs. 6a der reformierten Europol-VO (nachfolgend: Europol-VO n.F.) wird eine Rechtsgrundlage für die o.g. Voranalyse eingeführt. Im Lichte der Entscheidung des EDSB muss die neue Rechtsgrundlage kritisch bewertet werden (siehe Kapitel V. dieses Beitrages).
Der Beitrag unterbreitet abschließend Empfehlungen, um Defizite der neuen Rechtsgrundlage auszugleichen (siehe Kapitel VI. dieses Beitrages).
II. Europol
Der Untersuchung der Voranalyse unter alter und neuer Rechtslage ist zunächst Europols Zuständigkeit und Datenverarbeitungspraxis voranzustellen.
1. Zuständigkeit
Gemäß Art. 88 Abs. 1 AEUV hat Europol den Auftrag, die Maßnahmen der Strafverfolgungsbehörden der EU-Mitgliedstaaten zu unterstützen und zu verstärken sowie deren Zusammenarbeit zu verbessern. Dabei ist Europols Mandat auf bestimmte Kriminalitätsformen begrenzt: Schwere Kriminalität, die zwei oder mehr Mitgliedstaaten betrifft, Terrorismus oder Formen der Kriminalität, die ein gemeinsames Unionsinteresse verletzen, die in Anhang I Europol-VO[6] aufgeführt werden.[7] Europol darf Ermittlungsmaßnahmen nur im Einvernehmen mit den betroffenen Mitgliedstaaten durchführen, Art. 88 Abs. 3 S. 1 AEUV. Zwangsmaßnahmen (z.B. Festnahmen) darf Europol nicht anwenden, Art. 88 Abs. 3 S. 2 AEUV.
Die aus diesem Mandat resultierenden Aufgaben werden sekundärrechtlich in Art. 4 Europol-VO konkretisiert. Für diesen Beitrag wesentlich ist Europols Aufgabe des Erhebens, Speicherns, Verarbeitens, Analysierens und Austauschens von Informationen gemäß Art. 4 Abs. 1 lit. a) Europol-VO. Europol übermittelt den nach nationalem Recht zuständigen Behörden der Mitgliedstaaten die sie betreffenden Informationen und weist auf Verbindungen zwischen Straftaten hin. Hierdurch sollen die Mitgliedstaaten in die Lage versetzt werden, Ermittlungen einzuleiten oder bei multilateralen Ermittlungen andere Mitglied-staaten zu unterstützen.[8] Europol ist folglich eine große Informationsdrehscheibe (Information Hub).[9]
2. Datenverarbeitung durch Europol
Sofern Europol Daten zu Zwecken der Unterstützung von strafrechtlichen Ermittlungen verarbeitet, unterfallen die dafür angewendeten Methoden und Techniken der operativen Analyse gemäß Art. 2 lit. c) Europol-VO. Informationen, die Gegenstand der operativen Analyse sind, können personenbezogene Daten enthalten. Personenbezogene Daten sind gemäß Art. 27a Abs. 1 Europol-VO n.F. i.V.m. Art. 3 Nr. 1 VO 2018/1725[10] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Personenbezogene Daten, die Europol zu Zwecken der operativen Analyse verarbeiten, sind gemäß Art. 3 Nr. 2 VO 2018/1725 als „operative personenbezogene Daten“ definiert.
Europol ist dabei zur Achtung des Datenschutzgrundrechtes aus Art. 8 Abs. 1 GRCh verpflichtet, wie aus Art. 51 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV folgt. Zudem ist die Verarbeitung operativer personenbezogener Daten von gesteigerter Grundrechtsrelevanz, da die betroffene Person zusätzlich im Strafverfahren durch das Recht auf ein faires Verfahren und die Unschuldsvermutung gemäß Art. 48 Abs. 1 GRCh und Art. 6 EMRK geschützt ist.[11] Maßnahmen, die das Individuum in ihren Grundrechten tangieren, müssen gemäß Art. 52 Abs. 1 S. 2 GRCh den Anforderungen der Verhältnismäßigkeit genügen.
III. Ausgangslage
Die Bewertung der neuen Befugnis Europols zur Durchführung einer Voranalyse bedarf einer Betrachtung der bisherigen Rechtslage: Gemäß Art. 18 Abs. 5 Alt. 2 Europol-VO a.F. durfte Europol grundsätzlich nur personenbezogene Daten von bestimmten Personengruppen verarbeiten, sofern dies zu Zwecken der Aufdeckung von Zusammenhängen von Straftaten oder zur operativen Analyse erfolgen sollte. Diese Personengruppen werden in der Terminologie der Europol-VO als „Kategorien von betroffenen Personen, deren Daten Europol verarbeiten darf“ bezeichnet (nachfolgend: legitime Personenkategorien). Welche Kategorien von betroffenen Personen hierzu zählen, wird in Anhang II, B.1 Europol-VO aufgeführt: Personen, die selbst einer Straftat verdächtigt werden oder gegen die triftige Anhaltspunkte vorliegen, dass sie eine Straftat begehen werden; Personen, die mit den vorgenannten Verdächtigen in Kontakt standen, sowie Zeugen, Opfer oder Hinweisgeber.
Art. 18 Abs. 5 Alt. 2 Europol-VO a.F. diente der Konkretisierung des datenschutzrechtlichen Prinzips der Datenminimierung. Daten sollen nur in dem Umfang und für die Dauer erhoben werden, die für die Erreichung des Zweckes einer Verarbeitung erforderlich sind.[12] Ferner verfolgt die Personenkategorisierung auch den Schutz von Person vor dem Hintergrund der besonderen Umstände polizeilicher Ermittlungen. Daten werden regelmäßig ohne das Wissen der betroffenen Person verarbeitet. Um dennoch die Grundrechte der betroffenen Person zu gewährleisten, sind hohe Anforderungen an die Verhältnismäßigkeit einer Datenverarbeitung im Ermittlungsverfahren zu stellen.[13] Ausdruck dessen ist eine der Personenkategorie angemessene Behandlung der Daten.[14] So müssen für die verschiedenen Personenkategorien unterschiedlich strenge Schutzmaßnahmen implementiert werden, was u.a. auch aus dem Recht auf Unschuldsvermutung folgt.[15] Eine solche Vorkehrung wurde beispielsweise in Art. 30 Abs. 1 Europol-VO a.F. vorgesehen: Daten von Zeugen oder Opfern durften nur verarbeitet werden, wenn dies „unbedingt notwendig“ war.
Europol hat erhebliche Schwierigkeiten, die Anforderung, nur Daten von legitimen Personenkategorien zu verarbeiten, zu erfüllen. Dies ist darauf zurückzuführen, dass die Mitgliedstaaten in Ermittlungsverfahren nicht mehr nur gezielt ausgewählte Einzeldaten erheben, sondern zunehmend große Datensätze, z.B. ganze Transaktionshistorien von illegalen Darknet-Marktplätzen.[16] Wegen begrenzter Ressourcen kann die Auswertung dieser großen Datensätze häufig nicht mehr national geleistet werden.[17] Stattdessen wird Europol im Rahmen seiner Unterstützungsfunktion ersucht, die Auswertung vorzunehmen, wobei die Mitgliedstaaten die Datensätze ohne vorherige Durchsicht und Kategorisierung der enthaltenen Personen an Europol übermitteln.
In einem solchen Falle stand Europol vor der Frage, ob es die in den Datensätzen enthalten Daten überhaupt unter Berücksichtigung von Art. 18 Abs. 5 Alt. 2 Europol-VO a.F. verarbeiten durfte. Um herauszufinden, ob Datensätze Daten illegitimer Personenkategorien enthalten, muss Europol eine Voranalyse durchführen. Hierbei extrahiert die Agentur die Daten aus dem empfangenen Datensatz und gleicht diese mit ihren Datenbanken ab. Die Voranalyse stellt damit ein Bündel von datenschutzrechtlichen Verarbeitungstätigkeiten (u.a. Erheben, Speicherung, Auslesen) dar. Das aus Art. 8 Abs. 2 S. 1 GRCh resultierende datenschutzrechtliche Prinzip der Rechtmäßigkeit besagt, dass jede Verarbeitung auf eine Einwilligung oder eine gesetzlich geregelte legitime Grundlage gestützt werden muss. Eine solche geregelte legitime Grundlage für die Personenkategorie-Voranalyse fand sich in der Europol-VO a.F. jedoch nicht. Mangels Rechtsgrundlage verstieß die Verarbeitung von personenbezogenen Daten im Rahmen der Personenkategorie-Voranalyse damit gegen das Primärrecht der EU.
IV. Entscheidung des EDSB
Das vorstehende Problem war Gegenstand des Verwarnungsverfahrens des EDSB.
1. Analoge Herleitung einer Speicherfrist
Der Entscheidung vom 3.1.2022 vorausgehend hatte der EDSB im September 2020 bereits festgestellt, dass Europol im Rahmen der Voranalyse zu Zwecken der Personenkategorisierung gegen den Grundsatz der Datenminimierung verstößt.[18] Zwar erkannte der EDSB an, dass eine Personenkategorie-Voranalyse für Europols Aufgabenwahrnehmung erforderlich war, auch wenn diese auf keine Rechtsgrundlage gestützt werden konnte. Jedoch hielt er die Schutzmaßnahmen, die Europol für die Voranalyse implementierte, für unzureichend. Insbesondere kritisierte er die Länge des Zeitraums, in den Europol die unkategorisierten Datensätze vorhielt. So führte Europol die Voranalyse nicht immer unmittelbar nach Erhalt der Datensätze durch, in einigen Fällen geschah dies offenbar erst nach einem längeren Zeitraum.[19] Zwar sah die Europol-VO a.F. – mangels spezifischer Rechtsgrundlage – keine bestimmte Frist vor, innerhalb derer Europol die Voranalyse durchführen hätte müssen.[20] Nach Ansicht des EDSB hätte Europol die Voranalyse aber innerhalb von sechs Monaten durchführen müssen, die Daten hätten demnach höchstens sechs Monate vorgehalten werden dürfen. Diese Höchstspeicherfrist leitete der EDSB aus einer analogen Anwendung des Art. 18 Abs. 6 Europol-VO a.F. her.[21] Diese Norm regelte die Voranalyse zu einem anderen Zweck: Mittels Voranalyse sollte festgestellt werden, ob Daten, die die Agentur durch Übermittlung eines Mitgliedstaates erhalten hat, für die Erfüllung der Europol zugewiesenen Aufgaben relevant sind. Insofern teilten beide Voranalysen den Zweck, zunächst die Rechtmäßigkeit der Verarbeitung der erhaltenen Daten nach den Bestimmungen der Europol-VO zu bewerten.
2. Bewertung der Kritik des EDSB
Fraglich ist, ob diese Herleitung der Höchstspeicherfrist überzeugen kann.
Die Analogie als Instrument der richterlichen Rechtsfortbildung setzt nach deutschem Verständnis das Bestehen einer planwidrige Regelungslücke bei vergleichbarer Interessenslage voraus.[22] Auch dem EuGH ist die Analogiebildung keineswegs fremd.[23] Eine planwidrige Regelungslücke besteht, wenn das Gesetz überhaupt keine Regelung vorsieht, die in ihrer unmittelbaren Anwendung den konkreten, rechtlich regelungsfähigen und -bedürftigen Sachverhalt erfasst.[24]
Zwar haben die EU-Gesetzgeber in Art. 6 JI-RL[25] vorgesehen, dass Polizeibehörden der Mitgliedstaaten Daten nach betroffenen Personen kategorisieren sollen. Insofern läge die Annahme nahe, dass die Gesetzgeber bewusst davon ausgingen, dass Europol keine unkategorisierten Datensätze erhalten würde, eine entsprechende Voranalyse also nie in Betracht kommen würde, die Regelungslücke folglich nicht planwidrig wäre. Allerdings unterliegt Art. 6 JI-RL den Einschränkungen, dass die Mitglied-staaten nur „gegebenenfalls“ und „so weit wie möglich“ eine Kategorisierung vornehmen. Insofern können die Behörden der Mitgliedstaaten auch unkategorisierte Daten an Europol übermitteln. Wie der EDSB aufgezeigt hat, haben die Mitgliedstaaten hiervon in der jüngeren Vergangenheit, aufgrund der Abkehr von der gezielte Einzelerhebung von Daten und dem Wandel hin zur Erhebung großer Datensätze, die nachfolgend an Europol zur Auswertung übermittelt wurden, zunehmend Gebrauch gemacht.[26] Diese Änderung der Ermittlungsmethodik war für die Gesetzgeber bei Einführung der Europol-VO a.F. nicht absehbar, sodass eine nachträgliche Regelungslücke entstand.[27] Für diesen Sachverhalt haben die Gesetzgeber unbewusst, folglich planwidrig, keine Rechtsgrundlage vorgesehen.
Eine vergleichbare Interessenslage liegt vor, wenn die Interessenlage im ungeregelten Sachverhalt mit derjenigen vergleichbar ist, die der gesetzlichen Regelung zugrunde liegt.[28] Vorliegend könnte die Interessenslage der Personenkategorie-Voranalyse, wie vom EDSB angeführt, vergleichbar zu Art. 18 Abs. 6 Europol-VO a.F. sein: Europol hat zu überprüfen, ob es bestimmte Datensätze überhaupt verarbeiten darf. Zwar könnte dem entgegenstehen, dass die Voranalyse nach Absatz 6 nur dazu diene, eine Kompetenzüberschreitung Europols zu vermeiden. Denn die Aufrechterhaltung der öffentlichen Ordnung und der Schutz der nationalen Sicherheit sind gemäß Art. 4 Abs. 2 S. 2 EUV grundlegende Funktionen der Mitgliedstaaten,[29] was sich sekundärrechtlich u.a. darin zeigt, dass Europol nur unterstützend für die Mitgliedstaaten tätig werden darf, Art. 3 Abs. 1 Europol-VO. Insofern könnte angeführt werden, dass der Zweck der Voranalyse in Absatz 6 nicht nur die Einhaltung der sekundärrechtlichen Regelungen Europols sei, sondern die Wahrung der Grenzen des primärrechtlich beschränkten Mandats. Demgegenüber dient die Voranalyse zur Personenkategorisierung der Klärung der Frage, ob eine Verarbeitung unter Berücksichtigung des Anhangs II der Europol-VO zulässig ist. Anhang II dient der Konkretisierung des Datenschutzgrundrechtes. Die beiden Voranalysen verfolgen danach unterschiedliche Schutzzwecke.
Dem muss aber entgegengehalten werden, dass die vergleichbare Interessenslage nicht verlangt, dass die gleichen Schutzgüter betroffen sind, sondern das wesentlich gleiche Sachverhalte gleich zu bewerten sind.[30] In beiden Fällen soll festgestellt werden, ob Europol empfangene Daten unter seinem eigenen Rechtsrahmen verarbeiten darf. Warum die Prüfung, ob Europols Zuständigkeit eröffnet ist, einer Frist unterliegen soll, hingegen die Prüfung, ob Europol die enthaltenen Personenkategorien verarbeiten darf, keiner Frist bedürfe, ist nicht erklärbar. Denn nach der EuGH-Entscheidung Tele2 sind zeitliche Beschränkungen für alle Datenspeicherungen im Kontext der Kriminalitätsbekämpfung erforderlich.[31] Eine vergleichbare Interessenslage besteht folglich. Die von dem EDSB vorgenommene analoge Anwendung der Speicherfrist von sechs Monaten auf die Voranalyse zur Personenkategorisierung überzeugt damit.
3. Reaktion Europols
Europol erkannte darauffolgend an, dass die Schutzmaßnahmen für die Voranalyse unzureichend gewesen waren und führte einige Schutzvorkehrungen wie Zugriffsbeschränkungen oder Kennzeichnungspflichten der Datensätze ein, um das Risiko des Missbrauchs der noch nicht voranalysierten Datensätze zu reduzieren.[32] Nicht unter diesen Schutzmaßnahmen war die Einführung einer Höchstspeicherfrist für unkategorisierte Datensätze, obwohl eine solche vom EDSB – richtigerweise – wiederholt als zwingend erforderlich verlangt wurde.[33]
Letztlich lenkte Europol insoweit ein, dass die Agentur ihre Bereitschaft zum Ausdruck brachte, eine Höchstspeicherfrist vorläufig einzuführen. Nach Abwägung der Grundsätze des Datenschutzes mit der Durchführbarkeit seiner zugewiesenen Aufgaben regte Europol an, eine drohende Löschungsanweisung des EDSB gemäß Art. 43 Abs. 3 lit. e) Europol-VO aufzuschieben und das Inkrafttreten der Europol-VO n.F. abzuwarten. Europol schlug vor, sich bis zur Anwendbarkeit des neuen Rechtsrahmens an die im Kommissionsvorschlag für die Europol-VO n.F. vorgesehenen Speicherfristen zu halten. Danach hätten die Datensätze zwölf Monate lang gespeichert werden können, wobei eine Verlängerung um weitere sechs Monate möglich gewesen wäre.[34]
4. Finale Entscheidung des EDSB
Der EDSB folgte in seiner abschließenden Entscheidung vom 3.1.2022 dem Vorschlag Europols einer zwölfmonatigen Höchstspeicherfrist nicht. Er wies Europol an, Datensätze, die die Agentur in Zukunft erhalte und die einer Voranalyse unterzogen werden müssen, für höchstens sechs Monate aufzubewahren.[35] Zudem setze er Europol eine Frist von zwölf Monaten, um jene Datensätze zu löschen, die sich bereits im Besitz von Europol befinden, jedoch noch keiner Voranalyse unterzogen wurden.[36] Folglich hätte Europol die Voranalyse innerhalb von zwölf Monaten durchführen müssen, um eine Löschung der nicht-voranalysierten Daten zu vermeiden.
V. Reform der Europol-VO
Parallel zur Initiative des EDSB war die Voranalyse zu Zwecken der Feststellung legitimer Personenkategorien Gegenstand des Gesetzgebungsvorhaben zur Reform der Europol-VO.
1. Hergang
Die Kommission veröffentlichte am 9.12.2020 einen Vorschlag zur Änderung der Europol-VO.[37] Nach der politischen Einigung der Co-Gesetzgeber am 1. Februar 2022,[38] erfolgte die formelle Annahme durch das Parlament am 04. Mai 2022[39] und durch den Rat am 24. Mai 2022.[40] Die „Verordnung zur Änderung der Europol-Verordnung“ trat am 28. Juni 2022 in Kraft.[41]
2. Regelung
Die Voranalyse zur Feststellung von legitimen Personenkategorien wird in Art. 18 Abs. 6a Europol-VO n.F. kodifiziert. Insofern ist zunächst festzustellen, dass mit der Einführung dieser Vorschrift die Lücke der fehlenden Rechtsgrundlage für die Personenkategorie-Voranalyse geschlossen wird. Dies ist grundsätzlich zu begrüßen, da auf diese Weise die rechtlichen Grenzen für diese Verarbeitungstätigkeit festgelegt werden: Europol darf personenbezogene Daten ausschließlich vorübergehend verarbeiten, um festzustellen, ob die Daten den legitimen Personenkategorien i.S.v. Art. 18 Abs. 5 Europol-VO n.F. i.V.m. Anhang II.B unterfallen. Zudem werden Schutzmaßnahmen in Art. 18 Abs. 6a Europol-VO n.F. eingeführt:
- Die Verarbeitung ist nur zulässig, wenn sie „unbedingt erforderlich“ ist (UAbs. 1).
- Die Daten müssen von anderen Daten funktional getrennt aufbewahrt werden (UAbs. 2 S. 4).
- Es wird eine Höchstspeicherdauer festgelegt: Europol darf die Daten bis zu 18 Monaten speichern, wobei als Beginn dieses Zeitraums der Zeitpunkt definiert wird, an dem Europol feststellt, dass die Daten in seinen Zuständigkeitsbereich fallen (UAbs. 2 S. 1). „In begründeten Fällen“ können 18 Monate überschritten werden, wenn dies für die Zwecke des Art. 18 Europol-VO n.F. erforderlich ist, wobei der EDSB über die Verlängerung zu informieren ist (UAbs. 2 S. 2). Die Höchstspeicherdauer darf jedoch drei Jahre nicht überschreiten (UAbs. 2. S. 3).
- Weitere spezifische Verarbeitungsbedingungen für die Personenkategorie-Voranalyse sollen vom Europol-Verwaltungsrat, Europols höchstem politischen Führungsgremium, festgelegt werden. Insbesondere sollen diese die Übermittlung von Daten, den Zugang zu ihnen und ihre Verwendung sowie Höchstspeicher- und Löschungsfristen konkretisieren (Art. 18 Abs. 6b Europol-VO n.F.).
Keine Berücksichtigung im Gesetzgebungsprozess haben die Empfehlungen des EDSB gefunden. Während dieser in seinem Beschluss gegen Europol eine maximale Verarbeitungsfrist von sechs Monaten vorsah, einigten sich die Gesetzgeber auf eine Frist von 18 Monaten (mit der Möglichkeit einer Verlängerung auf bis zu 36 Monate). Hinsichtlich der Fristbeginns ist ferner hervorzuheben, dass der EDSB den Zeitpunkt des Eingangs der Datensätze bei Europol als maßgeblich betrachten wollte, während die Gesetzgeber den Zeitpunkt der Feststellung, dass die Daten unter die Ziele von Europol fallen, wählte.
In der Praxis könnte sich Europols Handhabung von Datensätzen unkategorisierten Inhalts wie folgt darstellen:
- Europol erhält einen Datensatz am 1.1.2023.
- Spätestens am 30. Juni 2023 hat Europol eine „Voranalyse I“ gemäß Art. 18 Abs. 6 Europol-VO n.F. durchzuführen, um zu überprüfen, ob die enthaltenen Daten in seinen Zuständigkeitsbereich fallen.
- Anschließend muss Europol spätestens bis zum 31.12.2024 die „Voranalyse II“ zur Personenkategorisierung gemäß Art. 18 Abs. 6a Europol-VO n.F. durchführen.
Sofern Europol eine Verlängerung begründet, kann die „Voranalyse II“ noch bis zum 31. Dezember 2025 erfolgen.
3. Kritik an der Regelung
Die Regelung des Art. 18 Abs. 6a Europol-VO n.F. muss insbesondere wegen der Ausdehnung der Höchstverarbeitungsdauer als rechtswidrig angesehen werden. Grund hierfür ist nicht die Voranalyse an sich, sondern der in ihr enthaltene Verarbeitungsschritt der Speicherung. Als Eingriff in Art. 8 Abs. 1 GRCh muss auch dieser Zwischenschritt verhältnismäßig sein, Art. 52 Abs. 1 S. 2 GRCh.
a) Verhältnismäßigkeit
Zunächst verfolgt die Speicherung zur anschließenden Voranalyse den legitimen Zweck der Aufdeckung von Zusammenhängen zwischen Straftaten. Aus Erwägungsgrund 21 S. 1 VO zur Änderung der Europol-VO geht hervor, dass die Daten 18 Monate vorgehalten werden sollen, da sich die Kategorisierung im Laufe der Zeit ändern könne, wenn neue Informationen verfügbar werden. Auch dies stellt grundsätzlich einen legitimen Zweck dar. Zur Erreichung dieses Zweckes ist die Speicherung auch geeignet.
Zweifel bestehen aber an der Erforderlichkeit der Dauer der Speicherung: Im ursprünglichen Entwurf der Kommission von 2020 wurde ein Zeitraum von zwölf Monaten vorgeschlagen, ohne einen Beginn dieses Zeitraumes zu definieren. Wie zuvor ausgeführt, hat auch Europol selbst diese zwölfmonatige Höchstverarbeitungsfrist als angemessenes Ergebnis der Abwägung zwischen Datenschutz und der Erfüllung seiner Aufgaben betrachtet.[42] Dabei ist Europol zu unterstellen, dass es selbst wohl am besten einschätzen kann, welcher Zeitraum für die Durchführung einer Voranalyse erforderlich ist. Wählen die Gesetzgeber nun eine längere Frist, so erscheint diese Frist nicht als das mildeste gleich effektive Mittel, um den legitimen Zweck der Voranalyse zu erreichen. Insofern ist eine 18-monatige Frist, die bis auf drei Jahre verlängert werden kann, nicht erforderlich. Aus den gleichen Gründen ist diese auch nicht mit Grundsatz der Datenminimierung vereinbar.
Auch an der Angemessenheit der Speicherung bestehen Zweifel. Für eine Annahme der Angemessenheit würden Schutzmaßnahmen sprechen, die die Gesetzgeber gegen eine extensive Speicherung regulatorisch vorgesehen hat. Eine solche Schutzmaßnahme hätte beispielsweise die unter dem Kommissionsvorschlag vorgesehene vorherige Zustimmung des EDSB zu einer Verlängerung der Höchstspeicherfrist „in begründeten Fällen“ dargestellt. [43] Jedoch haben die Gesetzgeber das Erfordernis der EDSB-Zustimmung nicht übernommen, sondern durch eine bloße Informationspflicht ersetzt. Der EDSB hat demnach keine Möglichkeit, die Verhältnismäßigkeit einer konkreten Verlängerungsentscheidungen vor Erlass zu überprüfen.[44] Die Gesetzgeber haben die Gelegenheit verpasst, eine effektive ex-ante Kontrolle durch die externe Aufsichtsbehörde einzuführen. Unbenommen bleibt dem EDSB zwar die Möglichkeit durch die ex-post Kontrolle in Form seiner Aufsichtsmechanismen unter Art. 43 Abs. 3 Europol-VO n.F., jedoch dürfte sich das Stoppen einer Verarbeitungstätigkeit im Nachhinein als schwieriger gestalten als die Verweigerung einer vorherigen Zustimmung. Zudem ist die Intensivierung der Grundrechtsbeeinträchtigung dann bereits eingetreten, sie wird nicht von vornherein vermieden. Insofern wird mit dem Nicht-Aufgreifen des Vorschlages der EDSB-Zustimmung zur Verlängerung die Aufnahme einer Schutzmaßnahme in die Europol-VO verpasst, die der Verhältnismäßigkeit der Voranalyse hätte zuträglich sein können.
Ferner ist zu kritisieren, dass der Begriff der „begründeten Fälle“, in denen eine Verlängerung der Höchstspeicherfrist möglich ist, nicht definiert oder präzisiert wird.[45] Dies eröffnet Europol die Möglichkeit, den Begriff extensiv auszulegen, was in der Konsequenz dazu führen könnte, dass die Anwendung der eigentlichen Ausnahme der Verlängerung zur Regel wird. Somit ist die Speicherung der Daten zur Personenkategorisierung-Voranalyse in ihrer vorgesehen Form als unverhältnismäßige Einschränkung des Datenschutzgrundrechtes zu bewerten, folglich ist die Regelung primärrechtswidrig.
b) Gesetzgeberisches Verschulden
Die unverhältnismäßige Höchstverarbeitungsdauer ist Ergebnis der Trilog-Verhandlungen: Während das Europäische Parlament in seinem ersten Entwurf eine Höchstspeicherdauer von einem Jahr vorsah und damit dem Vorschlag der Kommission folgte,[46] verlängerte der Rat diese Frist auf 18 Monate.[47] Das Parlament nahm daraufhin die Verlängerung der Frist in seinen Entwurf, der Gegenstand der ersten Lesung war und schließlich angenommen wurde, auf. In Anbetracht der Tatsachen, dass die interinstitutionellen Verhandlungen zum einen zur gleichen Zeit stattfanden wie das oben beschriebene Verwarnungsverfahren des EDSB gegen Europol und dass, zum anderen, den Gesetzgebern die Bedenken des EDSB bekannt waren,[48] sind die Verlängerung auf 18 Monate und die dem zugrundeliegenden Erwägungen für die Öffentlichkeit nur bedingt nachvollziehbar.
Eine Begründung für die Änderung der Höchstspeicherfrist auf 18 Monate durch den Rat findet sich in den Gesetzesmaterialien nicht. Zwar ist die Angabe von Gründen für Entwurfsänderungen während der interinstitutionellen Verhandlungen auch nicht üblich. Dies darf aber nicht als Definitivum hingenommen werden. Für die Bürgerinnen und Bürger muss ersichtlich sein, auf wessen Initiative eine Intensivierung grundrechtsbeschränkender Maßnahmen zurückgeht und wie diese gerechtfertigt wird, um die Ausübung demokratischer Kontrolle – sei es über öffentlichen Protest oder die Stimmabgabe bei der nächsten Wahl des nationalen oder europäischen Parlaments – zu ermöglichen. Insofern stellt die Ausdehnung der Höchstspeicherfrist ein Beispiel für das Transparenzdefizit des EU-Gesetzgebungsprozesses dar.[49]
4. Zwischenfazit
Die neue Rechtsgrundlage der Voranalyse zu Zwecken der Feststellung der Personenkategorien ist aufgrund der extensiven Höchstspeicherfrist unverhältnismäßig und damit primärrechtswidrig. Aufgrund des Transparenzdefizits der Trilog-Verhandlungen ist die Länge der Speicherfrist nicht nachvollziehbar.
VI. Handlungsbedarf
Die Vorschrift des Art. 18 Abs. 6a Europol-VO n.F. stellt unter rechtsstaatlichen Gesichtspunkten eine bedenkliche Regelung dar. Die Gesetzgeber haben die Chance vertan, im Gesetzgebungsprozess Maßnahmen zur Sicherstellung der Verhältnismäßigkeit zu implementieren.
Um die Speicherung von Daten zu Zwecken der Personenkategorisierungs-Voranalyse in ein Gleichgewicht mit dem Datenschutz zu bringen, sollten verschiedene Maßnahmen ergriffen werden. Diese lassen sich in zwei Ebenen untergliedern: Änderungen der Europol-VO und die Implementierung von Maßnahmen, die keiner Änderung der Rechtsgrundlage erfordern. Angesichts der Tatsache, dass die Europol-VO erst reformiert wurde, erscheint eine zeitnahe Änderung unwahrscheinlich. Folglich sind die Änderungsvorschläge als mittelfristige Ziele zu sehen, während die Maßnahmen, die keiner Änderung der Europol-VO bedürfen, kurzfristig umgesetzt werden sollten.
1. Änderungsbedarf der Europol-VO
a) Abänderung des Art. 18 Abs. 6a Europol-VO n.F.
Allen voran wäre eine Reduzierung der Höchstspeicherdauer auf die von Europol als erforderlich angesehenen zwölf Monate zu empfehlen. Auch sollte eine ex-ante Kontrollfunktion des EDSB (Zustimmungserfordernis) aufgenommen werden.
b) Leitplanken für spezifische Datenschutzbestimmungen
An den Stellen, an denen dem Europol-Verwaltungsrat die Möglichkeit eingeräumt wird, Datenschutzschutzmaßnahmen für spezifische Verarbeitungstätigkeit zu erlassen (siehe Kapitel IV.2.), bedarf es der Schaffung konkreter Rahmenbedingungen („Leitplanken“) durch die Gesetzgeber. So sollten bezogen auf Art. 18 Abs. 6a Europol-VO n.F. z.B. Legaldefinitionen der Begriffe „unbedingt erforderlich“ oder „in begründeten Fällen“ unmittelbar in die Verordnung aufgenommen werden. Dies würde die Überprüfbarkeit der vom Verwaltungsrat erlassen spezifischen Datenschutzbedingungen durch die Aufsichtsbehörden vereinfachen.
2. Kurzfristige Maßnahmen unter dem bestehen Rechtsrahmen
a) Kategorisierung der Datensätze durch die Mitgliedstaaten
Das Problem Europols, personenbezogene Daten von illegitime Personenkategorien zu verarbeiten, folgt unmittelbar aus der Tatsache, dass die Mitgliedstaaten überhaupt erst nicht-kategorisierte Datensätze an Europol übermitteln.[50] Würden die Mitgliedstaaten die Kategorisierung stets selbst vornehmen und die Datensätze erst nach einer solchen an Europol übermitteln, wäre die Anwendung von Art. 18 Abs. 6a Europol-VO n.F. nur noch in Ausnahmefällen erforderlich, z.B. wenn eine Kategorisierung aufgrund einer dringenden Gefahr für einen Mitgliedstaat nicht möglich ist. Insofern könnte der Ausnahmecharakter erhalten bleiben. Fraglich ist in diesem Zusammenhang, warum die Behörden der Mitgliedstaaten die Datensätze, trotz der Regelung in Art. 6 JI-RL, nicht ausnahmslos kategorisieren.[51] Neben fehlenden Ressourcen kommt als Grund hierfür mangelndes technisches Fachwissen zur Durchführung automatisierter Kategorisierungen in Betracht. Zudem könnte auch die Erfahrung der nationalen Behörden, dass es unproblematisch ist, Europol nicht kategorisierte Datensätze zu übermitteln, weil Europol diese dennoch verarbeitet, ursächlich sein. Die mutmaßlichen Gründe sind inakzeptabel. Die Sicherstellung der Einhaltung von Art. 6 JI-RL liegt in der Verantwortung der Mitgliedstaaten, auch was die angemessene Bereitstellung von Ressourcen betrifft. Insofern sollte der EDSB an die nationalen Datenschutzaufsichtsbehörden appellieren, die Einhaltung von Art. 6 JI-RL strenger zu überwachen. Das neugeschaffene Kooperationsgremium der koordinierten Datenschutzaufsicht über Europol gemäß Art. 44 Abs. 2 Europol-VO n.F. i.V.m. Art. 62 VO 2018/1875 ist insofern eine geeignete Plattform, um derartige Missstände zu adressieren.
Europol sollte zudem nur in Ausnahmefällen nicht kategorisierte Daten zu Auswertezwecken annehmen. Der Europol-Verwaltungsrat sollte von seinen Befugnissen nach Art. 18 Abs. 6b Europol-VO n.F. Gebrauch machen und spezifische Datenschutzbedingungen erlassen, um den Rechtsbegriff „unbedingt erforderlich“ in Art. 18 Abs. 6a UAbs. 1 Europol-VO n.F. wie folgt zu konkretisieren: Europol darf die Verarbeitung nur dann als „unbedingt erforderlich“ ansehen, wenn ein Mitgliedstaat die Nichtkategorisierung mit dem Vorliegen einer konkreten Gefahr begründen kann. In den Bedingungen sollte genauer definiert werden, wann eine konkrete Gefahr vorliegt.
b) Künstliche Intelligenz als Chance
Europol erhält gemäß Art. 4 Abs. 1 lit. v) i.V.m. Art. 33a Europol-VO n.F. neue Befugnisse zur Durchführung von Forschungs- und Innovationstätigkeiten. Europol soll insbesondere auch technische Lösungen auf der Grundlage von Künstlicher Intelligenz (KI) erforschen.[52] Insofern könnte Europol auch die Entwicklung von KI zur Kategorisierung von Datensätzen forcieren und das Endprodukt den Mitgliedstaaten zur Verfügung stellen. Auf diese Weise könnte eine technische Lösung für die mangelnde Kategorisierung – im Sinne des Gebots des Datenschutzes durch Technikgestaltung gemäß Art. 27 VO 2018/1875 – geschaffen werden.
c) EDSB
Zweifellos wird der EDSB bei Verarbeitungen nach Art. 18 Abs. 6a Europol-VO n.F. gefragt sein. Der EDSB sollte zeitnah eine erste Information über eine Verlängerung gemäß Art. 18a Abs. 6a UAbs. 2 S. 2 Europol-VO n.F. zum Anlass nehmen, die praktische Umsetzung der Norm zu überprüfen und mit einer Entscheidung zukünftige Rahmenbedingungen für deren Anwendung schaffen. Insofern hat der EDSB die unzureichende Arbeit des Gesetzgebers auszugleichen.
In Anbetracht der Tatsache, dass die Empfehlungen des EDSB im Gesetzgebungsverfahren hinsichtlich Art. 18 Abs. 6a Europol-VO n.F. ignoriert wurden, könnte der EDSB zu dem Schluss kommen, dass er mit seinen ihm zur Verfügung stehenden Instrumenten die umfassende Einhaltung des Datenschutzes bei Europol nicht erreichen kann. Insofern könnte dem EDSB geraten werden, eine erste Nichtigkeitsklage gegen Europols Verarbeitungsbefugnis gemäß Art. 18 Abs. 6a Europol-VO n.F. vor dem EuGH zu erheben, um die Vereinbarkeit dieser Vorschrift mit dem europäischen Primärrecht überprüfen zu lassen.[53]
VII. Fazit
Europol muss aufgrund des Versäumnisses der Mitgliedstaaten, Datensätze einer Kategorisierung hinsichtlich der enthaltenen Personenkategorien zu unterziehen, selbst eine Voranalyse dieser Datensätze durchführen. Da unter der Europol-VO a.F. hierfür keine Rechtsgrundlage – und keine geeigneten Schutzmaßnahmen – vorgesehen waren, hat der EDSB die zulässige Analogie zur Art. 18 Abs. 6 Europol-VO a.F. gebildet, woraus eine Höchstspeicherdauer von sechs Monaten für die Speicherung der Datensätze gegolten hätte. Diese Entscheidung wurde durch die Einführung des Art. 18 Abs. 6a Europol-VO n.F. kassiert.
Dabei wird zwar unter den Schutzmaßnahmen auch eine Höchstspeicherdauer vorgesehen, deren Ausgestaltung verletzt aber das EU-Primärrecht. Eine Höchstspeicherfrist von 18 Monaten mit Verlängerungsoption ist nach der eigenen Wertung Europols nicht erforderlich und verstößt damit gegen das Verhältnismäßigkeitsprinzip. Die Maßnahme greift damit in unzulässigerweise in das Datenschutzgrundrecht und das Recht auf ein faires Verfahren ein.
Um den Zeitraum bis zu einer erneuten Reform der Europol-VO – in welcher diese Speicherdauer reduziert werden muss – zu überbücken, liegt es daher an dem Europol-Verwaltungsrat, strikte spezifische Datenschutzbestimmungen zu definieren. Zudem ist an die Mitgliedstaaten zu appellieren, konsequent alle Datensätze vor Übermittlung an Europol zu kategorisieren. Hierzu kann Europol durch die Entwicklung von KI-Lösungen einen Beitrag leisten.
Abzuwarten bleibt, ob der EDSB den EuGH anrufen wird, um die Nichtigkeit des Art. 18 Abs. 6a Europol-VO n.F. feststellen zu lassen. Leittragende der unzureichenden Reform der Europol-VO sind zum einen die Bürgerinnen und Bürger, deren Daten unverhältnismäßig lange gespeichert werden, zum anderen Europol, drohen derart grundrechtsinvasive Datenverarbeitungsbefugnisse doch die Reputation der Agentur und das Vertrauen der Öffentlichkeit in ihre Integrität nachhaltig zu schädigen.
[1] Spiegel, Europas Datenmonster, 10.1.2022, online abrufbar unter: https://www.spiegel.de/ausland/europaeische-polizeibehoerde-europol-europas-datenmonster-a-751264bd-152c-4e49-82e3-cc84a10c22ab (zuletzt abgerufen am 18.8.2022).
[2] EDSB, Decision on the retention by Europol of datasets lacking Data Subject Categorisation (Cases 2019-0370 & 2021-0699), 3.1.2022, online abrufbar unter: https://edps.europa.eu/system/files/2022-01/22-01-10-edps-decision-europol_en.pdf (zuletzt abgerufen am 18.8.2022).
[3] Golem, Europol wird zur Big-Data-Polizei, 24.5.2022, online abrufbar unter: https://www.golem.de/news/neue-verordnung-europol-wird-zur-big-data-polizei-2205-165634.html (zuletzt abgerufen am 18.8.2022).
[4] Bisher: Verordnung (EU) 2016/794, L 135/5 (nachfolgend: Europol-VO a.F.).
[5] Verordnung (EU) 2022/991, L 169/1 zur Änderung der Verordnung (EU) 2016/794.
[6] Sofern Normzitate mit „Europol-VO“ angeführt werden, bezieht sich dies auf Regelungen, die keiner Änderungen durch die VO zur Änderung der Europol-VO unterlagen.
[7] Gelistet werden mehr als 30 Kriminalitätsformen. Nach Milazzo gibt es keine Kriminalitätsform, die nicht unter diese Liste subsumiert werden könne, Milazzo, in: Blanke/Mangiameli, TFEU (2021), Art. 88 Rn. 8.
[8] Ellermann/Rexin, in: Momsen/Grützner, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2020), S. 148 Rn. 20.
[9] Gutiérrez Zarza, in: Gutiérrez Zarza, Informationsaustausch und Datenschutz in grenzüberschreitenden Strafverfahren in Europa, 2015, S. 91; Davoli, Polizeiliche Zusammenarbeit, 2021, S. 4.
[10] Verordnung (EU) 2018/1725, L 295/39 zum Schutze natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtung und sonstige Stellen der Union. Die Europol-VO ist gegenüber der VO 2018/1725 hinsichtlich der Verarbeitung von operativen personenbezogenen Daten lex specialis, Art. 27a Abs. 1 Europol-VO n.F.. Die Europol-VO n.F. verweist bezüglich der Grundprinzipien und Definitionen auf die VO 2018/1725.
[11] Vgl. Drechsler, The Achilles Heel of EU Data Protection in a Law Enforcement Context: International Transfers under appropriate safeguards in the Law Enforcement Directive, 2020, S. 48.
[12] Wolff, in: BeckOK Datenschutzrecht, 40. Ed. (2021), Syst. A. Rn. 42.
[13] Aden, in: Lisken/Denninger, Handbuch des Polizeirechts, 7. Aufl. (2021), Kapt. M Rn. 215.
[14] Quintel, EDPL 2022, 90 (94).
[15] EGMR, Urt. v. 4.12.2008 30562/04 und 30566/04, Rn. 99, 103.
[16] Vgl. EDSB (Fn. 2), Rn. 4.7.
[17] Peglow, der kriminalist (5) 2022, 3.
[18] EDSB (Fn. 2), Rn. 2.2., 4.5.
[19] EDSB (Fn. 2), Rn. 3.9.
[20] EDSB (Fn. 2), Rn. 4.16.
[21] EDSB (Fn. 2), Rn. 4.18.
[22] Vgl. Grüneberg, in: Grüneberg, BGB, 81. Aufl. (2022), Einl. Rn. 48.
[23] Vgl. z.B. EuGH, Urt. v. 28.11.1978 97/78; Ukrow, Richterliche Rechtsfortbildung durch den EuGH, 1995, S. 123 f.
[24] Vgl. Grüneberg, in: Grüneberg, BGB, Einl. Rn. 55.
[25] Richtlinie (EU) 2016/680 zum Datenschutz durch Strafverfolgungsbehörden, L 119/89.
[26] EDSB (Fn. 2), Rn. 4.7.
[27] Vgl. zur nachträglichen Regelungslücke BGHZ 192, 148.
[28] BGH, NJW 1988, 2734.
[29] In Ergänzung zu Art. 4 Abs. 2 S. 2 EUV ordnet Art. 72 AEUV an, dass die Vorschriften betreffend den Raum der Freiheit, der Sicherheit und des Rechts (Art. 67 bis 89 AEUV) die Zuständigkeiten der Mitgliedstaaten für die öffentliche Ordnung und den Schutz der inneren Sicherheit nicht berühren dürfen; vgl. auch Röben, in Grabnitz/Hilf/Nettesheim, 75. EL (2022), AEUV Art. 88 Rn. 11.
[30] Vgl. BGH, NJW 1988, 2734.
[31] EuGH, Urt. v. 21.12.2016 – C-203/15 und C-698/15, Rn. 108.
[32] EDSB (Fn. 2), Rn. 2.5., 2.8.
[33] EDSB (Fn. 2), Rn. 2.6, 2.7, 2.9.
[34] EDSB (Fn. 2), Rn. 2.14.
[35] EDSB (Fn. 2), S. 13, Anordnung Nr. 1.
[36] EDSB (Fn. 2), S. 13, Anordnung Nr. 2.
[37] Vorschlag für eine Verordnung zur Änderung der Verordnung (EU) 2016/794, COM/2020/796 final, 9.12.2020, 2020/0349 (COD).
[38] EU-Kommission, Pressemitteilung v. 1.2.2022, online abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_673 (zuletzt abgerufen am 18.8.2022).
[39] Europäisches Parlament, Pressemittelung v. 4.5.2022, abrufbar unter: https://www.europarl.europa.eu/news/en/press-room/20220429IPR28234/parliament-backs-giving-more-powers-to-europol-but-with-supervision (zuletzt abgerufen am 18.8.2022).
[40] Rat der EU, Pressemitteilung v. 24.5.2022, online abrufbar unter: https://www.consilium.europa.eu/en/press/press-re-leases/2022/05/24/europol-le-conseil-adopte-une-legislation-confiant-de-nouvelles-taches-a-l-agence/ (zuletzt abgerufen am 18.8.2022).
[41] Art. 2 Verordnung zur Änderung der Europol-VO. Zur Übersicht der Änderungen siehe Rat der EU (Fn. 40).
[42] EDSB (Fn. 2), Rn. 2.14.
[43] Art. 18 Abs. 5a UAbs. 2 des Kommissionsvorschlags (Fn. 37).
[44] Quintel, EDPL 2022, 90 (97).
[45] Vgl. EDSB, Stellungnahme 4/2001 Rn. 25, online abrufbar unter: https://edps.europa.eu/system/files/2021-04/21-03-08_opinion_europol_reform_de.pdf (zuletzt abgerufen am 18.8.2022).
[46] Europäisches Parlament. Bericht Entwurf einer legislativen Entschließung des EP, A9-0290/2021, 15.102021, Änderungsantrag 86, https://www.europarl.europa.eu/doceo/document/A-9-2021-0290_EN.html (zuletzt abgerufen am 5.6.2022).
[47] Rat der EU, 2020/0349(COD), ST 10414 2021 INIT, 25.10.2021, online abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=COnSIL:ST_10414_2021_INIT&from=EN (zuletzt abgerufen am 18.8.2022).
[48] EDSB (Fn. 45), Stellungnahme im Gesetzgebungsverfahren am 8.3.2021.
[49] Zu den Transparenz- und damit Demokratiedefiziten der interinstitutionellen Verhandlungen vgl. Curtin and Leino, CMLRev 2017, 1673 und von Achenbach, NJW-Editorial, Heft 23/2022.
[50] Obwohl die Voranalyse gemäß Art. 18 Abs. 6a Europol-VO n.F. auch für Daten gilt, die Europol beispielsweise von einer privaten Partei oder einer Open-Source-Ressource erhält, wird die Einführung der Rechtsgrundlage häufig durch den Erhalt großer Datensätze von den Mitgliedstaaten gerechtfertigt, vgl. ErwGr 22 VO zur Änderung der Europol-VO.
[51] Quintel, EDPL 2022, 90 (101).
[52] ErwGr 49 VO zur Änderung der Europol-VO.
[53] Nach Art. 43 Abs. 3 lit. h) Europol-VO i.V.m. Art. 263 UAbs. 5 AEUV hat der EDSB die Befugnis, den EuGH anzurufen.