Grenzschutzbehörde Frontex verarbeitet illegal Daten von Migranten

Die EU-Grenzschutzagentur Frontex verarbeitet personenbezogene Daten von Migranten und verstößt damit gegen EU-Recht und ihr eigenes Mandat. Dies geht aus einem Schreiben des Europäischen Datenschutzbeauftragten (EDSB) hervor, das Euractiv vorliegt.

Der Vorstand von Frontex hat Ende 2021 interne Regeln zur Verarbeitung personenbezogener Daten angenommen. Im Juni 2022 gab der EDSB zwei unverbindliche Stellungnahmen ab, die Euractiv einsehen konnte. Darin forderte er Frontex auf, einige Bestimmungen zu verbessern, um dem Mandat von Frontex und dem EU-Datenschutzrahmen gerecht zu werden.

Interne Regeln sollen die Anwendung der Frontex-Verordnung bei Einsätzen vor Ort klären.

Die beiden Stellungnahmen wurden von Frontex berücksichtigt. Nach Ansicht des EDSB entsprechen die Entwürfe der Vorschriften, die in Kürze angenommen werden sollen, jedoch nicht der Verordnung, da sie Tätigkeiten beschreiben, zu denen die EU-Grenzagentur nicht berechtigt ist.

Im August sandte der Datenschutzbeauftragte ein Schreiben an den Direktor von Frontex, Hans Leijtens, das Euractiv durch einen Antrag auf Informationsfreiheit erhalten hat. Darin wies er darauf hin, dass die EU-Grenzschutzagentur zwar einige Teile der Stellungnahmen berücksichtigt habe, andere Empfehlungen jedoch nicht umgesetzt worden seien und einige Teile nicht den EU-Datenschutzstandards entsprächen.

„Die Art und Weise, wie alle von Frontex durchgeführten Datenverarbeitungstätigkeiten in den [vom Frontex-Verwaltungsrat entworfenen] allgemeinen Vorschriften erfasst werden, wirkt sich negativ auf eine klare Zuweisung der Datenschutzverantwortlichkeiten aus“, heißt es in dem Schreiben, das von Wojciech Rafał Wiewiórowski, dem Europäischen Datenschutzbeauftragten seit Dezember 2019, unterzeichnet ist.

„Insbesondere sind mehrere Bestimmungen so formuliert, dass es an Klarheit über den genauen Umfang solcher Tätigkeiten mangelt, insbesondere in Bezug darauf, welche Daten zu welchem Zweck und unter welchem anwendbaren Datenschutzrahmen erhoben und weiterverarbeitet werden können“, fügte er hinzu.

Zum Beispiel, so Wiewiórowski, erlauben die entworfenen Regeln der EU-Grenzschutzagentur „eine breite Palette von Kategorien personenbezogener Daten im Rahmen einer gemeinsamen Operation zu verarbeiten, ohne zu spezifizieren, zu welchem Zweck und in welcher Rolle [Verantwortlicher oder Auftragsverarbeiter] Frontex jede Datenkategorie verarbeiten darf.“

Der Mangel an Klarheit über die Rolle von Frontex bei der Sammlung und Verarbeitung personenbezogener und sogar sensibler Daten schafft ein Problem bei der Definition der „Rechtsgrundlage“ ihrer Tätigkeit vor Ort.

Frontex erklärte gegenüber Euractiv, dass die Agentur „einen ständigen Dialog mit dem Europäischen Datenschutzbeauftragten über die Verarbeitung personenbezogener Daten unterhält. Die Agentur ist bestrebt, alle ihre Aktivitäten in Übereinstimmung mit den Datenschutzbestimmungen und unter Wahrung der Grundrechte durchzuführen.“

Ein Dauerthema

Die EU-Aufsichtsbehörde hat bereits bei mehreren Gelegenheiten Bedenken über die Arbeitsweise von Frontex bei der Datenverarbeitung geäußert. Zuletzt geschah dies im Mai 2023, als sie die Ergebnisse eines Besuchs des EDSB in der Frontex-Zentrale im Oktober 2022 veröffentlichte.

Der Bericht enthüllte, dass die Erhebung personenbezogener Daten vor Ort während der Befragung von Migranten (die Hauptquelle der Daten von Frontex während gemeinsamer Operationen) verschiedene Probleme aufwirft, wie den nicht freiwilligen Charakter der Befragungen, die der EDSB feststellte, und den mangelnden Schutz der Identität der befragten Personen.

Darüber hinaus stellte der Datenschutzbeauftragte fest, dass Frontex die Berichte über die Nachbesprechung direkt an andere EU-Strafverfolgungsbehörden (Europol und Eurojust) und nationale Behörden weitergab, ohne die Notwendigkeit einer solchen Weitergabe zu prüfen. Diese Praxis verstoße gegen die EU-Gesetzgebung, so der EDSB, der im vergangenen Juni eine Untersuchung in dieser Angelegenheit eingeleitet hat.

Europol ist für die Zusammenarbeit der Strafverfolgungsbehörden zuständig, während Eurojust eine EU-Agentur ist, die für die Zusammenarbeit in Straffällen zuständig ist.

Profiling von Verdächtigen

Nach Ansicht des EDSB ist Frontex keine Strafverfolgungsbehörde. Daher kann sie im Gegensatz zu „anderen EU-Strafverfolgungsbehörden keine kriminelle Analyse für ihre eigenen Zwecke durchführen.“

Aus diesem Grund sieht der Datenschutzbeauftragte die Beurteilung von Frontex, ob eine Person rechtlich als „Verdächtiger“ identifiziert werden kann, und die anschließende Übermittlung der Daten an EU-Agenturen und nationale Strafverfolgungsbehörden, ohne zu prüfen, ob eine solche Übermittlung wirklich notwendig ist, als problematisch an.

Darüber hinaus ist unklar, ob die Identifizierung von Verdächtigen durch die EU-Grenzschutzagentur „auf Fakten oder auf einer persönlichen Einschätzung beruht“, heißt es in dem Schreiben. Das gleiche Problem besteht bei der rechtlichen Definition von „Zeugen“ und „Kontakten“ sowie „Verbündeten“ der Verdächtigen.

Spezifische Datenkategorien

Der EDSB stellte in dem Schreiben fest, dass die „Rechtsgrundlage“, auf der Frontex besondere Datenkategorien wie politische Ansichten, religiöse Überzeugungen und sexuelle Orientierung verarbeitet, nicht solide genug ist.

Andere Bedenken bezogen sich auf die Berücksichtigung von Daten, die auf Schiffen und in Flugzeugen gesammelt werden. Laut Frontex werden diese nicht als personenbezogene Daten betrachtet, während der EDSB behauptet, dass dies in der Tat der Fall sei. Bei diesen Daten kann es sich beispielsweise um Sprachaufzeichnungen oder Bilder handeln, die der EDSB als „besonders sensibel“ definiert.

Der EDSB könnte Frontex wegen der angeblichen Verstöße gegen das Datenschutzrecht vor dem EU-Gerichtshof verklagen, wenn nicht umgehend Abhilfemaßnahmen ergriffen werden. Dies sei jedoch nur ein allerletztes Mittel.

[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic/Kjeld Neubert]