Weiteres Datenleck bei der EU-Polizeiagentur Europol
der Abgeordneten Andrej Hunko, Wolfgang Gehrcke, Annette Groth, Inge Höger, Dr. Alexander S. Neu, Dr. Petra Sitte, Alexander Ulrich und der Fraktion DIE LINKE.
Vorbemerkung
Nach Berichten des niederländischen Fernsehsenders ZEMBLA gelangten vertrauliche Informationen der EU-Polizeiagentur Europol in Den Haag ins Internet. Eine Mitarbeiterin hat demnach eingestufte Informationen mit nach Hause genommen und digitale Kopien auf einem Netzlaufwerk angefertigt. Der Datenträger von Lenovo sei mit dem Internet verbunden gewesen. Laut Wil van Gemert, dem ehemaligen niederländischen Geheimdienstchef und jetzigen stellvertretenden Direktor von Europol, ist nicht ausgeschlossen, dass außer dem Sender weitere Parteien Einblick in die Daten gehabt hätten. Eine Untersuchung soll nun klären, warum die von der niederländischen Polizei zu Europol entsandte Mitarbeiterin die Daten mitnahm und kopierte. Die Frau arbeitete bereits seit elf Jahren für Europol. Laut einem Sprecher von Europol verfüge die Agentur eigentlich über ein „sehr robustes System“, um die gespeicherten Informationen zu schützen. Deshalb sollten nun die Sicherheitsprotokolle überprüft werden.
Bereits im Jahr 2012 kamen Europol Daten abhanden; auch damals wurden diese auf einem Netzlaufwerk gespeichert (www.computable.nl vom 10. Dezember 2012, „Orange blundert bij Europol met Iomega-lek“). Laut dem britischen Sender BBC vom 30. November 2016 nimmt der noch amtierende Europol-Direktor Rob Wainwright, ein ehemaliger Analyst des Geheimdienstes MI5, jetzt an einem Seminar zu Onlinesicherheit und Datenschutz teil („Secret Europol terror data found online“).
Wir fragen die Bundesregierung:
Fragen17
Wie bewertet die Bundesregierung die derzeitige Sicherheit der auch von deutschen Behörden gelieferten sensiblen Informationen bei Europol?
Wann und von wem wurde die Bundesregierung über das jüngste Datenleck bei der EU-Polizeiagentur Europol informiert, und welchen Inhalt hatte diese erste Mitteilung?
Welche weiteren Mitteilungen erfolgten seitdem, und welchen Inhalt hatten diese?
Auf welchem Weg bzw. über welche Datenträger gelangten die Daten nach Kenntnis der Bundesregierung ins Internet und schließlich zum Fernsehsender ZEMBLA, und wer ist nach gegenwärtigem Stand der Erkenntnisse für das Datenleck verantwortlich?
Inwiefern trifft nach Kenntnis der Bundesregierung der TV-Medienbericht von ZEMBLA vom 30. November 2016 zu oder nicht zu, wonach die Polizeibeamtin die Daten zuerst auf einen USB-Stick kopierte, diese anschließend auf ihrem Laptop speicherte und die Daten des Laptop schließlich als Sicherungskopie auf das Netzlaufwerk gelangten?
Für welche Datenbestände (etwa das Europol-Informationssystem oder die Analysedateien) bei Europol ist es nach Kenntnis der Bundesregierung technisch möglich, diese auf ein externes Laufwerk zu kopieren, und für welche Datenbestände ist dies nicht möglich?
Wie viele Datensätze in welcher Größe und zu wie vielen Ermittlungen waren nach Kenntnis der Bundesregierung von dem jüngsten Datenleck betroffen?
a) Aus welchen Europol-Dateien stammten die abhandengekommenen Daten?
b) Welche Einstufungen trugen diese?
c) Welche Tatkomplexe waren vornehmlich betroffen?
d) Wie viele Personendatensätze enthielten die Daten?
e) Wie viele der abhandengekommenen Daten stammten von deutschen Behörden?
Welche Abteilung bei Europol führt die angekündigte Untersuchung durch, und welche weiteren Partner, etwa private Firmen, sind daran beteiligt?
a) Welche Parteien hatten nach Kenntnis der Bundesregierung nach jetzigem Stand der Erkenntnisse Einblick in die Daten?
b) Wann soll der Abschlussbericht der Untersuchung vorliegen?
Welche weiteren Datenverluste von Agenturen der Europäischen Union (insbesondere Europol, Frontex, EASO und eu-LISA) sind der Bundesregierung aus den vergangenen fünf Jahren bekannt?
a) Welche Einstufungen trugen die Daten?
b) Wer war für die etwaigen Datenlecks verantwortlich, und auf welchem Weg bzw. über welche Datenträger gelangten die Daten nach außen?
c) Wie viele Personendatensätze enthielten die Daten?
d) Wie viele der abhandengekommenen Daten stammten von deutschen Behörden?
Was ist der Bundesregierung darüber bekannt, auf welche Weise die Regierung Dänemarks sicherstellt, dass nach dem erfolgreichen Angriff auf dänische IT-Systeme, bei dem auch circa 1,2 Millionen Datensätze des Schengener Informationssystems (SIS) das Eindringen in die nationale SIS-Schnittstelle zumindest erschwert wird, indem, wie von der dänischen Polizei erklärt, die „ausgenutzte Sicherheitslücke“ geschlossen wurde (s. Plenarprotokoll 18/7)?
a) Welche Details über die Sicherheitslücke und die Art des Angriffs sind der Bundesregierung mittlerweile bekannt?
b) Was ist der Bundesregierung darüber bekannt, in welchen Ländern der externe IT-Dienstleister CSC, der zum Zeitpunkt des Angriffs neben anderen Anwendungen für die öffentliche Verwaltung Dänemarks auch das nationale Schengener Informationssystem Dänemarks betrieben hat, weitere EU-Datenbanken bzw. deren Schnittstellen betreibt?
c) Was ist der Bundesregierung darüber bekannt, welche „Hintertür“ die Europäische Kommission der dänischen Regierung anbot, trotz des Referendums zum Ausstieg weiterhin bei der Polizeiagentur Europol mitarbeiten zu können („EU offers Denmark backdoor to Europol“, https://euobserver. com vom 8. Dezember 2016)?
Welche Auswirkungen hat aus Sicht der Bundesregierung das Urteil des zweiten US-Berufungsgerichts vom 14. Juli 2016, das entschied, dass US-Cloud-Anbieter mit Sitz in Europa nicht aufgrund der bestehenden nationalen Gesetzgebung der USA gezwungen werden können, personenbezogene Daten ihrer Kunden herauszugeben, für die Strafverfolgungs- und Justizbehörden der EU, die ihrerseits Direktanfragen zur Herausgabe elektronischer Beweismittel bei Internetanbietern mit Sitz in den USA fordern?
a) Was ist der Bundesregierung über die Ergebnisse einer Prüfung dieser Auswirkungen durch die EU-Agenturen Eurojust oder Europol bekannt?
b) Welche Verfahren und Strategien verfolgen der Rat und die Kommission derzeit für die Umsetzung der Möglichkeit von Direktanfragen bei Internetanbietern in den USA?
Wie viele Datensätze enthalten die Europol-Arbeitsdateien „Hydra“ und „Travellers“ zum Stichtag 1. Dezember 2016, und wie viele Personen sind dort gespeichert?
Wie viele Datensätze enthält das Europol-Informationssystem zu „ausländischen terroristischen Kämpfern“, und wie viele Personen sind dort gespeichert?
Was ist der Bundesregierung darüber bekannt, inwiefern die „Meldestelle für Internetinhalte“ („EU Internet Referral Unit“) bei Europol die Möglichkeit umsetzen wird, gemäß der neuen Europol-Verordnung (ABl. L 153 vom 24. Mai 2016, S. 35) ab dem 1. Mai 2017 auch mit privaten FirmenPersonendaten auszutauschen?
a) Wie viele der gefundenen Internetinhalte zu „Extremismus/Terrorismus“ und „illegale Migration“ fand die Meldestelle durch eigene Recherchen, und wie viele stammten von Behörden der Mitgliedstaaten?
b) Inwiefern wird auf EU-Ebene darüber diskutiert, die Zuständigkeit der Meldestelle auf andere Kriminalitätsphänomene bzw. Erscheinungsformen von „Hate Speech“ auszuweiten, und welche Haltung vertritt die Bundesregierung hierzu?
Was ist nach Kenntnis der Bundesregierung damit gemeint, wenn ein Sprecher von Europol gegenüber dem Sender ZEMBLA davon spricht, Europol verfüge über ein „sehr robustes System“, um die gespeicherten Informationen zu schützen?
Was ist der Bundesregierung über die Beschaffenheit eines neuen Geheimschutzraums bei Europol bekannt, und aus welchem Grund wurde dieser eingerichtet?
Was ist der Bundesregierung darüber bekannt, aus welchem Grund der noch amtierende Europol-Direktor Rob Wainwright wie von BBC berichtet an einem Seminar zu Onlinesicherheit und Datenschutz teilnimmt?