Wie weit darf die EU bei der Überwachung von Asylsuchenden an ihren Grenzen gehen? Griechenland testet das in neuen Lagern auf den Ägäischen Inseln. Nun hat die griechische Datenschutzbehörde dafür eine Strafe verhängt. Bürgerrechtler:innen hoffen auf eine Entscheidung mit Signalwirkung.
Doppelter „Nato-Sicherheitszaun“ mit Stacheldraht. Kameras, die selbst den Basketballplatz und die Gemeinschaftsräume rund um die Uhr im Blick haben. Drohnen sorgen für Überwachung aus der Luft. Das Lager auf Samos, das die griechische Regierung 2021 mit viel Getöse eröffnet hat, gleicht eher einem Gefängnis als einer Erstaufnahme für Asylsuchende, die gerade in Europa gelandet sind.
Das Überwachungssystem, das in diesem und vier weiteren Lagern auf den griechischen Inseln für „Sicherheit“ sorgen soll, heißt Centaurus. Die Bilder aus den Sicherheitskameras und Drohnen laufen in einem Kontrollzentrum im Ministerium in Athen zusammen. Bei besonderen Situationen sollen auch Polizeibehörden oder die Feuerwehr direkten Zugang zu den Aufnahmen bekommen. Mit dem System Hyperion wird der Zugang zum Lager kontrolliert: biometrischen Eingangstore, die sich nur mit Fingerabdrücken öffnen lassen.
Für den Einsatz dieser Technologien ohne vorherige Grundrechtsprüfung hat das Ministerium nun eine Strafe kassiert. Die griechische Datenschutzaufsicht sieht einen Verstoß gegen Datenschutzgesetze in der EU (DSGVO). In einem lang erwarteten Beschluss belegte sie vergangene Woche das Ministerium für Migration und Asyl mit einem Bußgeld von 175.000 Euro.
Erst eingesetzt, dann Folgen abgeschätzt
Zwei konkrete Punkte führten laut Datenschutzbehörde zu der Entscheidung: Das Ministerium hat es versäumt, rechtzeitig eine Datenschutz-Folgenabschätzung zu erstellen. Gemeint ist damit eine Bewertung, welche Auswirkungen der Einsatz der Überwachung auf die Grundrechte der betroffenen Personen hat. Es geht um die Asylsuchenden, die in den Lagern festgehalten werden, aber auch Angestellte, Mitarbeitende von NGOs oder Gäste, die das Lager betreten.
Eine solche Abschätzung hätte bereits vor der Anschaffung und dem Einsatz der Technologien vollständig vorliegen müssen, schreibt die Aufsichtsbehörde in ihrer Entscheidung. Stattdessen ist sie bis heute unvollständig: Ein Verstoß gegen die Artikel 25 und 35 der Datenschutzgrundverordnung, für die die Behörde eine Geldbuße in Höhe von 100.000 Euro verhängt.
Zusätzlich wirft die Behörde dem Ministerium Intransparenz vor. Dokumente hätten beispielsweise verwirrende und widersprüchliche Angaben enthalten. Verträge mit den Unternehmen, die die Überwachungssysteme betreiben, hätte das Ministerium mit Verweis auf Geheimhaltung gar nicht herausgegeben, und damit auch keine Details zu den Bedingungen, zu denen die Daten verarbeitet werden. Wie diese Systeme mit anderen Datenbanken etwa zur Strafverfolgung verknüpft sind, ob also Aufnahmen und biometrische Daten auch bei der Polizei landen könnten, das wollte das Ministerium ebenfalls nicht mitteilen. Dafür verhängte die Aufsichtsbehörde weitere 75.000 Euro Strafe.
Ministerium: Systeme noch in der Testphase
Das Ministerium rechtfertigt sich: Centaurus und Hyperion seien noch nicht vollständig in Betrieb, man befinde sich noch in der Testphase. Die Aufsichtsbehörde habe nicht bedacht, dass „die Verarbeitung personenbezogener Daten nicht bewertet werden konnte, bevor die Systeme in Betrieb genommen wurden“. Hinzu kämen Pflichten zur Geheimhaltung, die sich aus den Verträgen mit den Unternehmen hinter den beiden Systemen ergeben.
Die Behörde hat das nicht durchgehen lassen: Rein rechtlich mache es keinen Unterschied, ob ein System noch getestet wird oder im Regelbetrieb sei, schriebt sie in ihrer Entscheidung. Die Abschätzung hätte weit vorher, nämlich bereits bei Abschluss der Verträge, vorliegen müssen. Noch dazu würden diese Verstöße eine große Zahl an Menschen betreffen, die sich in einer besonders schutzlosen Lage befänden.
Abschalten muss das Ministerium die Überwachungssysteme allerdings nicht, sie bleiben in Betrieb. Es muss lediglich binnen drei Monaten den Forderungen nachkommen und fehlende Unterlagen liefern. Das Ministerium kündigt an, die Entscheidung rechtlich überprüfen und möglicherweise anfechten zu wollen.
Geheimhaltungspflicht keine Ausrede
„Die Entscheidung ist sehr wichtig, weil sie einen sehr hohen Standard dafür setzt, wann und wie eine Datenschutz-Folgenabschätzung erfolgreich durchgeführt werden muss, sogar vor der Auftragsvergabe“, sagt Eleftherios Helioudakis. Er ist Anwalt bei der griechischen Organisation Homo Digitalis und beschäftigt sich mit den Auswirkungen von Technologien auf Menschenrechte. Eine Beschwerde von Homo Digitalis und weiteren Vereinen aus dem Jahr 2022 hatte die Untersuchung angestoßen.
Helioudakis sagt, die Entscheidung mache deutlich, dass mangelnde Kommunikation mit der Datenschutzbehörde zu hohen Geldstrafen führen kann. Außerdem sei nun klar: Das Ministerium kann Vertragsklauseln zum Datenschutz nicht aus Gründen der Geheimhaltung vor der Datenschutzbehörde verbergen, denn für deren Untersuchungen ist die Geheimhaltungspflicht aufgehoben – wie es die DSGVO vorsieht. Das Urteil der Behörde beziehe sich zudem erst mal nur auf die Mängel bei der Einführung der Systeme, so der Bürgerrechtler. Es könnten also neue Fälle bei der Datenschutzbehörde anhängig gemacht werden.
Die Sanktionen sind laut der Hilfsorganisation Hias die höchsten, die die Datenschutzbehörde je gegen den griechischen Staat verhängt hat. In der Summe fallen die Strafzahlungen allerdings gering aus. Sind die Datenschutzregeln der EU wirklich das geeignete Instrument, um die Rechte von Asylsuchenden zu schützen? Eleftherios Helioudakis sagt ja. „Die gesetzlichen Bestimmungen der Datenschutz-Grundverordnung sind Instrumente, mit denen wir die Bestimmungen zum Schutz personenbezogener Daten praktisch durchsetzen können.“ Es gebe keine richtigen und falschen Ansätze. „Wir können die uns zur Verfügung stehenden juristischen Instrumente nutzen, um unsere Strategie zu bündeln und uns gegen übergriffige Praktiken zu wehren.“
Die Lager auf den Ägäischen Inseln werden vollständig von der EU finanziert und gelten als „Modell“. Nach ihrem Vorbild plant die EU in den kommenden Jahren weitere Lager an ihren Außengrenzen zu errichten. Die Entscheidung der griechischen Datenschutzaufsicht wird von der Kommission vermutlich mit Interesse verfolgt. Sie macht deutlich, unter welchen Voraussetzungen Überwachungstechnologien in diesen Camps eingesetzt werden können.