Vom 14. Dezember 2016
Deutscher Bundestag Drucksache 18/10717
18. Wahlperiode 14.12.2016
Kleine Anfrage
der Abgeordneten Andrej Hunko, Wolfgang Gehrcke, Annette Groth,
Inge Höger, Dr. Alexander S. Neu, Dr. Petra Sitte, Alexander Ulrich und
der Fraktion DIE LINKE.
Weiteres Datenleck bei der EU-Polizeiagentur Europol
Nach Berichten des niederländischen Fernsehsenders ZEMBLA gelangten ver-
trauliche Informationen der EU-Polizeiagentur Europol in Den Haag ins Internet.
Eine Mitarbeiterin hat demnach eingestufte Informationen mit nach Hause ge-
nommen und digitale Kopien auf einem Netzlaufwerk angefertigt. Der Datenträ-
ger von Lenovo sei mit dem Internet verbunden gewesen. Laut Wil van Gemert,
dem ehemaligen niederländischen Geheimdienstchef und jetzigen stellvertreten-
den Direktor von Europol, ist nicht ausgeschlossen, dass außer dem Sender wei-
tere Parteien Einblick in die Daten gehabt hätten. Eine Untersuchung soll nun
klären, warum die von der niederländischen Polizei zu Europol entsandte Mitar-
beiterin die Daten mitnahm und kopierte. Die Frau arbeitete bereits seit elf Jahren
für Europol. Laut einem Sprecher von Europol verfüge die Agentur eigentlich
über ein „sehr robustes System“, um die gespeicherten Informationen zu schüt-
zen. Deshalb sollten nun die Sicherheitsprotokolle überprüft werden.
Bereits im Jahr 2012 kamen Europol Daten abhanden; auch damals wurden diese
auf einem Netzlaufwerk gespeichert (www.computable.nl vom 10. Dezember
2012, „Orange blundert bij Europol met Iomega-lek“). Laut dem britischen Sen-
der BBC vom 30. November 2016 nimmt der noch amtierende Europol-Direktor
Rob Wainwright, ein ehemaliger Analyst des Geheimdienstes MI5, jetzt an einem
Seminar zu Onlinesicherheit und Datenschutz teil („Secret Europol terror data
found online“).
Wir fragen die Bundesregierung:
1. Wie bewertet die Bundesregierung die derzeitige Sicherheit der auch von
deutschen Behörden gelieferten sensiblen Informationen bei Europol?
2. Wann und von wem wurde die Bundesregierung über das jüngste Datenleck
bei der EU-Polizeiagentur Europol informiert, und welchen Inhalt hatte diese
erste Mitteilung?
3. Welche weiteren Mitteilungen erfolgten seitdem, und welchen Inhalt hatten
diese?
4. Auf welchem Weg bzw. über welche Datenträger gelangten die Daten nach
Kenntnis der Bundesregierung ins Internet und schließlich zum Fernsehsen-
der ZEMBLA, und wer ist nach gegenwärtigem Stand der Erkenntnisse für
das Datenleck verantwortlich?
http://www.computable.nl/
Drucksache 18/10717 – 2 – Deutscher Bundestag – 18. Wahlperiode
5. Inwiefern trifft nach Kenntnis der Bundesregierung der TV-Medienbericht
von ZEMBLA vom 30. November 2016 zu oder nicht zu, wonach die Poli-
zeibeamtin die Daten zuerst auf einen USB-Stick kopierte, diese anschlie-
ßend auf ihrem Laptop speicherte und die Daten des Laptop schließlich als
Sicherungskopie auf das Netzlaufwerk gelangten?
6. Für welche Datenbestände (etwa das Europol-Informationssystem oder die
Analysedateien) bei Europol ist es nach Kenntnis der Bundesregierung tech-
nisch möglich, diese auf ein externes Laufwerk zu kopieren, und für welche
Datenbestände ist dies nicht möglich?
7. Wie viele Datensätze in welcher Größe und zu wie vielen Ermittlungen wa-
ren nach Kenntnis der Bundesregierung von dem jüngsten Datenleck betrof-
fen?
a) Aus welchen Europol-Dateien stammten die abhandengekommenen Da-
ten?
b) Welche Einstufungen trugen diese?
c) Welche Tatkomplexe waren vornehmlich betroffen?
d) Wie viele Personendatensätze enthielten die Daten?
e) Wie viele der abhandengekommenen Daten stammten von deutschen Be-
hörden?
8. Welche Abteilung bei Europol führt die angekündigte Untersuchung durch,
und welche weiteren Partner, etwa private Firmen, sind daran beteiligt?
a) Welche Parteien hatten nach Kenntnis der Bundesregierung nach jetzigem
Stand der Erkenntnisse Einblick in die Daten?
b) Wann soll der Abschlussbericht der Untersuchung vorliegen?
9. Welche weiteren Datenverluste von Agenturen der Europäischen Union (ins-
besondere Europol, Frontex, EASO und eu-LISA) sind der Bundesregierung
aus den vergangenen fünf Jahren bekannt?
a) Welche Einstufungen trugen die Daten?
b) Wer war für die etwaigen Datenlecks verantwortlich, und auf welchem
Weg bzw. über welche Datenträger gelangten die Daten nach außen?
c) Wie viele Personendatensätze enthielten die Daten?
d) Wie viele der abhandengekommenen Daten stammten von deutschen Be-
hörden?
10. Was ist der Bundesregierung darüber bekannt, auf welche Weise die Regie-
rung Dänemarks sicherstellt, dass nach dem erfolgreichen Angriff auf dänische
IT-Systeme, bei dem auch circa 1,2 Millionen Datensätze des Schengener
Informationssystems (SIS) das Eindringen in die nationale SIS-Schnittstelle
zumindest erschwert wird, indem, wie von der dänischen Polizei erklärt, die
„ausgenutzte Sicherheitslücke“ geschlossen wurde (s. Plenarprotokoll 18/7)?
a) Welche Details über die Sicherheitslücke und die Art des Angriffs sind
der Bundesregierung mittlerweile bekannt?
b) Was ist der Bundesregierung darüber bekannt, in welchen Ländern der
externe IT-Dienstleister CSC, der zum Zeitpunkt des Angriffs neben an-
deren Anwendungen für die öffentliche Verwaltung Dänemarks auch das
nationale Schengener Informationssystem Dänemarks betrieben hat, wei-
tere EU-Datenbanken bzw. deren Schnittstellen betreibt?
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/10717
c) Was ist der Bundesregierung darüber bekannt, welche „Hintertür“ die Eu-
ropäische Kommission der dänischen Regierung anbot, trotz des Referen-
dums zum Ausstieg weiterhin bei der Polizeiagentur Europol mitarbeiten
zu können („EU offers Denmark backdoor to Europol“, https://euobserver.
com vom 8. Dezember 2016)?
11. Welche Auswirkungen hat aus Sicht der Bundesregierung das Urteil des
zweiten US-Berufungsgerichts vom 14. Juli 2016, das entschied, dass US-
Cloud-Anbieter mit Sitz in Europa nicht aufgrund der bestehenden nationa-
len Gesetzgebung der USA gezwungen werden können, personenbezogene
Daten ihrer Kunden herauszugeben, für die Strafverfolgungs- und Justizbe-
hörden der EU, die ihrerseits Direktanfragen zur Herausgabe elektronischer
Beweismittel bei Internetanbietern mit Sitz in den USA fordern?
a) Was ist der Bundesregierung über die Ergebnisse einer Prüfung dieser
Auswirkungen durch die EU-Agenturen Eurojust oder Europol bekannt?
b) Welche Verfahren und Strategien verfolgen der Rat und die Kommission
derzeit für die Umsetzung der Möglichkeit von Direktanfragen bei Inter-
netanbietern in den USA?
12. Wie viele Datensätze enthalten die Europol-Arbeitsdateien „Hydra“ und
„Travellers“ zum Stichtag 1. Dezember 2016, und wie viele Personen sind
dort gespeichert?
13. Wie viele Datensätze enthält das Europol-Informationssystem zu „ausländi-
schen terroristischen Kämpfern“, und wie viele Personen sind dort gespei-
chert?
14. Was ist der Bundesregierung darüber bekannt, inwiefern die „Meldestelle für
Internetinhalte“ („EU Internet Referral Unit“) bei Europol die Möglichkeit
umsetzen wird, gemäß der neuen Europol-Verordnung (ABl. L 153 vom
24. Mai 2016, S. 35) ab dem 1. Mai 2017 auch mit privaten Firmen Perso-
nendaten auszutauschen?
a) Wie viele der gefundenen Internetinhalte zu „Extremismus/Terrorismus“
und „illegale Migration“ fand die Meldestelle durch eigene Recherchen,
und wie viele stammten von Behörden der Mitgliedstaaten?
b) Inwiefern wird auf EU-Ebene darüber diskutiert, die Zuständigkeit der
Meldestelle auf andere Kriminalitätsphänomene bzw. Erscheinungsfor-
men von „Hate Speech“ auszuweiten, und welche Haltung vertritt die
Bundesregierung hierzu?
15. Was ist nach Kenntnis der Bundesregierung damit gemeint, wenn ein Spre-
cher von Europol gegenüber dem Sender ZEMBLA davon spricht, Europol
verfüge über ein „sehr robustes System“, um die gespeicherten Informatio-
nen zu schützen?
16. Was ist der Bundesregierung über die Beschaffenheit eines neuen Geheim-
schutzraums bei Europol bekannt, und aus welchem Grund wurde dieser ein-
gerichtet?
17. Was ist der Bundesregierung darüber bekannt, aus welchem Grund der noch
amtierende Europol-Direktor Rob Wainwright wie von BBC berichtet an ei-
nem Seminar zu Onlinesicherheit und Datenschutz teilnimmt?
Berlin, den 13. Dezember 2016
Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion
https://euobserver.com/
https://euobserver.com/
Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de