Die Tage wurde bekannt, dass Europol ein geheimes IT-System betrieben haben, in dem mehr als 2 Petabyte sensibler Daten über Personen gespeichert wurden. Eine Recherche von Solomon, Correctiv und Computer Weekly deckte auf, dass Europol jahrelang außerhalb seiner eigenen rechtlichen Grenzen operierte.

Der durch die Recherchen von Solomon, Correctiv und Computer Weekly aufgedeckte Sachverhalt ist mir bereits vorige Woche über nachfolgenden Tweet untergekommen.

Das System wird als “Computer Forensic Network” (CFN) bezeichnet und wurde 2012 ohne rechtlichen Rahmen zur Sichtung forensischer Daten eingerichtet. Über die Jahre entwickelte CFN sich zur wichtigsten Analyseplattform von Europol. Bis 2019 speicherte das CFN mindestens 2 Petabyte an operativen Daten, was etwa dem 420-Fachen der offiziellen, nicht-forensischen Datenbank von Europol entspricht.

Der zuständige Datenschutzbeauftragte, Drewer, stellte im Nachgang fest, dass 99 % der Daten von Europol im CFN gespeichert waren und ohne grundlegende Datenschutz- oder Sicherheitsvorkehrungen verarbeitet wurden.

Insgesamt scheint diese “Schatten IT” ein Datenschutz- und Sicherheitsdesaster ersten Ranges gewesen zu sein. Eine interne Sicherheitsbewertung von 2019 listete 32 einzelne Mängel auf. Darunter:

• Ineffektive Zuweisung von Sicherheitsrollen
• Unzureichende Verwaltung privilegierter Zugriffsrechte
• Uneingeschränkte Softwareinstallation
• Fehlende Passwortverwaltung
• Fehlende Protokolle zur administrativen Nutzung
• Unzureichende Ereignisprotokollierung und -überwachung
• Unzureichende Netzwerkzugangskontrolle

Unabhängige Experten, die die Ergebnisse prüften, bezeichneten die Vielzahl der Administratorkonten als einen klassischen Verstoß gegen die Vertraulichkeit und als offene Tür sowohl für böswillige Insider als auch für externe Angreifer. Protokolle konnten von jedem mit Administratorrechten geändert oder gelöscht werden. Das bedeutete, dass Datenmanipulationen und unbefugte Zugriffe nicht zuverlässig zurückverfolgt werden konnten.

Und es gab noch ein System, was illegal betrieben wurde. Dabei handelt es sich um eine separate, geheime Umgebung, die von der Internet Referral Unit von Europol betrieben wird und dazu dient, Open-Source-Daten ohne Beteiligung der IT-Abteilung und außerhalb der formellen Aufsicht abzurufen. Interne Mitarbeiter stuften dies im Oktober 2022 als “unregelmäßige Situation” ein. Der europäische Datenschutzbeauftragte (EDPS), gibt an, während der ursprünglichen Untersuchung im Jahr 2019 nie über das System informiert worden zu sein.

Nach fast einem Jahrzehnt der Verhandlungen beendete der EDSB im Februar 2026 seine Überwachung des CFN. 15 von 150 Empfehlungen wurden nie umgesetzt. Darunter waren auch Empfehlungen, die der Datenschutzbeauftragte als “besonders wichtige” bezeichnet hatte und die zentrale Sicherheitsvorkehrungen betrafen.

Die Recherche (Nach CORRECTIV-Recherche: Europäischer Datenschutzbeauftragter will Europols Schatten-IT untersuchen) von CORRECTIV und seinen Partnern basiert auf internen Dokumenten und Aussagen von Insidern. Sie zeigt, in welchem Ausmaß die Polizeibehörde der EU, Europol, geheime Analyseplattformen betrieben hat, auf denen Mitarbeiter riesige Mengen sensibler Daten auswerten konnten.

Ehemalige Europol-Mitarbeiter beschreiben das System als „Schatten-IT-Umgebung”, die parallel zu den offiziellen Systemen der Strafverfolgungsbehörde genutzt wurde – allerdings ohne die rechtlich notwendigen Sicherheits- und Datenschutzvorkehrungen. Teile dieser Schatten-IT wurden offenbar vor dem Europäischen Datenschutzbeauftragten geheim gehalten. Der Sacherhalt wurde zu einem Zeitpunkt öffentlich, da die Europäische Kommission sich darauf vorbereitet, das Mandat von Europol zu erweitern und dessen Budget zu verdoppeln. “Sie schützen das Gesetz, während sie es gleichzeitig brechen”, wir ein ehemaliger hochrangiger Europol-Beamter zitiert.