OE3000 - Episode 20 - Kontrolle und die Kontrolle der Kontrolleure: Wie erhalten wir Einblicke in unsere Organisationen?

Am 5. Mai 2026 veröffentlicht das Recherchezentrum CORRECTIV
gemeinsam mit dem griechischen Magazin Solomon und der britischen
Computer Weekly eine Geschichte über Europol, die Polizeibehörde
der Europäischen Union. Also über eine Organisation, deren
Auftrag darin besteht, andere zu überwachen.


Der Befund: Europol betrieb über Jahre geheime Analyseplattformen
außerhalb der gesetzlich vorgeschriebenen Datenschutzregeln. Auf
einer dieser Plattformen ließen sich Telefonverbindungen,
Ausweisdokumente, Finanz- und Standortdaten abrufen, auch von
Personen ohne jeden Tatverdacht. Zugriffe und Löschungen wurden
vielfach nicht protokolliert. Laut einem internen Bericht aus dem
Jahr 2019 lagen rund 99 Prozent der operativen Daten in solchen
undokumentierten Systemen. Eines trug intern den Namen Pressure
Cooker; eine Mail vom Oktober 2022 warnte, der
Datenschutzbeauftragte könne von der unregelmäßigen Lage
erfahren.


Europol überwacht die Bürger Europas. Der Europäische
Datenschutzbeauftragte soll Europol überwachen. Bemerkt hat die
Schatten-IT keiner der formal Zuständigen, sondern ein
Recherchenetzwerk. Das ist die alte Frage nach der Kontrolle der
Kontrolleure, und sie ist alles andere als akademisch.


Auf dem Papier ist jede Organisation lückenlos überwacht:
Unternehmen durch Aufsichtsräte und Wirtschaftsprüfer, Vereine
durch Kassenprüfer, Behörden durch Datenschutzbeauftragte und
Parlamente. Und doch versagen diese Vorkehrungen mit System.
Formale Aufsicht blickt nach hinten, sie prüft Vergangenes,
während sich das Geschehen in der Gegenwart vollzieht. Und sie
wächst linear, während die Komplexität der Organisationen
exponentiell zunimmt.


Dazu kommt ein grundsätzlicheres Problem. Aufsicht setzt voraus,
dass sich etwas zeigt. Die mächtigsten Vorgänge einer
Organisation aber entziehen sich der formalen Erfassung:
Vertrauen, Loyalität, informelle Absprachen. Was sich messen
lässt, ist selten das Entscheidende. Im Europol-Fall wird das zur
Karikatur: 99 Prozent dessen, worauf es ankam, lagen außerhalb
des Blickfelds des Aufsehers. Eine Schatten-IT ist nichts anderes
als die Hinterbühne einer Organisation, übersetzt in Datenbanken.


Aufgedeckt hat das nicht eine Behörde, sondern der investigative
Journalismus. Erst nach der Veröffentlichung kündigte der
Europäische Datenschutzbeauftragte Wojciech Wiewiórowski eine
Untersuchung an; erst danach forderten Abgeordnete im
Europaparlament mehr Transparenz, bevor das Mandat von Europol
erweitert wird. Der Anstoß kam von außen.


Doch sofort stellt sich die Frage eine Etage höher: Wer
kontrolliert die, die kontrollieren? Auch CORRECTIV ist eine
Organisation mit Macht und eigener Agenda. Die vielbeachtete
Recherche über das Treffen rechter Akteure in Potsdam hat mehrere
Gerichtsverfahren ausgelöst. Das Landgericht Hamburg wies Ende
2025 Klagen gegen die Berichterstattung ab, das Landgericht
Berlin erklärte im März 2026 eine bestimmte Formulierung für
unzulässig. Beide Urteile sind nicht rechtskräftig. Die Presse
kontrolliert die Mächtigen und wird selbst kontrolliert, durch
Gerichte und öffentliche Kritik. Die Kette der Kontrolle endet
nie.


Genau das ist kein Mangel, sondern das gesündeste Merkmal eines
Systems ohne letzte, unangreifbare Instanz. Die wirksamste
Steuerung entsteht ohnehin von innen: organisationale
Selbstreflexion, demokratische Mitbestimmung, eine wache
Öffentlichkeit. Gute Kontrolle ist eine Leitplanke, keine
Zwangsjacke. Stark genug, um Schaden abzuwenden, beweglich genug,
um Entwicklung zuzulassen.


Erwähnte Personen: Wojciech Wiewiórowski


Schreib mir: mail@robin-taylor.de


Mehr Infos: www.robin-taylor.de