Der sogenannte "Prümer Vertrag" (in Österreich auch Schengen - III - Vertrag genannt) soll als zukünftiges EU-Recht einen ungehinderten und weitgehend unkontrollierten Datenaustausch zwischen allen EU-Staaten etablieren.
Der "Vertrag von Prüm" wurde am 27. Mai 2005 in Prüm in Rheinland-Pfalz abgeschlossen. Erstvertragspartner sind Belgien, Deutschland, Spanien, Frankreich, Luxemburg, die Niederlande und Österreich. Die anderen EU-Mitgliedsstaaten können dem Vertrag beitreten; sie sind dazu aber nicht verpflichtet: Der Vertrag von Prüm ist kein EU-Abkommen. Folgende Staaten haben die Absicht erklärt dem Prümer Vertrag beizutreten bzw. sind diesem schon beigetreten: Finnland, Italien, Portugal und Slowenien. In Österreich wird das Abkommen auch Schengen-III-Vertrag genannt.
Die amtlichen Bezeichnung des Abkommens lautet: "Vertrag über die Vertiefung der grenzüberschreitenden Zusammenarbeit, insbesondere zur Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration."
Beim EU-InnenministerInnentreffen Mitte Jänner 2007 in Dresden startete der deutsche Innenminister Wolfgang Schäubele den Vorstoß den Prümer Vertrag in EU-Recht zu überführen, womit er für alle 27 Mitgliedsstaaten gelten würde. Deutschland und Österreich sind aufgrund des Prümer Vertrags die ersten Staaten weltweit, die sich gegenseitig Zugriff auf ihre Polizei-Datenbanken gewähren - z.B. beim Austausch von DNA-Profilen, Autohalterdaten und Fingerabdrücken. Zugleich regelt die Vereinbarung auch die Hilfe bei Großereignissen, grenzüberschreitende Verfolgungsfahrten und liefert gegenseitige Informationen beispielsweise über politische AktivistInnen und MigrantInnen. Für einen Datenaustausch genügt es bereits, eine Person im Verdacht zu haben, die öffentliche Sicherheit und Ordnung zu gefährden. Ein Richterbeschluss ist nicht erforderlich.
Kritisiert wird, dass dieser Vertrag einem weitgehend unkontrolliertem Datenaustausch in der EU Tür und Tor öffnet. Weiters fordern DatenschützerInnen, dass es einen wirksamen Rechtsschutz gegen polizeiliche Maßnahmen geben muß, wenn sich BürgerInnen in einem anderen Mitgliedsstaat aufhalten. Ein weiterer Kritikpunkt: die Vernetzung der EU-Strafverfolgungsbehörden würde die Tür zur Rundum-Registrierung der BürgerInnen und zu totalitären Staatsgefügen aufstoßen.
Laut Tony Bunyan von der britischen Organisation :: Statewatch sprechen die Regelungen zum Umgang mit den sensiblen persönlichen Informationen gängigen Datenschutzbestimmungen Hohn. Der Vertrag "lässt einen ungehinderten Datenaustausch der Mitgliedsstaaten mit Drittstaaten zu", sagte Bunyan im Rahmen eines :: Vortrages in Berlin. Dem Austausch von Aufklärungsinformationen oder sonstiger Vermutungen von Geheimdiensten seien keine Grenze gesetzt. Generell werde an die "Selbstregulierung" der Sicherheitsbehörden beim Datenschutz appelliert, sodass die beteiligten Einrichtungen die vernetzten Informationen für beliebige Zwecke verwenden könnten. Auch das "Hit-/NoHit"-Verfahren zur Einschränkung der Übermittlung personenbezogener Daten hält Bunyan nicht für "sicher": Man könne ja zahlreiche Namen ausprobieren, bis man einen Treffer erziele. Ferner würden Zugriffe auf die zusammengeschlossenen Datenbanken nicht dokumentiert.
Der beispielsweise während des G8-Gipfels in Genua 2001 praktizierte personenbezogene Informationsaustausch - einschließlich der Übermittlung von "schwarzen Listen" - wird nun legalisiert. Daten können spontan oder auf Anfrage ausgetauscht werden für Zwecke der "Gefahrenabwehr" oder Strafverfolgung. Wie die Praxis von Genua zeigte, kann dies z.B. Vorbeugegewahrsam, Inhaftnahme oder Einreiseverweigerung zur Folge haben.