EU-Datenschützer kritisieren Flugdaten-Abkommen

Die "Artikel 29"-Gruppe der EU-Datenschutzbeauftragten hat die neue Vereinbarung zur Übermittlung von Fluggastdaten zwischen Brüssel und Washington als Rückschritt bezeichnet. Die Datenschützer zeigten sich in einer am Freitag angenommenen Stellungnahme enttäuscht über das Ergebnis der Verhandlungen, die auf der EU-Seite unter der Ende Juni beendeten deutschen Ratspräsidentschaft geführt wurden.

Prinzipiell bemängelt die Vereinigung nach einer Analyse des seit Anfang des Monats geltenden Abkommens, dass die Garantien zum Schutz personenbezogener Daten "erheblich niedriger sind als die der vorherigen Vereinbarung und dass auf wichtige Fragen und Defizite nicht eingegangen wird". Das Datenschutzniveau des neuen Abkommens müsse daher als unzureichend angesehen werden. Experten hatten bereits auf einem Arbeitstreffen der "Artikel 29"-Gruppe im März eine Überprüfung der Grundlagen für den Transfer der so genannten Passenger Name Records (PNR) gefordert. Nun zeigen sich die Hüter der Privatsphäre enttäuscht, dass das im Juli unterzeichnete Folgeabkommen beim Datenschutz noch unter dem bereits als niedrig kritisierten Stand der Vorgängervereinbarung bleibe.

Selbst anerkannte Datenschutzprinzipien wie die der Konvention 108 des Europarates oder der allgemeinen EU-Datenschutzrichtlinie würden darin nur unzureichend beachtet. Kleinere Verbesserungen wie die Erweiterung der Schutzgarantien auf Nicht-US-Bürger oder eine ausführlichere Informationspolitik durch das US-Heimatschutzministerium könnten die Defizite nicht aufwiegen. Mit der neuen Übereinkunft werden die Flugpassagierdaten standardmäßig 15 statt bislang dreieinhalb Jahre in den USA vorgehalten werden. Die PNR enthalten dabei weiterhin nicht nur Namen, Geburts- und Flugdaten, sondern auch Kreditkarteninformationen und beispielsweise besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern. Lediglich auf einen Überblick zu nicht angetretenen Flügen sowie zu Angaben über den Kauf eines Tickets erst am Flughafen hat Washington verzichtet.

Deutlich geringer sind die Informationsanforderungen, welche die USA an Fluggesellschaften außerhalb der EU stellen. Dabei beschränken sie sich auf die Angaben aus dem Advance Passenger Information System (APIS). Diese umfassen Namen, Geburtsdatum, Nationalität, Passnummer, Geschlecht sowie­ falls vorhanden ­ biometrische Daten von Flugreisenden. Konkret kritisieren die Datenschützer an dem gesonderten transatlantischen Abkommen, dass die Anzahl der zu übermittelnden Datenelemente sogar erhöht und auf Angaben zu Dritten ausgeweitet worden sei. Zudem seien die Zwecke, für welche die PNR übermittelt werden, unzureichend bestimmt. Besonders sensible Daten zu rassischer oder ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen zur Gewerkschaftszugehörigkeit oder über Gesundheit und Sexualleben will das US-Ministerium für die innere Sicherheit zwar aus dem Informationsstrom herausfiltern. Sie könnten aber dennoch in besonderen Fällen von den US-Behörden genutzt werden, beklagen die Datenschutzbeauftragten. Weiter stößt ihnen sauer auf, dass die deutlich ausgeweitete Speicherfrist durch den Einbau der Daten in das umstrittene Überwachungsprogramm Automated Targeting System (ATS) noch verlängert werden könne, die Weiterleitung an einheimische und ausländische Stellen einfacher geworden sei und eine Überprüfung der Vereinbarung durch unabhängige Aufsichtsbehörden nicht mehr vorgesehen sei. Auch die spätestens von Anfang Januar an vorgesehene Umstellung auf ein aktives "Push-Verfahren" bei der undurchsichtigen Datenübermittlung, das den Fluggesellschaften mehr Kontrolle über die Informationsweitergabe geben soll, hängt laut der EU-Gruppe stark von "einseitigen Entscheidungen des US-Heimatschutzministeriums" ab. Nach wie vor offen sei etwa, zu welchen Bedingungen der Umstieg vom passiven "Pull-Verfahren" auf die neue Variante erfolge. Weiterer Klärungsbedarf bestehe auch nach der Umstellung in den Ausnahmefällen, in denen das Department of Homeland Security Zugang zu zusätzlichen Daten hat, die nicht auf der Liste der zu übermittelnden Daten stehen. Offen sei zudem noch, wie oft die Daten, die in den Buchungssystemen der Fluglinien gespeichert sind, aktiv übermittelt werden sollen. Mit Sorge sehen die Datenschützer schließlich, dass das Abkommen den Betroffenen "keinerlei Rechte gewährt". Jede Änderung in der US-Gesetzgebung könne ferner laut den Vorbehalten der USA das ungenügende Datenschutzniveau einseitig betreffen. Im Interesse aller transatlantischen Reisenden will die Arbeitsgruppen nun eine schriftliche Stellungnahme zu allen offenen Fragen von der EU-Kommission erbitten. Sie erwartet zudem, künftig bei allen Nachfolgeaktivitäten rund um das Abkommen nicht mehr komplett übergangen zu werden. (Stefan Krempl). (it)