EU-Ratsvertreter verabschieden Fluggastdaten-Abkommen mit den USA

Die Vertreter der 27 EU-Mitgliedsländer haben bei ihrer Ratstagung am heutigen Montag in Brüssel wie erwartet das bis zuletzt heftig diskutierte  Abkommen zur Weiterleitung von Fluggastdaten an das US-Department of Homeland Security (DHS) verabschiedet (PDF-Datei). Der Rat habe das Abkommen (PDF-Datei) unverändert akzeptiert, sagte Ratssprecher Jesus Carmona gegenüber heise online. Negative Abstimmungen einzelner nationaler Parlamente, die teilweise noch zustimmen müssen, erwarte man nicht. Verschiedene Regierungen hatten das Abkommen , das aus einem Briefwechsel zwischen dem DHS und der EU-Ratspräsidentschaft und einer kurzen Vereinbarung besteht, an ihre Parlamente weitergeleitet. Würde ein Parlament gegen das Abkommen stimmen, müsse man sehen, was zu tun sei, meinte Carmona.

Ende Juni hatten Vertreter aller EU-Mitgliedsstaaten dem Abkommen zum Transfer der Flugpassagierdaten zugestimmt. Mit der von August an geltenden Übereinkunft sollen die Passenger Name Records (PNR) künftig standardmäßig 15 statt bislang dreieinhalb Jahre in den USA vorgehalten werden. Die Zahl der Datenfelder, welche die Fluglinien über den Atlantik schicken, soll im Gegenzug von 34 auf 19 schrumpfen. Diese Absenkung komme allerdings dadurch zustande, dass "verschiedene Datenelemente wie etwa Identifikationsdaten zusammengeführt werden, ohne dass sich am Datenumfang etwas ändert", monierte bereits im Juni der Bundesdatenschutzbeauftragte Peter Schaar.

In der nun veröffentlichten Vereinbarung werden auch erstmals die 19 Datenfelder genannt, die nunmehr im Unterschied zu den früheren 34 Datenfeldern als PNR an die USA weitergeleitet werden. Dazu gehören:

1. Ein Code zur Identifizierung des PNR
2. Datum von Reservierung und Ausgabe des Flugtickets
3. Die vorgesehenen Reisedaten
4. Passagiernamen
5. Verfügbare Informationen über Vielflieger- und andere Bonusprogramme sowie weitere Rabatte
6. Andere Namen innerhalb des PNR, einschließlich der Anzahl der Reisenden, die der PNR betrifft
7. Alle verfügbaren Kontaktinformationen
8. Alle verfügbaren Rechnungs- und Zahlungsinformationen, mit Ausnahme anderer Transaktionsdetails, die eine Kreditkarte betreffen und nicht mit den Reisetransaktionen zu tun haben
9. Reiseablauf für den jeweiligen PNR
10. Reisebüro, bei dem die Reise für den jeweiligen PNR gebucht wurde
11. Informatione zu eventuellem Code-Sharing
12. Informationen über die Splittung/Teilung einer Buchung
13. Reisestatus des Passagiers, einschließlich von Buchungsbestätigungen und Informationen über den Check-in
14. Ticket-Informationen einschließlich Flugscheinnummer, Infos über One-Way-Tickets und zur automatischen Tarifabfrage
15. Alle Informationen über das aufgegebene Gepäck
16. Informationen zum Sitzplatz einschließlich Sitzplatznummer
17. Allgemeine Informationen, einschließlich aller Angaben zu Service-Anforderungen wie OSI (Special Service Requests) und SSI/SSR (Sensitive Security Information/Special Service Requests)
18. Alle über APIS (Advance Passenger Information System) gesammelte Informationen
19. Alle vergangenen Änderungen an den PNR-Datenfeldern 1 bis 18

Das EU-Parlament hatte die Vereinbarung in seiner fraktionsübergreifenden Entschließung scharf kritisiert. Das jetzt verabschiedete Abkommen bietet nach Ansicht der Abgeordnete wenig Rechtssicherheit für EU-Bürger und Fluggesellschaften. In der lediglich fünfseitigen Vereinbarung verpflichtet sich die EU, eine Weitergabe der Fluggastdaten durch die europäischen Fluggesellschaften sicherzustellen – während die US-Seite sich lediglich dazu bereit erklärt, für eine Datenweitergabe durch US-Fluggesellschaften in umgekehrter Richtung "zu werben". Die Einhaltung grundlegender Datenschutzbestimmungen durch die US-Behörden ist nicht Kern der Vereinbarung, sondern steckt abgesehen vom allgemeinen Hinweis auf US-Gesetze in einem von DHS-Chef Michael Chertoff unterzeichneten Brief.

Die Zusagen im Chertoff-Brief könnten jederzeit einseitig von der US-Seite geändert werden, fürchten die EU-Parlamentarier. In der Klausel zur Verwendung der gesammelten Daten hat Chertoff sich zudem gleich einmal vorbehalten, die Daten anders zu verwenden als derzeit, sollte neue US-Gesetzgebung dies verlangen. Der Blick in die jetzt veröffentlichten Abkommen stützt auch die Kritik der Parlamentarier, dass für EU-Bürger wenig klar ist, welche Rechte sich für sie daraus ableiten lassen, dass das DHS verspricht, sich an US-Gesetze zu halten. Weder ist klar, welche Behörden unter welchen Bedingungen die Fluggastdaten weiterverarbeiten dürfen, noch ergibt sich aus den DHS-Zusicherungen, wann die Ausnahmeregelung greift, die die Speicherung von Informationen wie ethnische Zugehörigkeit, religiöse, politische oder weltanschauliche Überzeugungen, Gewerschaftszugehörigkeit oder sexuelle Gewohnheiten oder der Gesundheitszustand erlauben.

Mit Spannung dürfen erste Präzedenzfälle erwartet werden, die Anfragen nach den über einzelne EU-Bürger beim DHS gespeicherten Datensätze betreffen. Für die bedarf es allerdings intimer Kenntnisse der Bestimmungen des US-Informationsfreiheitsgesetzes (FOIA) und des Privacy Act (PA), dem US-Datenschutzgesetz. Die entsprechenden Hinweise zu Anfragen von Bürgern auf den Seiten des DHS vermitteln ein ungefähres Bild von den notwendigen Schritten und Hürden für Anfragen. Sie müssten, schreibt das DHS, ausreichend spezifisch die gesuchten Speicherdaten beschreiben. Mit anzugeben ist, neben den eigenen persönlichen Daten das Datum und die Umstände der Erstellung des Eintrags, die Art des Dokuments und vieles mehr.

Für Anfragen nach dem Privacy Act listet das DHS sieben Bedingungen dafür, dass man überhaupt in die eigene Datenbank schaut. Dazu gehört unter anderem "eine Erklärung, warum man glaubt, dass das DHS Daten über Sie sammelt". Schwierig für den normalen EU-Bürger dürfte auch werden: "Identifizieren Sie, welche Teile des Ministeriums ihrer Meinung nach Informationen über Sie haben könnten." Der notendige Identitätsnachweis muss notariell beglaubigt sein oder man muss eine eidesstattliche Versicherung beilegen. Wenn die Angaben nicht vollständig sind, werde die Anfrage nicht beantwortet, warnt das DHS. Ob das Traveller Redress Inquiry Program (TRIP) auch für EU-Bürger einschlägig ist, müssen die im DHS-Brief angekündigten Mitteilungen an die Fluggesellschaften erst noch zeigen. Auch ist unklar, ob das in der Vereinbarung genannte Büro bei den US-Zollbehörden (FOIA/PA Unit, Office for Field Operations, US Customs and Border Protection) Sammelstelle für die Anfragen aus dem Ausland sein soll. Dass die Regierungsvertreter, die heute das Abkommen durchwinkten, Antworten auf diese Fragen haben, darf wohl bezweifelt werden.

Siehe zum Abkommen über den Transfer der Passenger Name Records auch:

• EU-Parlament bemängelt Abkommen zum Fluggastdatentransfer
• EU bei Fluggastdaten "über den Tisch gezogen"
• EU-Diplomaten segnen Flugdaten-Abkommen mit den USA ab
• Schäuble verteidigt Einigung bei Fluggastdaten-Transfer in die USA
• EU und USA erzielen Vereinbarungen über Flugpassagier- und Finanzdaten
• Speicherdauer der Flugpassagierdaten soll deutlich ausgeweitet werden
• US-Minister bestreitet Datenhunger der USA

Zu den Auseinandersetzungen um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe auch:

• Von der Anti-Terror-Gesetzgebung über die Anti-Terror-Datei zum "Schäuble-Katalog"

(Monika Ermert) / (jk)