Datenschützer: EU-Beschluss zum Austausch von Fluggastdaten inakzeptabel

Vor dem Weg in die totale Überwachungsgesellschaft warnt zum Ausklang des Jahres der europäische Datenschutzbeauftragte Peter Hustinx, der in der letzten Woche vor Weihnachten gleich drei Stellungnahmen veröffentlichte. Der geplante EU-Rahmenbeschluss zur Weitergabe von Flugpassagierdaten innerhalb der EU widerspreche in seiner aktuellen Entwurfsform der gesetzgeberischen Maßgabe, neue Rechtsinstrumente erst zu verabschieden, wenn bestehende wirklich ausgeschöpft wurden, meint Hustinx in einer der Stellungnahmen. Nach Ansicht von Hustinx fehlt es bei dem Rahmenbeschluss am grundsätzlichen Nachweis, das die Maßnahme notwendig und verhältnismäßig sei.

Vorreiter bei den Forderungen nach dem Austausch der sogenannten Passenger Name Records (PNR) waren die USA, die nach 2001 europäische Fluggesellschaften dazu verpflichtet hatten, den Zugriff auf die in die USA reisenden Passagiere zu erlauben. Nachdem der Europäische Gerichtshof ein erstes Abkommen zwischen den EU-Mitgliedsstaaten und dem US-Heimatschutzministerium aus dem Jahr 2004 im vergangenen Jahr für nichtig erklärte, einigten sich EU und US-Behörden 2007 auf ein geändertes Abkommen. Mit der Übereinkunft, die die EU Mitte des Jahres absegnete, werden die Daten von europäischen Flugpassagieren in die USA übermittelt und dort standardmäßig 15 Jahre vorgehalten. Die PNR enthalten dabei nicht nur Namen, Geburts- und Flugdaten, sondern auch Kreditkarteninformationen und beispielsweise besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern; insgesamt werden 19 Datenfelder weitergeleitet. Seit 2005 gibt es auch ein Abkommen mit Kanada, neuerdings laufen Verhandlungen zwischen EU und Australien, und auch Südkorea hat angekündigt, dass man künftig Daten von Flugpassagieren anfordern wolle.

Hustinx betont nun: "Während der Kampf gegen den Terrorismus und organisierte Kriminalität generell ein an sich klares und legitimes Ziel ist, ist der Kern der Datenverarbeitung weder ausreichend beschrieben noch gerechtfertigt." Der Rahmenbeschluss zum EU-Fluggastdatenaustausch widerspreche in der vorläufigen Form der EU-Menschenrechtskonvention. Hustinx bezeichnete die in seiner Stellungnahme die Speicherfrist von 15 Jahren als völlig inakzeptabel. Die Unterscheidung in aktive und sogenannte "schlafende" Datensätze erklärte er für irrelevant.

Anders als bei dem bereits beschlossenen Austausch von Daten im Rahmen der Advanced Passenger Information (API), der der Identifizierung von Verdächtigen diene, sollen die umfangreicheren Flugpassagierdatensätze dazu beitragen, "Risikobewertungen für Personen vorzunehmen, Aufklärungsinformationen zu erhalten und Verbindungen zwischen bereits bekannten und noch unbekannten Personen herzustellen", zitiert Hustinx die Zielsetzung. Auf welcher Grundlage solche Risikoabschätzungen erfolgen, sei aber völlig unklar, warnt der Datenschützer.

Einige kritische Punkte hebt Hustinx in seiner Stellungnahme besonders hervor. Neben dem nicht erbrachten Nachweis für die Notwendigkeit des aus seiner Sicht erheblichen Eingriffs in die Grundrechte sind dies Bedenken bezüglich der Vermischung von privaten und öffentlichen Datensammlungen, für die unterschiedliche rechtliche Regeln gelten. Außerdem fehle eine Klarstellung, welche Behörden genau Zugriff auf Daten erhalten können. Schließlich macht dem Europäischen Datenschutzbeauftragten Sorge, dass die Datensätze möglicherweise auch in Länder weitergereicht werden könnten, in denen es keine Datenschutzbestimmungen gibt, die den EU-Standards entsprechen.

Wie schon bei der Weitergabe von Passagierdaten an die US-Behörden schafft auch der EU-Rahmenbeschluss für den Bürger wenig Klarheit, durch welche Hände seine Daten gehen und bei wem er entsprechend Einsicht oder Abänderung in die gespeicherten Daten verlangen kann, kritisiert Hustinx. Für die privaten Fluggesellschaften oder die Betreiber von deren Computerreservierungssystemen gebe es datenschutzrechtlich andere Rechtsgrundlagen als für die verschiedenen Behörden, von denen entsprechend nationalem Recht jeweils unterschiedliche Behörden zugreifen dürften.

Noch komplizierter ist die Sachlage bei den im EU-Rahmenbeschluss vorgesehenen Passenger Information Units (PIU): Hustinx begrüßt diese im Prinzip als einen vorgeschalteten Filter für die Zugriffe der einzelnen Behörden, allerdings sei deren Definition zu vage. PIUs müssen nicht zwingend öffentliche Stellen (etwa der Zoll) sein, auch ein Outsourcing an Private ist möglich. Mehrere Mitgliedsstaaten könnten gemeinsam ein PIU errichten, meint Hustinx. Da die PIU an der sensiblen Schnittstelle zwischen den Rohdaten der Fluggesellschaften und den an die verschiedenen Behörden zu liefernden gefilterten Daten sitzt, fordert Hustinx hier klare und strenge Regelungen. Solche sollten dann durchaus auch auf die Praxis der bestehenden Datenweitergabe, etwa im Verkehr mit den USA, wirken. (jk)