EU-Datenschützer skeptisch gegenüber EU-Fluggastdatensammlung

Die "Artikel 29"-Gruppe der EU-Datenschutzbeauftragten hält das Vorhaben der EU-Kommission, ein eigenes europäisches System zur Auswertung von Flugpassagierdaten zu errichten, für unnötig. Zugleich drängt sie auf Verbesserungen bei der Weitergabe der sensiblen Passenger Name Records (PNR) europäischer Reisender an die USA. Beide Punkte gehörten mit zu den Besprechungen der Datenschützer während ihrer 62. Sitzung vergangene Woche in Brüssel. Sie diskutierten darüber hinaus etwa den Transfer von Finanzdaten in die Vereinigten Staaten durch das SWIFT-Finanznetzwerk und die sich abzeichnenden Änderungen sowie den umstrittenen Datenschutz bei Suchmaschinen.

Jede zukünftige europäische PNR-Regelung, die jährlich Millionen von Reisenden beträfe, müsse die schutzwürdigen Interessen aller Beteiligten berücksichtigen, betont die Gruppe. Es sei ein Ausgleich zwischen dem Recht der Passagiere auf Datenschutz einerseits und den Sicherheitsbedürfnissen der Strafverfolgungsbehörden andererseits gefunden werden. Auch die Belange der Fluglinien müssten berücksichtigt werden. Zugleich erinnerten die Datenschutzbeauftragten an ein Antwortenpapier (PDF-Datei) aus ihrer Feder von Ende Januar zu einem Fragebogen der Kommission zum Aufbau eines eigenen PNR-Systems. Darin sah die Gruppe keinen "dringenden Grund, Flugpassagierdaten zum Zweck der Verhinderung und der Bekämpfung des Terrorismus und zugehöriger Verbrechen oder für die Strafverfolgung zu verarbeiten".

Mit dem Schengener Informationssystem sowie der zentralen Visa-Datenbank, dem Prümer Vertrag, dem ausgeweiteten Europol-Abkommen sowie der Verpflichtung für Airlines, im Rahmen des Advanced Passenger Information System (APIS) grundlegende Passagierdaten wie Namen, Geburtsdatum, Nationalität, Passnummer, Geschlecht sowie biometrische Daten zur Verfügung zu stellen, sind laut den Datenschützern bereits ausreichende, von ihrer Zweckmäßigkeit her nur schwer einschätzbare Maßnahmen getroffen worden. Die Kommission müsse daher einen klaren Mehrwert des Ausbaus der Überwachung von Flugreisenden nachweisen.

Im August hatten die Hüter der Privatsphäre der EU-Bürger die neue Vereinbarung zur Übermittlung von Fluggastdaten zwischen Brüssel und Washington als Rückschritt scharf kritisiert. In Folge sandte die Arbeitsgruppe einen Brief an die Kommission, in dem sie um Erläuterung mehrerer offener Fragen bat. Eines der aufgeworfenen Bedenken betrifft die Art und Weise, wie die Luftfahrtunternehmen personenbezogene Daten an US-Behörden übermitteln. Die Datenschützer pochen hier seit längerem auf die Umstellung auf ein "Push"-Verfahren, bei denen die US-Behörden nicht von sich aus Zugriff auf die Datenbanksysteme der Fluglinien erhalten. Obwohl die EU-Luftfahrtunternehmen laut der Gruppe bereit sind, ein Push-System bis Ende des Jahres umzusetzen, erscheine das nun doch wieder als unrealistisch.

Deswegen ruft die Arbeitsgruppe beide Vertragsparteien dazu auf, die Hindernisse für eine datenschutzfreundliche Lösung bei der Datenübermittlung festzustellen, und sich nachhaltig für eine schnellere Umsetzung der Vorschriften des Übereinkommens zu engagieren, um die im Übereinkommen festgelegten Passagierrechte zu gewährleisten. Zugleich erinnerten die Datenschützer daran, dass Luftfahrtunternehmen ihre Kunden über die Weiterleitung der PNR-Daten an das US-Heimatschutzministerium rechtzeitig und angemessen zu informieren haben. Hier seien weitere Anstrengungen erforderlich, um das Bewusstsein der Passagiere zu erhöhen und die Einhaltung der gegenwärtigen EU-Datenschutzregelungen sicherzustellen.

Beim Finanzdatentransfer haben die Datenschützer in einer vorläufigen Untersuchung dagegen herausgefunden, dass die Banken ihre Kunden in EU-Ländern besser über die Zugriffsmöglichkeiten von US-Behörden auf die internationalen Überweisungsinformationen aufklären. Zugleich begrüßte die Arbeitsgruppe die von SWIFT gemachten Fortschritte beim technischen Datenschutz. Das Finanznetzwerk stehe dabei jetzt unter der besonderen Beobachtung der belgischen Datenschutzbehörde. Positive Aspekte können die Datenschützer ferner bei der Entscheidung von SWIFT erkennen, das Netzwerk umzustrukturieren. Die neue Struktur sieht vor, dass bis Ende 2009 ein neues Verarbeitungszentrum in der Schweiz eingerichtet werden soll. Das hat zur Folge, dass künftig bei Überweisungen innerhalb Europas personenbezogene Daten nicht mehr im SWIFT-Datencenter in den USA verarbeitet werden. Informationen zu Überweisungen zwischen der EU und den USA werden laut der Arbeitsgruppe aber weiterhin mit in den USA gespeichert. Eine abschließende Bewertung habe man daher noch nicht treffen wollen. (Stefan Krempl) / (jk)