Passagierdaten-Krimi

Im Sauseschritt will die EU-Kommission jetzt das Abkommen zur Weitergabe von Fluggastdaten durchpeitschen. Der Grund: Parlamentarier könnten sonst Einwände erheben

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die Verhandlungen um das erneuerte Abkommen zur Weitergabe von Passagierdaten aus der EU an die USA ("Passenger Name Records", PNR) nähern sich dem Ende. Allerdings nicht, weil alle beteiligten Stellen vor einer Einigung stünden. Im Gegenteil: Trotz heftiger Bedenken sogar unter den Delegationen der 27 Mitgliedstaaten will die EU-Kommission einen jetzt vereinbarten Entwurf noch dieses Jahr finalisieren. Der mit den USA ausgehandelte Text ist allerdings geheim.

Das neue PNR-Abkommen zwischen der EU und den USA wurde nötig, weil das Europäische Parlament nach dem Lissabon-Vertrag Mitspracherecht für derartige Verträge erhielt. Eine ähnliche Vereinbarung hat die EU kürzlich mit Australien abgeschlossen.

Die Passagierdaten, darunter auch Angaben zu Essgewohnheiten oder der Zahl der Betten im gebuchten Hotelzimmer, werden allerdings schon seit Jahren im Rahmen eines vorläufigen Abkommens weitergegeben. Die Informationen werden von den Fluggesellschaften im "Computerized Reservation Systems" (CRS) gespeichert. Dieses CRS ist laut dem US-Aktivisten Edward Hasbrouck auf vier Server verteilt. Drei davon stehen in den USA, einer im deutschen Erding. Das Department of Homeland Security (DHS) verfügt über einen Direktzugriff ("pull"-Verfahren) auch auf den Server in Deutschland. Weil die Fluggesellschaften dort auch Informationen zu Flügen innerhalb der EU ablegen, können die US-Behörden beispielsweise auch auf Datensätze über Reisen zwischen zwei deutschen Flughäfen zugreifen.

Das Department of Homeland Security gleicht die erlangten Informationen mit eigenen Datenbanken ab und kann eine Reisesperre verhängen. Die Fluggesellschaften haben keine Wahl, als sich dieser "No Fly List" zu beugen: Wird die Person dennoch befördert, kann der betreffenden Maschine die Landung verweigert oder sogar der Luftraum gesperrt werden. Dieses Jahr wurde bekannt, dass DHS-Beamte seit 2007 an Flughäfen der EU stationiert sind und bereits dort Einreisesperren aussprechen (US-Reiseverbote Made in Germany).

"'Push' als Regel, 'pull' als Ausnahme"?

Ein früheres Stadium des strittigen Abkommen war im Mai von der britischen Bürgerrechtsorganisation Statewatch geleakt worden. Daraus ging hervor, dass die Datensätze 15 Jahre gespeichert werden sollen und ihre Nutzung keineswegs auf eine angebliche "Bekämpfung des Terrorismus" beschränkt bleiben soll. Die Daten sollen demnach neben der "Grenzsicherung" auch für die Verfolgung von Straftaten verwendet werden dürfen.

Das Abkommen wurde jetzt im gegenwärtigen Entwurf dem Europäischen Rat und den Parlamentariern übermittelt. Die Abgeordneten dürfen die Texte nicht an Dritte weitergeben, womit auch eine externe Beratung mit Anwälten oder Bürgerrechtlern untersagt ist. Die Kommission wedelt mit dem erhobenen Zeigefinger und droht, dass jede undichte Stelle vom Europäischen Amt für Betrugsbekämpfung (OLAF) verfolgt würde.

Neben Deutschland, Frankreich, Schweden und Griechenland haben zahlreiche Delegationen der Mitgliedstaaten jetzt einen sogenannten "Prüfvorbehalt" eingelegt, weil ihre Vorgaben im neuen Entwurf nicht berücksichtigt wurden. Luxemburg hatte etwa im Oktober gefordert, den im Vertragstext genannten Evaluierungsmechanismus auszuformulieren. Auch die Weitergabe von Daten an Drittstaaten außerhalb der EU wurde nicht aus dem Entwurf herausgenommen.

Parlamentarier hatten zudem gefordert, dass alle bislang an die USA übermittelten Daten vom neuen Abkommen und dessen Bestimmungen erfasst würden, etwa hinsichtlich der Speicherdauer oder Auskunftsansprüchen von Betroffenen. Hierzu war die USA aber nicht bereit.

Trotzdem redet die Kommission den Text schön: Behörden der Mitgliedstaaten würden womöglich unterrichtet, wenn auf Basis ausgewerteter PNR-Daten neue polizeiliche Erkenntnisse vorliegen. Außerdem sei vereinbart worden, dass die Daten neben dem Aufspüren von "Terrorismus" ("terrorist offenses and related crimes") nur für die Verfolgung von Kriminalität mit einem Mindeststrafmaß von drei Jahren genutzt werden dürfen ("other crimes"). Auch dürften die USA nicht mehr direkt auf die Daten zugreifen, sondern würden von den Fluggesellschaften beliefert ("push"-Verfahren). Die Kommission ventiliert hierfür das Motto "'push' als Regel, 'pull' als Ausnahme". Allerdings sind die Fluggesellschaften zum "push"-Verfahren derzeit technisch nicht in der Lage, weshalb großzügig ein "Übergangszeitraum" von zwei Jahren vereinbart wurde, der nach Belieben verlängert werden kann.

Nebulöse "Zugeständnisse" werden auch hinsichtlich der Speicherdauer vermeldet: Für Zwecke des Aufspürens von "Terrorismus" dürfen die Daten 15 Jahre genutzt werden, für andere Straftaten nur 10 Jahre. Allerdings werden die Datensätze nicht in zwei verschiedenen Datenbanken abgelegt, weshalb diese Unterscheidung folgenlos bleiben dürfte.

Abkommen sind wertlos

Im Sauseschritt wird jetzt der Abschluss des geheim gehaltenen Abkommens durchgepeitscht. Morgen soll sich das Parlament in Strasbourg damit befassen, tags darauf liegt es dem "Ausschuss der Ständigen Vertreter" (AStV) vor. Die dort versammelten Delegationen der Mitgliedstaaten haben aber keine Zeit, den Vertragstext zu prüfen oder gar zu diskutieren: Denn bereits am Donnerstag soll es in einer vorläufigen Form abgestimmt ("paraphiert") werden. Erst dann können sich die AStV-Mitglieder ausführlicher mit dem bereits festgezurrten Text befassen. Eilig soll das PNR-Abkommen dann im Europäischen Rat erörtert werden, um es den Innen- und Justizministern im Dezember zum Beschluss vorzulegen.

Letztes Jahr hatte die EU-Kommission bereits das sogenannte "SWIFT"-Abkommen zur Weitergabe von Daten aus Finanztransaktionen verhandelt, das dann im Rat angenommen wurde. Auch gegen dieses Terrorist Finance Tracking Programme hatte es heftigen Protest gegeben. Die Kritiker wurden damit beruhigt, dass nun die EU-Polizeiagentur Europol über die Weitergabe der Daten wachen soll - ausgerechnet jene Behörde, die selbst ein Interesse am Datentausch hat, weil sie im Falle von "Treffern" benachrichtigt wird (Europol wird internationaler Daten-Marktplatz).

Derzeit wird auch über ein Datenschutzabkommen zwischen der EU und den USA verhandelt. Die Verhandlungen werden von den Beteiligten als "schwierig und langwierig" bezeichnet. Seit April hat es fünf Treffen auf hoher Ebene gegeben, mindestens einmal war der US-Justizminister Eric Holder selbst zugegen. Strittig sind Begehrlichkeiten der USA, die über PNR oder SWIFT erlangten Daten auch zweckfremd zu nutzen.

Die Abkommen sind indes das Papier nicht wert, auf dem sie unterschrieben werden - darauf jedenfalls weist der US-Aktivist Edward Hasbrouck hin: Es gibt für Nicht-US-Bürger keinerlei Klagemöglichkeit wegen Verletzungen von Bestimmungen. Derartige Verträge seien für die USA ohnehin nicht bindend. Anscheinend weiß das auch die Kommission, die das PNR-Abkommen allein deshalb schnell abschließen möchte, weil bereits "so viel Zeit und Mühe" aufgewendet worden sei. Sollte der Vertrag jedoch nicht zustande kommen, so heißt es aus Brüssel, gehe selbst die Kommission davon aus, dass die USA auch "auf andere Weise" an die gewünschten Daten kämen.