Fluggastdaten-Vorratsspeicherung über Reisebewegungen
Grundrechte-Report 2008, Seite 33
Internationale Terroristen sind manchmal mit dem Flugzeug unterwegs. Diese Realität wurde der Welt anlässlich der terroristischen Anschläge am 11. September 2001 auf Pentagon und World Trade Center drastisch bewusst. Bei der Suche nach Maßnahmen zur Terrorismusbekämpfung war für die Vereinigten Staaten von Amerika (USA) die Kontrolle der Fluggäste scheinbar naheliegend. Im Aviation and Transportation Act wurden die Fluggesellschaften zur Übermittlung der Daten von Fluggästen und Besatzungsmitgliedern verpflichtet, auch bei internationalen Flügen und Zwischenlandungen in den USA. Seit 2003 verlangen die US-Behörden einen Zugriff auf die so genannten „Passenger Name Records“ („Passenger Name Records“) in den Datenbanken der Fluggesellschaften. Von dort beschafften sie sich im so genannten Pull-Verfahren über einen direkten Abruf zu jedem Fluggast Informationen zu 43 bzw. 38 Datenfeldern.
Diese Überwachung des US-Flugverkehrs hatte auch weitgehende Auswirkungen auf die europäischen Fluglinien und den transatlantischen Flugverkehr, denn die US-Sicherheitsbehörden bestanden darauf, einen technischen Zugang zu den Unternehmenscomputern mit den Kundendaten zu haben. Wirksame Datenschutzgarantien wollten und konnten die USA nicht geben. So kam es schon einmal vor, dass aufgrund der Rasterung der Fluggastdaten aus Europa jemand bei der Grenzkontrolle in den USA deshalb verhaftet und dann zurückgewiesen wurde, weil zusätzlich zu einem arabischen Namen oder zu Reisen in arabische Länder bei Amazon über das Internet ein als verdächtig bewertetes Buch bestellt worden war.
Kritik von Datenschützern
Trotz heftiger Kritik von Politikern, Bürgerrechtlern und Datenschützern erkannte die EU-Kommission die Angemessenheit des Datenschutzniveaus bzgl. der Verarbeitung von Fluggastdaten in den USA an und erlaubte die Verpflichtung zur Datenübermittlung. 2004 wurde vereinbart, mittelfristig vom Pull- auf das Push-Verfahren zu wechseln, d.h. dass die US-Behörden nicht mehr auf fremde Datenbanken Zugriff erhalten, sondern diesen die geforderten Daten übermittelt werden sollten. Die betroffenen Passagiere seien über die Übermittlung in die USA zu informieren. Eine entsprechende Vereinbarung wurden auch mit Kanada abgeschlossen, wobei jedoch ein geringerer Datenumfang, eine strengere Zweckbindung bei der Datennutzung und eine klarere Beschreibung der Betroffenenrechte vorgesehen ist.
Mit Urteil vom 30. Mai 2005 hob der Europäische Gerichtshof (EuGH) die Entscheidung der Kommission zur Angemessenheit des Datenschutzniveaus der USA und den Beschluss über den Abschluss des Fluggastdatenabkommens mit den USA auf, weil die Kommission für derartige Maßnahmen im Bereich der so genannten dritten Säule der Europäischen Union, also für die Innen- und Justizpolitik, nicht zuständig ist. Zwar wurde das Abkommen auch angegriffen, weil es gegen die Sicherung des Datenschutzes verstieß, der als gemeinsamer Grundrechtsstandard seit langem in der EU anerkannt und in Art. 8 der Europäischen Grundrechtecharta normiert ist, doch machte der EuGH hierzu keine Ausführungen. Dies beflügelte Deutschland während seiner EU-Präsidentschaft in der ersten Hälfte des Jahres 2007, nunmehr ein Abkommen zwischen dem Rat der EU und dem US Department of Homeland Security ohne große inhaltliche Änderungen zu verhandeln, das am 23. Juli 2007 abgeschlossen wurde.
Dem Datenschutz wurde scheinbar dadurch entgegen gekommen, dass die bisherigen 38 Datenfelder auf 19 Datenkategorien reduziert wurden. Abgesehen von marginalen Streichungen wurde dies aber nur dadurch erreicht, dass bisher getrennt geführte Datenfelder zusammengeführt wurden. Die Umstellung auf das Push-Verfahren wurde nun für den 1. Januar 2008 verabredet. Die Daten dürfen laut Abkommen 7 Jahre gespeichert werden, um danach mindestens weitere 8 Jahre in einer „ruhenden“ Datenbank für Sicherheitszwecke zur Verfügung zu stehen. Sie sollen „gemäß den geltenden Gesetzen und verfassungsrechtlichen Erfordernissen“ der USA genutzt werden können. Für die Betroffenen wurde ein – leider wenig transparentes – Auskunftsverfahren vorgesehen.
„Was den USA recht ist, kann uns in der EU nur billig sein“
Wer meinte, Deutschland und Europa würden aus Datenschutzgründen versuchen, sich der bisherigen Erpressung durch die USA zur Datenlieferung zu entziehen, sah sich getäuscht. Im Gegenteil entstanden nach dem Motto „was den USA recht ist, kann uns in der EU billig sein“ eigene Begehrlichkeiten an der sicherheitspolizeilichen Auswertung der Fluggastdaten. So verpflichtet der Rat die Beförderungsunternehmen seit 2004 zum Zweck der Verbesserung der Grenzkontrollen und der Bekämpfung illegaler Einwanderung zur Übermittlung eines noch begrenzten Datensatzes über die beförderten Personen (Advanced Passenger Information – API), der zum Datenabgleich mit sicherheitsbehördlichen Datenbanken, z.B. des Schengener Informationssystems (SIS) genutzt wird.
Das soll künftig nicht genügen. In der EU wird eine richtige Fluggastdaten-Vorratsdatenspeicherung geplant. Die EU-Kommission schlug im November 2007 einen Rahmenbeschluss vor, der sich von dem abgepressten Abkommen mit den USA praktisch nicht unterscheidet: Speicherung für 5 und danach „ruhend“ weitere 8 Jahre, ergänzend zu den Identifizierungs- und Flugdaten Angaben zu Kontaktangaben (Telefonnummer, Email-Adresse), Kontoverbindungen und Zahlungsart, Reiseverläufe, Vielfliegereintrag und Eincheckstatus, Angaben zu Gepäck und Namen der Mitreisenden. Dienen sollen diese miteinander vernetzten nationalen Vorratsdatenbanken der Bekämpfung terroristischer Straftaten und der organisierten Kriminalität, ohne dass eindeutig geklärt ist, was hierunter jeweils zu verstehen ist. Es soll aber nicht nur um die Verwendung für Ermittlungen zur Verfolgung erfolgter Straftaten gehen, sondern um die „Verhütung“, also – wie auch in den USA – um die „Identifizierung“ von Personen, die an einer Straftat künftig beteiligt „sein könnten“. Hierfür sollen die Daten über eine Risikoanalyse elektronisch ausgewertet und bei verdächtigen Mustern zu weitergehenden Maßnahmen genutzt werden. Als suspekt bewertetes, völlig legales Verhalten, z.B. Telefonate, Reisen, Internetnutzungen, werden mit den Fluggastdaten abgeglichen und führen dann zur verstärkten Grenzkontrolle, zur gezielten Befragung, zur Einreise- oder Ausreiseverweigerung, zur Verhaftung oder zur Einleitung eines Ermittlungsverfahrens.
Vertrauensverlust bei Kunden
Datenschützer und Fluggesellschaften laufen Sturm gegen diese Methode. Für die Fluggesellschaften ist damit ein zusätzlicher hoher technischer, finanzieller und personeller Aufwand verbunden, der zugleich das Vertrauensverhältnis zu den Kunden beeinträchtigt. Natürlich gibt es viele Menschen, denen die langjährige Speicherung ihrer Flugdaten suspekt ist und die daher auf alternative Verkehrsmittel, etwa Schiff, Bahn oder Auto ausweichen oder von überwachten Reisen völlig Abstand nehmen. Die Ausweichmöglichkeit hat übrigens dazu geführt, dass ernsthaft von einigen EU-Regierungen darüber nachgedacht wird, auch den Schiffs- und Bahnverkehr entsprechend zu registrieren – ein Unterfangen, das man bisher „aus Kostengründen und wegen fehlender Datenerfassungssysteme“, so die EU-Kommission, fallen ließ.
Was die Registrierung der Reisebewegungen bringen soll, ist absolut unklar. Eine seriöse Evaluation der Maßnahme ist bis heute nicht erfolgt. Bzgl. einer zweijährigen Pilotphase berichtete die britische Regierung stolz „von zahlreichen Verhaftungen, der Aushebung eines Rings von Menschenhändlern und der Gewinnung wertvoller Erkenntnisse im Zusammenhang mit dem Terrorismus“. Tatsächlich dürften aber die Sicherheitsrisiken der „Passenger Name Records“-Datenspeicherung insgesamt größer sein als die erlangten zusätzlichen Ermittlungserkenntnisse – z.B. wegen dem falschen Vertrauen auf das Erfassungsverfahren, der informationellen Ausgrenzung von Personengruppen, der ungezielten Bindung von Sicherheitskräften oder dem ergebnislosen Verfolgen unsubstanziierter Ermittlungsansätze.
In der Nachbarschaft von Diktaturen
Ängstigend ist, dass sich weder die deutsche Regierung noch die EU ernsthafte Gedanken um den Datenschutz macht, weder in den USA, noch in betroffenen EU- oder Drittstaaten. Ein seit Jahren erörterter Datenschutzrahmenbeschluss im Bereich der so genannten dritten Säule der EU ist bis heute nicht zustande gekommen und verspricht – angesichts der bisherigen Vorlagen – allerniedrigstes Niveau. Bei einem Datenschutz-Ranking der Bürgerrechtsorganisation Privacy International von 1 (Totalüberwachung) bis 5 (freiheitliche Gesellschaftsordnung) landete z.B. Großbritannien abgeschlagen bei 1,5 in der Nachbarschaft von Diktaturen noch hinter den USA mit 2,0 (Deutschland 3, 9, Belgien, Österreich und Griechenland 3,2). Totalitär strukturierte Staaten schauen wegen der „Passenger Name Records“ schon begehrlich auf die EU: So forderte jüngst das datenschutzfreie Korea von den europäischen Fluglinien „Passenger Name Records“. Dieser Forderung könnten sich die europäischen Staaten wegen des Gegenseitigkeitsprinzips nicht entziehen, wenn sie selbst solche Daten langjährig sammeln. Jenseits der Beeinträchtigung der Privatsphäre ist der wirtschaftliche Schaden unabsehbar, z.B. durch die systematische Auswertung der Geschäftsreisen durch fremde Geheimdienste, etwa in den USA durch die CIA.