PNR-Daten als Ausgangspunkt zum Ausspionieren

Die EU-Kommission war trotz angeblichen Unwissens spätestens Anfang 2004 mit der Verknüpfung der Flugpassagierdaten von Europäern mit weiteren Daten für eine Risikobewertung durch US-Behörden einverstanden

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Während der deutschen EU-Präsidentschaft muss das bis Juli geltende Abkommen zur Übermittlung der Flugpassagierdaten zwischen der EU und den USA neu ausgehandelt werden. Im November hatte sich EU-Justizkommissar Franco Fattini überrascht gezeigt, dass die übermittelten PNR-Daten auch in das Automated Targeting System (ATS) eingehen (US-Regierung bewertet das Risikopotenzial aller Ein- und Ausreisenden). Dort werden sie mit anderen persönlichen Daten verbunden und eine Risikobewertung erstellt. Ein jetzt vom britischen Transportministerium veröffentlichtes Dokument vom Mai 2004 zeigt jedoch, dass in der EU bekannt war, dass die Zoll- und Grenzschutzbehörde (CBP) des US-Heimatschutzministeriums aufgrund der PNR-Daten weitere Überprüfungen macht.

Aufgrund eines Antrags nach dem Informationsfreiheitsgesetzes hat das britische Transportministerium am 28.12. ein Dokument der CBP veröffentlicht, in dem die Vereinbarungen mit der EU festgehalten sind. Das Ende 2003 vereinbarte Abkommen wurde letztes Jahr vorläufig verlängert, bis dieses Jahr ein endgültiges Abkommen getroffen werden soll. Danach verwenden die US-Behörden die PNR-Daten nicht nur zur "Prävention und Bekämpfung des Terrorismus und damit verbundener Vergehen", sondern auch zu der von "schweren Verbrechen", insbesondere von organisierter Kriminalität.

Interessant ist vor allem, dass die 34 PNR-Daten, die den US-Behörden übermittelt werden müssen, direkt mit anderen persönlichen Daten aus anderen Quellen, die nicht von der Regierung stammen, verbunden werden können, sofern dies durch "gesetzmäßige Kanäle" erfolgt. Als Beispiele werden explizit die Kreditkartennummern und E-Mail-Adressen genannt, die zur Buchung von Flügen angegeben wurden. Man könne, sofern irgendwie nach US-amerikanischem Recht legitimiert, was auch durch Präsidentenerlasse für die heimliche Überwachung der Telekommunikation (Umfassender Lauschangriff auf US-Bürger) und der Banküberweisungen (SWIFT-Affäre:: Lauschangriff auf die Finanzen) möglich ist, mit der Kreditkarte verbundene Transaktionen sammeln und überprüfen. Ähnliches gilt für den "Zugriff auf Aufzeichnungen, die mit den von PNR-Daten stammenden E-Mail-Accounts verbunden sind".

Ganz explizit ist auch die Rede von "Risikobewertungen" der Passagiere - und zwar im Zusammenhang damit, dass die US-Behörden für diese weitere PNR-Daten über die 34 vereinbarten hinaus benötigen. Zudem ist ebenso explizit davon die Rede, dass die PNR-Daten für Computer Assisted Passenger Prescreening System II (CAPPS II) verwendet werden, also für das erste Risikobewertungsprogramm, das nach dem 11.9. entwickelt und angeblich 2004 eingestellt wurde.

Bei den ersten Verhandlungen über die Übermittlung der PNR-Daten berichtete die EU-Kommission Ende 2003, man habe erreicht, dass die Daten nicht für CAPPS II verwendet werden. Die CBP versichert, sie sei nicht "direkt" an den Tests mit CAPPS II beteiligt, aber könne die PNR-Daten dafür an die Transportation Security Administration (TSA) übermitteln. Einziger Zweck seien Tests des Programms, aber es werden Ausnahmen genannt, nämlich "Notsituationen, wenn eine positive Identifikation eines bekannten Terroristen oder einer Person mit Verbindungen zum Terrorismus". Möglichst schnell sollte zur Übermittlung der Daten von der CBP an die TSA ein "automatischer Filter" eingerichtet werden, der die "sensiblen" Daten herausfischt und nicht weitergibt. Damit gemeint sind "personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and data concerning the health or sex life of the individual."

Da CAPPS II angeblich eingestellt und unter dem neuen Namen ATS weitergeführt wurde, haben nun die EU- und US-Behörden eine Hintertüre gefunden, um alles zumindest nach Wunsch der US-Behörden auszuführen, während die EU sich überrascht zeigen kann, obgleich das US-Heimatschutzministerium spätestens seit 2005 von diesem Programm offen gesprochen hat. Zur ATS-Überprüfung, die explizit bei den Verhandlungen mit der EU über die Weitergabe der PNR-Daten nie erwähnt wurde, werden die PNR-Daten mit zahlreichen anderen Daten aus unterschiedlichen Datenbanken verknüpft. Die Daten werden bis zu 40 Jahre lang gespeichert. Sie stehen nicht nur anderen Behörden des Heimatschutzministeriums, sondern auch auf Anfrage dem FBI und anderen Sicherheitsbehörden offen. Auch das lässt Zweifel an den vereinbarten Begrenzungen des Zugriffs auf die Daten und der Dauer der Speicherung entstehen, die eigentlich maximal auf sieben Jahre beschränkt sein soll.

Shami Chakrabarti, Direktorin der britischen Bürgerrechtsorganisation Liberty, kritisierte das Übereinkommen, als ein "vollständiges Übergeben der Rechte der reisenden Menschen an die USA". Mit dem Kauf eines Tickets werde die Tür für "eine Menge an persönlichen E-Mail- und Finanzinformationen" geöffnet. Der britische Telegraph sieht in dem Abkommen, eine "Lizenz zum Ausspionieren" der britischen und der europäischen Regierung. Das Dokument zeigt aber auch, wie man sich auf der EU-Seite dem Druck der USA beugt und nicht wirklich alles Vereinbarte mitteilt. Schön zu sehen ist zudem, dass zwar die EU gemäß dem Abkommen den Fluglinien anordnet, die PNR-Daten zu übermitteln, während es von amerikanischer Seite lediglich heißt, man werde die US-Fluglinien bestärken, gleiches gegenüber den EU-Behörden zu machen, falls diese ähnliche Anforderungen macht.