Austausch "faktenbasierter Reisemuster"
Die polizeilichen Begehrlichkeiten nach Daten grenzüberschreitender Reisebewegungen wachsen. Nach USA, Kanada und Australien will die EU auch mit anderen Ländern PNR-Abkommen schließen
Im Dezember wird die EU-Kommission voraussichtlich ein Verhandlungsmandat für die zukünftige Übermittlung von Daten aus Passagiernamensregistern (PNR) mit den USA, Kanada und Australien erhalten, um zügig ein entsprechendes Abkommen einzufädeln. Nach Vorratsdatenspeicherung und SWIFT wird damit der grenzüberschreitende Tausch einer weiteren großen Datensammlung gesetzlich geregelt. Fortan werden also nicht nur Kommunikation und Finanztransaktionen protokolliert, sondern auch umfangreiche Angaben über das Reiseverhalten gesammelt.
Im Mai 2006 hatte der Europäische Gerichtshof die zwei Jahre zuvor von der Kommission beschlossene PNR-Übermittlung an die USA für nichtig erklärt. Während die Kommission damals die übermittelten Daten durch die USA angemessen geschützt betrachtete, sieht das Gericht hierfür keine geeignete Rechtsgrundlage. Damit war auch ein entsprechender Beschluss des Rates hinfällig. Die Abkommen mit den USA wie auch Australien werden seitdem vorläufig angewendet. Auch für Datentransfers mit Kanada gibt es seit 2009 keine Rechtsgrundlage.
Unter den per PNR erhobenen Daten finden sich eine Reihe von Kategorien, darunter Personendaten, Emailadresse, Telefonnummer am Zielort, Kreditkartennummer, Rechnungsanschrift, Reisebüro, Reisestatus des Passagiers oder eine Historie über nicht angetretene Flüge. Selbst die Kommission unterstreicht, dass PNR-Daten "von ihrem Wesen und ihrer Verwendung her einzigartig" seien.
"Master Copy" für steigenden Bedarf
Die neuen Verhandlungen über das ausstehende Abkommen sollen mit den USA, Kanada und Australien gleichzeitig beginnen. Damit will die Kommission ein Signal setzen, dass hier ein "sektorenübergreifendes Konzept" zur Debatte steht. Das vom Rat als "Master Copy" bezeichnete Dokument soll vom belgischen Ratsvorsitz in drei identischen Entwürfen vorgelegt und auf dem Europäischen Rat am 2. und 3. Dezember verabschiedet werden.
Das fertige Vertragswerk soll pauschale Kriterien für Drittstaatenabkommen zum Austausch von Passagierdaten niederlegen. Inzwischen haben weitere Drittstaaten Interesse an einem PNR-Datentausch mit der EU signalisiert, darunter Russland, Israel und China. Auch Neuseeland, Südkorea und Japan verarbeiten PNR-Daten zu Strafverfolgungszwecken. Saudi-Arabien, Südafrika und Singapur haben ebenfalls entsprechende Vorschriften erlassen. Mit keinem der Länder existieren allerdings PNR-Verträge mit der EU. Zukünftig sei laut Kommission allerdings ein steigender Bedarf an Abkommen zu erwarten, dem deshalb jetzt in "strukturierter Weise" begegnet werden solle.
Auch in Großbritannien werden Fluggastdaten protokolliert, mehrere Mitgliedstaaten erproben eine Verwendung von PNR-Daten. Parallel zu den Verhandlungen um ein "sektorenübergreifendes Konzept" bastelt die EU nun an einem eigenen, EU-internen PNR-System. Die EU-Plattform soll zur Bekämpfung des Terrorismus und schwerwiegender internationaler Kriminalität in Stellung gebracht werden.
Bereits 2007 hatte die Kommission den Vorschlag eines Rahmenbeschlusses zur Erhebung, Speicherung, Verarbeitung und Weitergabe von PNR-Daten internationaler EU-Flüge in und aus Drittstaaten präsentiert. Der Entwurf orientierte sich am Rahmenbeschluss des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden. Nach Kritik insbesondere des Europäischen Parlaments wurde der Vorschlag zurückgezogen und eine Neuvorlage nach Inkrafttreten des Vertrags von Lissabon angekündigt. Anfang 2011 will die Kommission jetzt einen Richtlinienvorschlag und eine Folgenabschätzung vorlegen. Die Arbeiten seien in der "letzten Phase".
Analyse von Verhaltensmustern
Die mögliche Verarbeitung der PNR-Daten ist im jetzigen Entwurf umstritten. Laut Kommission könnten sie "reaktiv" verwendet werden (etwa bei Ermittlungen), "aktuell" (zur Prävention), aber auch "proaktiv" (zur Analyse von Trends). Doch gerade diese "Erkennung faktenbasierter Reisemuster und allgemeiner Verhaltensmuster" dürfte erhebliche Kritik von Bürgerrechtsgruppen und Datenschützern auf den Plan rufen. Denn nach Vorstellung der Kommission sollen gewonnene Informationen dieser permanenten Rasterfahndung "sodann in Echtzeit genutzt werden können". Weil Analysten "ausreichend Zeit für die Verwendung der Daten gegeben werden" müsse, benötigten die Strafverfolgungsbehörden zudem eine entsprechend lange Vorhaltezeit.
Alle neuen Abkommen bedürfen der Zustimmung des Europäischen Parlaments. In einer Entschließung forderten die Parlamentarier im Mai, die Daten nur für Strafverfolgungs- und Sicherheitszwecke in Fällen von schwerwiegender organisierter und grenzübergreifender Kriminalität oder grenzüberschreitendem Terrorismus zu nutzen. Als weitere Einschränkung wurde die Entsprechung mit europäischen Datenschutznormen gefordert: Zweckbeschränkung, Verhältnismäßigkeit, Möglichkeit für Rechtsmittel, Beschränkung des Umfangs sowie Dauer der Speicherung. Ein Flugverbot, Ermittlungsverfahren oder Strafverfolgung dürfen nach dem Willen des Parlaments nicht allein auf Grund der automatisierten Durchsuchung von Datenbanken erfolgen. zudem dürften die Daten nur per "PUSH-Anweisung" übermittelt werden, die ausländischen Behörden sich also nicht selbst im Datenpool bedienen. Die Erstellung von Personenprofilen soll ausgeschlossen werden.
Auch die von der Innen-Kommissarin Cecilia Malmström vorgestellte Mitteilung der Kommission sieht eine Zweckbindung einzig für Strafverfolgungs- und Sicherheitszwecke für Bekämpfung von Terrorismus und schwerer Kriminalität vor. Der Datenaustausch soll unter Wahrung der Verhältnismäßigkeit auf ein – bislang undefiniertes - "Mindestmaß" beschränkt bleiben. Zudem solle der Rechtsbehelf klar definiert werden, darunter Transparenz und Bekanntmachung, Benachrichtigungspflichten und Auskunftsrechte. Jede Person soll demnach Zugang zu ihren PNR-Daten erhalten. Allerdings bleibt die Bestimmung der Vorhaltezeiten als "nicht länger als für die festgelegten Aufgaben erforderlich" vage. Die Kommission fordert zudem, dass unter "außergewöhnlichen Umständen" auch "sensible Daten" prozessiert werden dürfen. Die Weiterübermittlung an andere Behörden und Drittstaaten soll ebenfalls möglich sein.
Die EU möchte von den computergestützten Analysekapazitäten der USA profitieren. Ein "Prinzip der Gegenseitigkeit" soll sicherstellen, dass nach Risikoanalyse aufgearbeitete "Treffer" von US-Behörden an die Strafverfolgungsbehörden der EU weitergegeben werden. Damit würde zugleich ein Beitrag zur Unterstützung der internationalen polizeilichen und justiziellen Zusammenarbeit geleistet. Als Empfänger der "analytischen Informationen, die aus PNR-Daten abgeleitet wurden" fungieren die Polizei- und Justizbehörden der Mitgliedstaaten sowie Europol oder Eurojust.
Parlamentarier drohen mit Ablehnung
Am Freitag letzter Woche hatte das Europäische Parlament mit großer Mehrheit einen Entschließungsantrag verabschiedet, der erneut den Schutz der Grundrechte und der Verhältnismäßigkeit sowie ein Verbot gezielter Datengewinnung hervorhebt und sich explizit gegen eine "Profilierung" ausspricht. Das sektorübergreifende PNR-Konzept der Kommission wird allgemein begrüßt. Kritisiert wird indes, dass mehrere Mitgliedsstaaten parallel zu den EU-Verhandlungen bilaterale, datenschutzrelevante Verträge mit den USA schließen würden. Deren Inhalt sei nicht bekannt und würde womöglich die EU-Abkommen aushebeln. Mehrere Parlamentarier warnten, dass sowohl der Entwurf für das Verhandlungsmandat wie auch das fertige Abkommen wie das SWIFT-Abkommen abgelehnt würden, wenn grundlegende Bedenken keine Beachtung fänden.
Die an den PNR-Verhandlungen beteiligte deutsche Delegation verspricht, in der Diskussion insbesondere auf "verdachtslose Vorratsdatenspeicherung und Speicherdauer sowie auf die Zahl der übermittelten Datenkategorien zu achten" und fordert "ein hohes Maß an Datensicherheit, kurze Speicherfristen, eine enge Zweckbindung und strenge Zugriffsvoraussetzungen".
Die Justizministerkonferenz der Länder hatte auf ihrer Herbsttagung Anfang November in Berlin die Übermittlung und Speicherung von PNR-Daten als "erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger der EU" klassifiziert. Das Prozessieren der Fluggastdaten sei nur "in engen Grenzen und unter Beachtung europäischer Datenschutzstandards" zulässig. Auch die Justizminister erinnerten an die Einhaltung der Vorgaben des Europäischen Parlaments wie auch des Bundesverfassungsgerichts.
Angesichts des Bundesverfassungsgerichts-Urteils zur Vorratsdatenspeicherung ist die Bundesregierung angehalten zu prüfen, ob die Verarbeitung von PNR-Daten rechtlich zulässig und verhältnismäßig ist: "Die Einführung der Telekommunikationsverkehrsdatenspeicherung kann damit nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen, sondern zwingt den Gesetzgeber bei der Erwägung neuer Speicherungspflichten oder -berechtigungen in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zu größerer Zurückhaltung". Das Gericht hebt im Urteil insbesondere auf die "Freiheitswahrnehmung der Bürger" ab, die keinesfalls "total erfasst und registriert" werden dürfe.
Kommission fürchtet "allzu häufige Diskussionen"
Die konkreten Änderungswünsche der Bundesregierung im Kreis der EU-Referenten für Justiz und Inneres sahen zunächst eine Stärkung der Datenschutzkomponente, die Einfügung eines Straftatenkatalogs, die Aufnahme einer expliziten Bezugnahme auf die Grundrechtecharta sowie ein Verbot der Nutzung sensibler Daten vor. Zugriffsvoraussetzungen müssten klar definiert sein, die Rechtshilfe geregelt und eine Datenweiterleitung an Drittstaaten restriktiv gehandhabt werden. Die deutsche Position, dass die Abkommen nach einem bestimmten Zeitraum nur nach neuem Beschluss verlängert werden dürften, wurde von der Kommission rundherum abgelehnt. Die Kommission fürchtet eine "allzu häufige Diskussionen über Verhandlungsmandate".
Der belgische Ratsvorsitz hatte daraufhin für die Verhandlungen einen Fragenkatalog zu besonders strittigen Punkten unterbreitet, darunter zur Nutzung sensibler Daten, Speicherdauer und Verlängerung der Abkommen. Die Regierungsvertreter einigten schlussendlich sich auf eine Verwendung sensibler Daten nur "in besonderen Ausnahmefällen", worauf die deutsche Vertreterin den diesbezüglichen Vorbehalt der Bundesregierung aufhob. Allerdings verzichteten Deutschland, Luxemburg und die Niederlande im Gegenzug auf ihre Forderung, die automatische Verlängerung der Abkommen bei Nichtkündigung nach Ende der 7-jährigen Laufzeit zu streichen.
Auch der europäische Datenschutzbeauftragte (EDPS) Peter Hustinx hat Bedenken "hinsichtlich der Notwendigkeit und Rechtmäßigkeit einiger wichtiger Aspekte" angemeldet. Hustinx fordert insbesondere eine bessere Begründung und Absicherung der anvisierten "proaktiven" Nutzung der PNR-Daten zur Risikobewertung. Rückendeckung kommt hierzu von der deutschen Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Konferenz der Europäischen Datenschutzbeauftragten. Holländische Parlamentarier werden unruhig und kritisieren jetzt mangelnde Datenschutzgarantien, den vorgeschlagenen Umgang mit sensiblen Daten sowie das geplante Verfahren bei der Weiterleitung der PNR-Daten an Drittstaaten. Kritik kommt auch von der europäischen Datenschutzorganisation European Digital Rights (EDRI) und dem Arbeitskreis Vorratsdatenspeicherung, der die pauschale und ausufernde Registrierung aller Flug- und Schiffsreisenden ablehnt und in der neuen Datensammlung einen "Verstoß gegen die Menschenrechte" sieht.
Der Vorwurf ist nicht weit hergeholt. Zu den "sensiblen Daten" zählen laut Kommissionsmitteilung auch solche, "aus denen die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen". Nach bisherigem Verhandlungsstand dürfen die tiefgehenden Personendaten nur weitergegeben werden, "wenn unmittelbare Lebensgefahr besteht". Die "unmittelbare Lebensgefahr" ist bislang allerdings ebenso wenig konkretisiert wie die "terroristische Bedrohung" oder die "angemessene Speicherdauer" der Datenspuren.
Wenig beruhigend, wenn der deutsche Bundesinnenminister Thomas de Maizière unter dem Primat der Terrorismusbekämpfung Daten auch an Regierungen von Ländern ohne garantierte Bürgerrechte weitergeben will. Auf der Herbsttagung des Bundeskriminalamtes kündigte der CDU-Politiker an, Informationen über Terrorverdächtige auch mit solchen Staaten auszutauschen "die nicht unser Rechtsstaatsniveau haben". Grundrechte werden also der internationalen Polizeizusammenarbeit geopfert.
Die Argumentation erinnert an den ehemaligen stellvertretenden Frankfurter Polizeipräsidenten Wolfgang Daschner und dessen Verurteilung wegen Verleitung eines Untergebenen zu einer Straftat: Durch die zweifelhafte, juristisch nicht gedeckte Weitergabe einen Anschlag zu verhindern, sei laut de Maizière besser, als nicht zu wissen, "was mit unseren Informationen geschieht".