© Jochen Lübke/apa

Fluggastdaten

Der gläserne Passagier wird Realität

Barbara Wimmer

Das Fluggastdaten-Abkommen zwischen der EU und den USA wurde am Montag ungewollt veröffentlicht. Zuvor war es nur EU-Abgeordneten unter Aufsicht in Lesesälen zugänglich. Eine Analyse der futurezone zeigt, dass sich darin in punkto Datenschutz einige heikle, weil schwammige, Angaben befinden. Kritiker meinen, dass sich die EU-Kommission über den Tisch ziehen hat lassen.

Dieser Artikel ist älter als ein Jahr!

Es gilt als "streng geheim", selbst EU-Parlamentarier durften das Abkommen nur in einem Leseraum nach Unterzeichnung einer Geheimhaltungsverpflichtung unter Aufsicht lesen: Die Vereinbarung zwischen den USA und der EU zur Verwendung von Fluggastdaten. Nun liegt der futurezone der finale Entwurf vor, der ungewollt verbreitet worden ist. Am Montagnachmittag wurde er zudem von der Initiative NoPNR online gestellt.

Laut dem Abkommen müssen Fluggesellschaften dem US-Heimatschutzministerium (DHS) die in den Buchungssystemen enthaltenen Flugpassagierdaten zur Verfügung stellen - und zwar alle verfügbaren Daten. Gespeichert werden dürfen dann allerdings "nur" die in insgesamt 19 Kategorien zusammengefassten Datensätze, das sind etwa 70 Einzeldaten. "Das ist so, als würde man einen Hund auf eine Wurst aufpassen lassen", erklärt Alexander Sander von NoPNR zur futurezone. Niemand könne garantieren, dass dennoch alle Daten gespeichert bleiben, weil niemand die Löschung kontrollieren könne.

Sensible Daten
Daten, die gespeichert werden dürfen, sind neben dem Namen, der Adresse und der Passnummer auch die Kreditkartendetails, Informationen über Mitreisende sowie vegetarische oder koschere Mahlzeiten. Auch wenn der Passagier beispielsweise einen Rollstuhl benötigt, wird diese Information über seinen Gesundheitszustand gespeichert und übermittelt. Durch die Weitergabe dieser Daten sollen nun „Menschenleben geschützt und für Sicherheit gesorgt werden“, heißt es im Abkommenstext.

Weitere sensible Daten, wie Religionszugehörigkeit, Hautfarbe, politische Überzeugung oder das Sexualleben dürfen - sofern sie vorliegen, "in Ausnahmefällen" für die Ermittlungen herangezogen werden, andernfalls sollen sie nach 30 Tagen "endgültig gelöscht" werden. "Ausnahmefälle" sind im Abkommen allerdings nicht näher definiert. Somit kann praktisch jeder Verdachtsmoment, der vorliegt, ein derartiger "Ausnahmefall" sein.

Datenwäsche-Trick
Nicht mehr als ein Datenwäsche-Trick ist der Paragraph, der besagt, dass die personenbezogenen "PNR-Daten nach sechs Monaten der Speicherung anonymisiert und unkenntlich gemacht werden". Danach dürfen die Daten laut Abkommenstext "für einen konkreten Fall, eine konkrete Bedrohung oder ein konkretes Risiko" - zwar nur auf Anweisung von höher gestellten Beamten des US-Heimatschutzministeriums (DHS) - wieder de-anonymisiert werden.

Für fünf Jahre ist das relativ problemlos möglich, da die Daten in einer "aktiven Datenbank" abgelegt sind. Danach werden die Daten weitere zehn Jahre in einer "ruhenden Datenbank" gespeichert, auf die wenige Beamten Zugriff haben und für diese die Auflagen strenger sind. Das DHS hat nichtsdestotrotz die alleinige Macht über die Daten der europäischen Flugpassagiere und kann darüber entscheiden, wann auf welche Datensätze zugegriffen wird.

Weitergabe an FBI, Europol und Drittstaaten
Das DHS darf die Daten zudem an innerstaatliche Behörden, das FBI oder die CIA weitergeben. Auch an Drittländer dürfen die Daten der europäischen Flugreisenden weitergegeben werden. Im "Notfall" erfolgt dies auch ohne Datenschutzgarantien, so steht es im Artikel 17 des Abkommens.

Auch europäische Polizei- , Strafverfolgungs-, und Justizbehörden, Europol und Eurojust, können beim US-Heimatschutzministerium Anfragen zur Übermittlung von Passagierdaten stellen. So etwas wie ein Richterbeschluss, oder eine Kontrollmöglichkeit eines externen Datenschutzbeauftragten, wem das DHS aus welchem Grund welche Daten weiter gibt oder es selbst auf die Daten zugreift, ist nicht notwendig.

Das stößt einigen EU-Abgeordneten bitter auf. "Das Abkommen erfüllt die Forderungen des Europäischen Parlaments im Bezug auf die Verhältnismäßigkeiten, den Datenschutz und der Wahrung der Privatsphäre in keiner Weise", erklärte Ehrenhauser gegenüber der futurezone. Das Abkommen muss als nächstes im Ministerrat verabschiedet werden. Dort haben einige Staaten, darunter neben Frankreich und Deutschland auch Österreich, Prüfungsvorbehalte angemeldet.

Sieben Jahre
Doch das sind noch lange nicht alle Bedenken, die vom EU-Parlament angeführt wurden, als es verlangt hat, dass das Abkommen mit den USA neu verhandelt werden muss. Denn die EU und die USA haben bereits 2007 ein Interims-Abkommen geschlossen, das den US-Sicherheitsbehörden die Auswertung der Fluggastdaten gestattet. Seit dem Inkrafttreten des Lissabon-Vertrags vor zwei Jahren müssen nämlich die Abgeordneten derartigen Verträgen mit Drittstaaten zustimmen.

Das EU-Parlament wollte damit diverse Verbesserungen im Hinblick auf die Rechtsmittel, die Beschränkung des Umfangs der zu erfassenden Daten sowie der Speicherdauer erreichen. Doch neben der langen Speicherdauer und dem umfassenden Datensatz gibt es noch weitere Punkte im Abkommen, die dem EU-Parlament nicht gefallen dürften.

So sind im Abkommen beispielsweise keine Konsequenzen festgelegt, wenn die USA sensible Daten missbräuchlich verwenden sollte. Während das Abkommen zunächst für sieben Jahre geschlossen wird und dann verlängert werden kann, würden die Daten aber auch nach einem eventuellen Auslaufen trotzdem insgesamt 15 Jahre vom DHS gespeichert werden dürfen.

Übergangsfrist
Zudem heikel ist, dass die Daten, die eigentlich laut dem Abkommenstext von den Fluggesellschaften per Push-Verfahren übermittelt werden sollen, auch noch in einer Übergangsfrist von zwei Jahren per "Pull-Verfahren" abgerufen werden dürfen. Das sieht so aus, dass das DHS auf Buchungssysteme zugreift und sich die Daten selbst auf sein System überspielt. Genau dies wird seit Jahren von Datenschützern heftig kritisiert. Wenn eine Fluggesellschaft einmal "technische Probleme" hat, darf das DHS "im Einzelfall" die Daten auch nach dem Ablauf dieser Frist "auf anderem Wege" abfragen. Damit hat das US-Heimatschutzministerium eigentlich einen Freibrief, das bisherige Verfahren weiter einzusetzen.

Rechts(un)sicherheit
"Auch von Rechtssicherheit für EU-Bürger kann nicht gesprochen werden. Die EU-Kommission hat sich über den Tisch ziehen lassen", erklärt Ehrenhauser. So werden beispielsweise nur internationale Verträge, die auch vom US-Senat angenommen wurden, garantieren, dass man vor ein US-Gericht ziehen kann. Auch Auskunftsersuchen darüber, welche Daten über einen gespeichert und übermittelt worden sind, müssen von dem US-Heimatschutzministerium nicht erfüllt werden, so der US-Bürgerrechtsaktivist Edward Hasbrouck, der den geleakten Entwurf auf der Website seines "Identity Project" ebenfalls am Montag veröffentlicht hat.

Somit lässt sich zusammenfassend sagen: Das Abkommen stellt zwar eigentlich eine "Verbesserung" gegenüber dem bisherigen Interimsabkommen dar, doch es ebnet gleichzeitig den Weg zum gläsernen Passagier und zur Totalüberwachung. Denn während vorerst nur der Flugverkehr erfasst wird, bleibt im Abkommen auch die "Tatsache, dass die Parteien die Übermittlung von PNR-Daten für den Seeverkehr weiter erörtern können", nicht unerwähnt.

Mehr zum Thema

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 31.01.2019, 9:43 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare