Nachdem der Europäische Gerichtshof (EuGH) im April des vergangenen Jahres die Richtlinie zur Vorratsdatenspeicherung (VDS) als Verstoß gegen EU-Grundrechte verworfen hatte, hegten Manche zumindest für kurze Zeit die leise Hoffnung auf ein Europa ohne anlasslose Datensammlungen.
Dabei existieren auf EU-Ebene noch immer weitere Formen der VDS, und neue befinden sich bereits in der Mache. Für die anlasslose Speicherung und Übermittlung von Fluggastdaten (Passenger Name Record, PNR) bestehen bereits seit geraumer Zeit Abkommen der EU mit Australien und den USA. Eine vergleichbare, aber noch nicht abgeschlossene Vereinbarung mit Kanada durchläuft gerade eine Überprüfung beim EuGH. Im Gange ist außerdem ein Gesetzgebungsverfahren für eine Richtlinie zu einem EU-internen PNR, mit der die Speicherung von Fluggastdaten auf Ebene der Mitgliedsstaaten eingeführt werden soll.
Diese gigantische VDS von Reisedaten soll zur Bekämpfung von Terrorismus und transnationalen Straftaten dienen. Die Daten sollen nach dem Willen der EU-Kommission gerastert und mit anderen Datenbanken abgeglichen werden, um aktiv neue Verdächtige zu generieren. So begründet die Kommission ihren Vorschlag für ein EU-PNR damit, dass durch die Fluggastdatenspeicherung „bisher ‚unbekannte‘ Verdächtige identifiziert und ein Datenabgleich mit verschiedenen Datenbanken für gesuchte Personen und Gegenstände durchgeführt werden können“.
Von unbewiesenen Behauptungen bis zu höchstpersönlichen Informationen – bis zu 60 Einzeldaten werden gespeichert
Im Rahmen aller PNR-Systeme legen die Airlines bei jeder Flugbuchung umfangreiche Datensätze mit bis zu 60 Einzeldaten zu sämtlichen Passagieren an. Neben flugspezifischen Angaben enthalten diese Sätze unter anderem auch Informationen über Sitznachbarn, Kreditkartenzahlungen, E-Mail Adressen sowie besondere Essenswünsche. Außerdem gehört zu jedem Fluggastdatensatz auch ein Feld für allgemeine Bemerkungen, in dem persönliche Einschätzungen und unverifizierte Behauptungen über die betreffenden Passagiere notiert werden können. Die Daten werden in sogenannten Computer-Reservierungs-Systemen (CRS) gesammelt.
Die Risiken, die aus der Speicherung und Auswertung der PNR-Daten für individuelle Freiheiten und Grundrechte resultieren, sind ähnliche wie bei der VDS von Verbindungsdaten. Auch sie erlauben tiefe Einblicke in die Persönlichkeiten, die Gewohnheiten und die sozialen Netze der Betroffenen. So lassen etwa die Essenswünsche Rückschlüsse auf Gesundheitszustand und Religion zu. Daten über Mitreisende wiederum verraten, mit wem jemand persönlichen Kontakt pflegt.
Als besonders belastend können sich PNR-Einträge in dem Feld für allgemeine Bemerkungen auswirken. Zu den unbewiesenen Behauptungen, Einschätzungen und Beobachtungen, welche Reisebüros oder Airline-Angestellte an dieser Stelle aufnehmen können, gehören etwa Hinweise auf Drogenkonsum, mitgeführte Literatur oder das Verhalten der jeweiligen Personen. Neben einer Stigmatisierung können die Einträge in diesem Feld auch dazu führen, dass Geheimdienste die Betreffenden als Verdächtige einstufen und sie infolgedessen eingehend überwachen. Weitere schwerwiegende Folgen der PNR-Speicherung können Flugverbote, sogenannte No-Fly-Orders, sein. Damit können beispielsweise US-Behörden verhindern, dass Reisenden der Zutritt zu Flügen in die USA gewährt wird. Spezifische Rechtsmittel gegen derartige Einschränkungen existieren nicht. Insbesondere Personen, die selbst schon einmal mit den Folgen der PNR-Speicherung konfrontiert waren, könnten ihr Reiseverhalten deshalb anpassen und im Zweifel keinen Gebrauch von ihrem grundrechtlich garantierten Recht auf Freizügigkeit machen.
Im Rahmen der internationalen PNR-Abkommen können die Partnerstaaten diese Daten zur Terrorismusbekämpfung sowie zur Verhinderung und Verfolgung schwerer Straftaten von den Fluggesellschaften anfordern, um sie sodann bis zu 5 1/2 Jahre (Australien) bzw. 15 Jahre (USA) lang zu speichern. Verwendet werden dürfen sie dort nicht nur von den jeweiligen Sicherheitsbehörden, etwa zur Rasterfahnung oder zum Profiling, sondern auch von den Stellen anderer Staaten, an welche die Partner die PNR-Datensätze übermitteln können.
Bei dem geplanten EU-internen PNR-System sollen die Daten nach gegenwärtigem Stand fünf Jahre lang gespeichert und zur Bekämpfung von Terrorismus und transnationalen Straftaten verwendet werden. In den ersten 30 Tagen der Speicherung sollen die Daten in personalisierter Form vorliegen, danach sollen sie pseudonymisiert werden. Bei der Pseudonymisierung werden die Daten nicht gelöscht oder anonymisiert, sondern in maskierter Form gespeichert. Die auf diese Weise depersonalisierten Daten können in Terrorismus-Fällen bis zu fünf, bei anderen Straftaten bis zu vier Jahre lang wieder in ihrer ursprünglichen Fassung lesbar gemacht und abgerufen werden.
Abkommen und Richtlinie – was ist der Stand der Dinge?
Im November 2014 hat das EU-Parlament das geplante PNR-Abkommen mit Kanada zur Prüfung an den EuGH überwiesen. Vor einer Entscheidung des Gerichts, die frühestens in einigen Monaten zu erwarten ist, kann das Abkommen daher nicht weiter vorangetrieben werden. Sollte der EuGH einzelne Regelungen oder sogar das gesamte Abkommen als Verstoß gegen das EU-Recht einordnen, darf es nicht ohne substanzielle Änderungen beschlossen werden. Eine solche Entscheidung würde juristisch zwar nur für das PNR-Abkommen mit Kanada gelten, in politischer Hinsicht hätte es aber auch für die bestehenden PNR-Vereinbarungen mit Australien und den USA erhebliche Signalwirkung.
Weitaus problematischer ist es um die Richtlinie für ein EU-internes PNR-System bestellt. Nachdem die EU-Kommission bereits im Jahr 2011 einen Richtlinienvorschlag (pdf) vorgelegt hatte, den das EU-Parlament zunächst ablehnte, erhöhten Kommission und Ministerrat in der Folgezeit den politischen Druck auf die Abgeordneten. Daraufhin bekräftigte das EU-Parlament im Februar 2015 seinen Willen, bis zum Ende des Jahres eine PNR-Richtlinie zu verabschieden. Derzeit liegt das Vorhaben im Parlamentsausschuss für bürgerliche Freiheiten (LIBE), wo der Berichterstatter Timothy Kirkhope am morgigen Donnerstag seinen Vorschlag für eine Richtlinie vorstellen wird. Wir haben seinen Entwurf bereits gestern geleakt (pdf) und kommentiert. Darin schlägt er einige marginale Änderungen an dem Kommissionsentwurf vor, die aber den anlass- und uferlosen Charakter der Fluggastdatenspeicherung unangetastet lassen. Sowohl bei der Abstimmung im Ausschuss als auch bei der nachfolgenden Beschlussfassung im Plenum können noch Änderungen an der Kirkhope-Vorlage verabschiedet werden.
Umso wichtiger ist es daher, nun die EU-Abgeordneten zu kontaktieren und sie davon zu überzeugen, die Richtlinie abzulehnen. Wir haben zu diesem Zweck eine Videoaktion gestartet, mit der Ihr Euch an dem Protest gegen die Totalüberwachung des Reiseverkehrs in Europa beteiligen könnt. Wir freuen uns über Eure Unterstützung.
Rechtliche Einordnung
Für die rechtliche Einordnung der Fluggastdatenspeicherung sind vor allem zwei Vorgänge von Bedeutung: die aktuell laufende Überprüfung des PNR-Abkommens mit Kanada und das EuGH-Urteil zur VDS-Richtlinie vom April 2014. Während die Entscheidung über das Abkommen frühestens in einigen Monaten vorliegen wird, ist das VDS-Urteil für die Vereinbarkeit der Fluggastdatenspeicherung mit EU-Grundrechten schon heute von besonderer Bedeutung.
Das wegweisende Urteil des EuGH, mit dem er die Richtlinie zur VDS wegen Verstoßes gegen EU-Grundrechte aufgehoben hatte, enthält zahlreiche Vorgaben, an denen sich auch die Fluggastdatenspeicherung messen lassen muss. Unmittelbar gilt die Entscheidung zwar nur für die dort streitgegenständliche Richtlinie zur VDS. Bei der Überprüfung der Rechtfertigung der Grundrechtseingriffe zieht der EuGH jedoch erstmals die Grundsätze heran, die der Europäische Menschenrechtsgerichtshof (EGMR) für „generelle Überwachungsprogramme“, also jegliche Formen anlassloser Datensammlungen, entwickelt hat. Der Juristische Dienst des EU-Parlaments kam im Rahmen eines Gutachten zu den Auswirkungen und Implikationen des VDS-Urteils daher zu dem Schluss, dass die Vorgaben des EuGH auch für die Abkommen und die Richtlinie zu PNR maßgeblich sind.
Zunächst überprüft der EuGH dabei die persönliche Reichweite einer Datensammlung. Um als verhältnismäßige und damit zulässige Grundrechtseinschränkung zu gelten, darf die Datensammlung keine Personen betreffen, bei denen Hinweise auf eine direkte oder indirekte Verwicklung in Terrorismus oder schwere Straftaten fehlen. Zudem müssen sich die gesammelten Daten auf einen Zeitraum und einen örtlichen Bereich beziehen, in denen eine Verbindung zu derartigen Taten wahrscheinlich ist. Dies ist jedoch weder bei den Abkommen noch bei der Richtlinie zu PNR der Fall: Es werden dauerhaft und völlig unabhängig von irgendeinem konkreten Verdacht die Daten aller Reisenden gesammelt. Schon bei diesem Prüfungspunkt scheitert also die Rechtfertigung aller bestehenden und geplanten PNR-Programme.
Des Weiteren verlangt der EuGH, dass der behördliche Datenzugriff von objektiven Kriterien abhängt und der zugriffsberechtigte Personenkreis auf das absolut notwendige Maß beschränkt ist. Insbesondere bei den internationalen Abkommen zu PNR ist diese Voraussetzung nicht gegeben. So erlauben die Vereinbarungen den Partnerstaaten die Weitergabe der übermittelten Daten an eigene Behörden und an Drittstaaten. Im letzteren Fall müssen die Partner die EU über die Weitergabe informieren. Einem Evaluierungsbericht (pdf) der Kommission vom November 2013 zufolge haben die USA jedoch PNR-Daten einem Drittstaat zugänglich gemacht, ohne dies der EU mitzuteilen. Auch hebt der Bericht hervor, dass aus europäischer Sicht unklar ist, wie mit den übermittelten Daten in den USA verfahren wird. Ähnliche Unwägbarkeiten bestehen auch bei der PNR-Vereinbarung mit Australien.
Hinsichtlich der Speicherdauer muss, so der EuGH, zwischen unterschiedlichen Datenkategorien basierend auf ihrer Nützlichkeit für den mit der Datensammlung verfolgten Zweck unterschieden werden. Um sicherzustellen, dass nur das absolut Notwendige gespeichert wird, müssen die Regeln zur Speicherdauer auf objektiven Kriterien beruhen. Diese Voraussetzung wird von keinem der internationalen PNR-Abkommen eingehalten – vielmehr werden sämtliche übermittelten Daten in den Partnerstaaten unterschiedslos bis zu 5 1/2 (Australien) bzw. 15 Jahre (USA) lang aufbewahrt. In dem aktuellen Vorschlag für ein EU-PNR finden sich zwar Vorschriften über die Pseudonymisierung der Daten, die eigentliche Speicherdauer liegt jedoch einheitlich bei fünf Jahren, ohne dass eine Differenzierung nach verschiedenen Datenkategorien vorgenommen wird. Auch in diesem Punkt genügen daher weder die Abkommen noch die geplante Richtlinie den Vorgaben des EuGH.
Schließlich fordert der EuGH auch ausreichende Vorkehrungen für Sicherheit und Schutz der erhobenen Daten. Sie müssen innerhalb der EU gespeichert und so aufbewahrt werden, dass rechtswidrige Zugriffe von Behörden und Dritten ausgeschlossen sind. Unabhängige Kontrollstellen müssen in der Lage sein, diese Vorkehrungen zu überprüfen. Auch diese Voraussetzung erfüllen insbesondere die internationalen PNR-Abkommen nicht. An Partnerstaaten übermittelte Daten werden dort gespeichert, so dass europäische Kontrollstellen keine Möglichkeit besitzen, den dortigen Umgang mit Datenschutz und -sicherheit in der gebotenen Tiefe zu überprüfen. Sie sind darauf angewiesen, sich auf die bloßen Angaben der Partnerstaaten zu verlassen.
Leider folgt aus dem Umstand, dass die Abkommen und die geplante Richtlinie zu PNR offenkundig gegen EU-Grundrechte verstoßen, nicht zugleich ihre Unwirksamkeit. Richtigerweise müsste die Kommission die Kündigung der bestehenden Abkommen anstoßen, und das Parlament die Richtlinie sowie die Vereinbarung mit Kanada ablehnen. Ob das Parlament dies auch tut, wird sich in den kommenden Wochen und Monaten zeigen. Gegen die Untätigkeit der Kommission könnten Parlament und Rat zwar auf dem Klageweg vorgehen, dafür fehlen dort zurzeit allerdings die notwendigen Mehrheiten. Dies könnte sich jedoch im Zuge der EuGH-Entscheidung über das PNR-Abkommen mit Kanada ändern.
Fazit
Die politischen Institutionen auf EU-Ebene haben sich in ein politisches Ziel verrannt, das mit den EU-Grundrechten nicht vereinbar ist. Bereits diese Tendenz, Grundrechte nicht als schützenswertes Gut, sondern als lästige Hürde zu betrachten, gibt Anlass zur Sorge. Kommission, Ministerrat und Parlament verspielen zusehends das Vertrauen in ihre Fähigkeit und ihre Bereitschaft, die dringend notwendige Kurskorrektur hin zu einer grundrechtsorientierten Sicherheitspolitik vorzunehmen. Ähnlich wie bei der VDS werden ihre Bemühungen zur Erweiterung massenhafter anlassloser Datensammlungen mit einer juristischen Niederlage und einem politischen Debakel enden. Doch sollte sich die europäische Zivilgesellschaft nicht allein auf den EuGH als Retter der Grundrechte verlassen, sondern jetzt aktiv werden und den EU-Institutionen, insbesondere dem EU-Parlament, mit Nachdruck verdeutlichen, dass sie den systematischen Abbau ihrer Freiheit nicht länger hinnehmen wird.