Flugdaten-unplash 7929 images-CC0 Public Domain-via pixabayAnfang des Monats sollte die EU-Richtlinie zur Fluggastdatenspeicherung, Passenger Name Record (PNR), bereits verabschiedet werden. Die Entscheidung wurde jedoch bis auf weiteres vertagt. Also nutzen wir die Zeit, um ein paar Fragen zu klären: Was genau sind PNR-Daten? Wie sollen sie genutzt werden, um was zu erreichen?

PNR-Daten

Unter Passenger Name Records fallen Informationen wie Kontakt-, Reise- und Zahlungsdaten. Sie umfassen 19 verschiedene Angaben. Schon seit Langem werden solche Informationen von den Fluggesellschaften erhoben und intern verwendet. In Folge der Anschläge vom 11. September 2001 haben die USA ein Gesetz erlassen, das die Flugunternehmen verpflichtet, diese Daten an die Sicherheitsbehörden weiterzuleiten. Durch ein Abkommen mit der EU werden auch die Daten aller Reisenden, die mit europäischen Airlines in die Staaten einreisen, gleichermaßen weitergeleitet. Das Abkommen hierfür besteht seit 2007 und wurde 2012 novelliert. Ähnliche Vereinbarungen hat die EU mit Kanada und Australien getroffen.

Auch innerhalb der EU gibt es bereits Länder, die Fluggastdaten speichern. Dies waren bis 2012 Großbritannien und Dänemark. Im Jahr 2013 wurde von der EU-Kommission im Rahmen ihres „Programmes zur Prävention von und Kampf gegen Kriminalität“ (ISEC) ein Topf von 50 Millionen Euro für PNR ausgeschüttet. Das Geld wurde auf die 14 EU-Länder verteilt, die zuvor einen Vorschlag zur Einführung eines nationalen PNR-Systems eingereicht haben.

Deutschland hat noch kein PNR-System, es hat auch kein Geld für den Aufbau eines solchen erhalten. Stimmt das EU-Parlament bei der nächsten Abstimmung für die Richtlinie, so wird sich das bald ändern. Der Vorschlag der Kommission sieht vor, dass in jedem Land eine nationale PNR-Zentralstelle eingerichtet wird, in welcher die Daten aller Reisenden, die aus diesem Mitgliedsstaat die EU verlassen, oder die in diesem Mitgliedsstaat in die EU einreisen, für eine Dauer von 5 Jahren gespeichert werden.

Nutzen der Datenspeicherung

Wozu das Ganze? Ziel der Richtlinie ist es, „Sicherheit herzustellen, das Leben der Bürger zu schützen und einen rechtlichen Rahmen für den Datenschutz bei der Verarbeitung von PNR-Daten zu bilden“. So heißt es in dem Vorschlag der EU-Kommission. Die Befürworter sehen die Datenspeicherung als notwendiges Mittel zur Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Sie hoffen, so die Netzwerke von Kriminellen aufzudecken, Verbindungen offenzulegen und dadurch bisher unbekannte Verdächtige ausfindig machen zu können.

Die künftige PNR-Zentralstelle eines Landes darf die PNR-Daten von Fluggästen vor ihrer planmäßigen Ankunft bzw. ihrem Abflug mit relevanten internationalen oder nationalen Datenbanken abgleichen, um verdächtige Personen zu ermitteln. Sie darf die PNR-Daten einzelner Personen an die zuständigen Behörden weiterleiten, wenn diese begründete Anfragen stellen oder sich durch die Datenverarbeitung der Zentralstelle ein Verdacht ergeben hat, der weiter untersucht werden soll.

Anonymisierung der Daten

Um Datenschutz zu gewährleisten, sollen die Daten innerhalb kurzer Zeit anonymisiert werden. Der ursprüngliche Vorschlag der Kommission sah hier eine Dauer von 30 Tagen vor, durch Änderungen durch das EU-Parlament könnte es aber auch eine Zeitspanne von 6 Monaten werden, in der die Daten noch unverschlüsselt bleiben. Danach sollen die Daten nicht im wahrsten Sinne des Wortes anonymisiert werden. Denn dies würde zu keinem späteren Zeitpunkt Rückschlüsse auf die Person zulassen, was die Daten für Ermittlungen nutzlos machen würde. Stattdessen möchte man die Daten depersonalisieren. Es soll die Technik des „masking outs“ zum Einsatz kommen. Dies ist eine Technik, die alltäglich bei Kreditkartennummern verwendet wird. Dabei werden die Daten vorübergehend unlesbar gemacht, doch mit einem Schlüssel kann man die Depersonalisierung wieder aufheben, sodass sie wieder nutzbar sind.

Zwischen den einzelnen PNR-Zentralstellen der Mitgliedsstaaten sollen die Daten bei Bedarf einfach in anonymisierter Form ausgetauscht werden. Im Fall konkreter Bedrohungen oder konkreter Ermittlungen kann die Zentralstelle eines Landes auch den Schlüssel zur Repersonalisierung von bestimmten Daten von der Zentralstelle eines anderen Landes anfordern. Die Mitgliedstaaten dürfen PNR-Daten und die Ergebnisse der Verarbeitung dieser Daten in konkreten Einzelfällen auch an einen Drittstaat weitergeben. Dabei muss allerdings die Übermittlung der internationalen Sicherheit dienen und der Drittstaat insbesondere ein angemessenes Schutzniveau für die beabsichtigte Datenverarbeitung gewährleisten.

Bewertung

Das Centrum für europäische Politik (cep) hat bereits 2011 eine Analyse des Vorschlags der Kommission erstellt. Darin schneidet das Vorhaben schlecht ab. Die Kritik wird an drei Punkten festgemacht. Der erste Kritikpunkt ist der nicht nachgewiesene Nutzen des Verfahrens. So liegen der Europäischen Kommission keinerlei detaillierte Statistiken darüber vor, inwieweit die Datenspeicherung tatsächlich dazu beitragen kann, schwere Kriminalität und Terrorismus zu verhindern. Der zweite Punkt ist der Kostenfaktor. 2007 schätzte die Kommission die Kosten für die Einrichtung von PNR-Zentralstellen und der Kommunikationsinfrastrukturen für alle Mitgliedstaaten auf 615 Millionen Euro. Bei der Präsentation des Richtlinien-Vorschlags 2011 rechnet sie nur noch mit 221 Millionen Euro. Wie diese Differenz zustande kommt, bleibt offen. Als dritten Punkt führt das cep juristische Bedenken an: So widerspräche die Vorratsdatenspeicherung der Verhältnismäßigkeit. Eine Speicherung über eine Zeitspanne von fünf Jahren sei zu lang. Darüber hinaus sieht das Centrum in der Richtlinie eine Verletzung des EU-Grundrechts auf Datenschutz. Das Sammeln und Aufbewahren von Daten unverdächtiger Personen verstoße auch gegen das festgelegte Erfordernis der Zweckbindung der Datenverarbeitung. In Bezug auf deutsches Recht sei es als ein Eingriff in das Recht auf informationelle Selbstbestimmung zu bewerten, so das cep.

Trotz dieser Bedenken ist derzeit davon auszugehen, dass die EU-weite Vorratsdatenspeicherung der Flugdaten kommen wird. Das EU-Parlament muss zwar noch abstimmen, aber da es die Systeme dank der Subventionierung durch die Kommission faktisch schon in mehr als der Hälfte der EU-Staaten gibt, hat das Parlament kaum noch eine Wahl.

Bild: Unsplash, CC0 Public Domain

CC-Lizenz-630x1101