EU und USA erzielen Vereinbarungen über PNR

Heise berichtet, dass zwischen der EU und den USA eine Einigung über die Übergabe der Flugpassagierdaten (Passenger Name Record) PNR) an die Sicherheitsbehörden der USA erzielt wurde. Schon im Vorfeld war bekannt geworden, dass die EU den Wünschen der USA noch weiter nachkommen wird und es gestattet, dass die US-Sicherheitsbehörden die Daten 15 Jahre lang speichern dürfen. Bislang wurden die Daten dreieinhalb Jahre vorgehalten, die USA hatte 50 Jahre verlangt. Ein neues Abkommen war notwendig geworden, nachdem der Europäische Gerichtshof letztes Jahr einem Einspruch des EU-Parlaments stattgegeben und die Vereinbarung für unzulässig erklärt hatte – allerdings nicht aus datenschutzrechtlichen Gründen, sondern weil die Rechtsgrundlage nicht zutreffend gewesen sei. Da das daraufhin in Kraft getretene Interimsabkommen im Juli ausläuft, musste eine neue Regelung gefunden werden. Die Vereinbarung, die EU-Innenkommissar Franco Frattini und Bundesinnenminister Wolfgang Schäuble mit dem US-Heimatschutzminister Michael Chertoff erreicht haben, muss noch von den Mitgliedsländern am Freitag gebilligt werden.

Als Erfolg kann bewertet werden, dass die Daten durch ein Push-Verfahren übermittelt werden sollen, bislang wurde ein Pull-Verfahren praktiziert, bei dem die US-Behörde selbst Zugriff auf die Buchungssysteme der Fluggesellschaften gehabt hatte. Statt der bislang 34 PNR-Daten müssen jetzt zwar noch 19 an die US-Sicherheitsbehörden weitergegeben werden, aber sie werden nicht nur länger vorgehalten, sondern sind auch allen Behörden des Heimatschutzministeriums und nicht mehr nur wie zuvor der Zoll- und Grenzschutzbehörde (CBP) zugänglich. Damit wurde indirekt der US-Regierung zugestanden, die Flugpassagierdaten mit anderen Informationen zu verknüpfen, um so eine Risikobewertung durchzuführen. Das wurde vom Heimatschutzministerium bereits begonnen, die EU hatte die Öffentlichkeit aber nicht darüber unterrichtet (PNR-Daten als Ausgangspunkt zum Ausspionieren).
In einem Brief an Bundesinnenminister Schäuble schrieb der EU-Datenschutzbeauftragte Peter Hustinx, dass er durch einige der vereinbarten Punkte besorgt sei. Das betrifft die Verlängerung der Vorhaltungsdauer von 3,5 auf 15 Jahre, wobei durch die Unterteilung in eine „aktive“ Vorhaltung von 7 Jahren und eine „schlafende“ Vorhaltung von 8 Jahren ein neuer rechtlicher Tatbestand geschaffen werde. Hustinx kritisiert, dass eine Menge an US-Behörden Zugriff auf die Daten erhalten, während es keine Einschränkungen dafür gibt, was sie mit diesen machen dürfen. Nach seinen Informationen gäbe es auch keinen wirklichen Rechtsweg für Beschwerden von EU-Bürgern, wenn die Daten missbräuchlich verwendet werden. Moniert wird auch, dass die USA kein bindendes Abkommen wünscht, sondern nur einen Austausch von Briefdokumenten. Die EU-Bürger würden erwarten, dass die EU-Institutionen die Rechte schützen, die in der Europäischen Charta der Grundrechte festgelegt wurden, wozu der Schutz persönlicher Daten gehöre. Hustinx äußerte gegenüber Schäuble das Bedenken, dass die Vereinbarung vermutlich nicht mit den fundamentalen Rechten der EU kompatibel sein werde.

Zudem haben EU und USA auch eine Vereinbarung über die Nutzung von Finanzdaten europäischer Bürger getroffen. Letztes Jahr war bekannt geworden, dass US-Geheimdienste Daten vom internationalen Bankennetzwerk SWIFT erhielten und auswerteten. SWIFT hat seine Zentrale in Belgien, die Daten fließen aber auch meist durch die US-Filiale, von der die CIA sie angeblich zu Zwecken der Terrorbekämpfung erhalten hatte. Das verstieß nicht nur gegen die europäischen Datenschutzgesetze, sondern gab der CIA auch prinzipiell die Möglichkeit zur Wirtschaftsspionage. Genauere Einzelheiten über die jetzt getroffene Vereinbarung sind noch nicht bekannt. Nach Informationen von Reuters sollen die US-Sicherheitsbehörden weiterhin die Daten erhalten können, sie dürften aber nur zur Terrorbekämpfung verwendet und 5 Jahre lang gespeichert worden. SWIFT selbst hatte angekündigt, die europäischen Daten in Zukunft in Europa zu belassen, wodurch die US-Behörden keinen Zugriff mehr auf sie hätten.

Die deutsche EU-Ratspräsidentschaft und das US-Finanzministerium haben eine Vereinbarung ausgehandelt, die sich in auch von Seiten der Kommission veröffentlichten „Darstellungen“ [Representations] des US-Finanzministeriums niederschlägt.

SWIFT bekommt von den US-Behörden den „Safe Harbor“-Status. Das heißt, dass SWIFT in den USA nach den Maßgaben des EU-Datenschutzrechts behandelt wird. Die Konsumenten sollen, so die Vereinbarung, von SWIFT und den Partnerbanken darüber offiziell informiert werden, dass vom US-Finanzministerium im Rahmen des „Terrorist Finance Tracking Program“ zugegriffen werden kann.

Die Vereinbarungen umfassen folgende Punkte:

Weiterleitung an Drittländer: Die US-Finanzbehörden verpflichten sich, die SWIFT-Daten ausschließlich zur Terrorbekämpfung einzusetzen. Das gelte auch dann, wenn die Daten an US-Dienste und an Drittländer weitergeleitet werden würden. Die USA versprechen auch, die Daten nicht für kommerzielle oder industrielle Zwecke zu nutzen.

Interne Überprüfungen: Das US-Finanzministerium verpflichtet sich dazu, die von SWIFT abgezogenen Daten regelmäßig einer Analyse zu unterziehen, um sicherzustellen, dass die Daten ausschließlich zur Terrorbekämpfung verwendet werden. Fünf Jahre Datenspeicherfrist

Das US-Finanzministerium darf die Daten ab dem Zeitpunkt, an dem sie erfasst wurden, fünf Jahre lang speichern. Die bereits gesammelten Daten dürfen ab offizieller Publikation der „Representations“ noch fünf Jahre lang gespeichert werden. „Eminent European“. Das US-Finanzministerium wird einen „Eminent European“, also eine hochgestellte EU-Persönlichkeit, damit beauftragen, den Umgang mit den SWIFT-Daten in den USA zu überwachen. Ernannt werden soll diese Person von der EU-Kommission. Der Kontrolleur wird an die Kommission Bericht erstatten, und die Kommission wird den Rat und das Parlament informieren.

Publikation der Regeln: Die „Darstellungen“ [Representations] sollen sowohl im Amtsblatt der EU als auch im Federal Register der USA veröffentlicht werden, damit sie öffentlich einsehbar sind.

Das EU-Parlament hat das EU-US-Abkommen zur Weitergabe von Fluggastdaten (Passenger Name Records, PNR) an US-Behörden äußerst kritisch gewürdigt. In einer gemeinsamen Resolution aller Fraktionen, dem sich nach einigen Ergänzungen zum Schluss auch die Europäischen Christdemokraten (EVP/ED) anschlossen, werden die nationalen Parlamente aufgefordert, „den vorliegenden Entwurf sorgfältig im Licht der in dieser Resolution angestellten Beobachtungen zu überprüfen“.

Ende Juni hatten Vertreter aller EU-Mitgliedsstaaten dem Abkommen zum Transfer der Flugpassagierdaten zugestimmt. Mit der von August an geltenden Übereinkunft sollen die Passenger Name Records (PNR) künftig standardmäßig 15 statt bislang dreieinhalb Jahre in den USA vorgehalten werden. Die Zahl der Datenfelder, welche die Fluglinien über den Atlantik schicken, soll im Gegenzug von 34 auf 19 schrumpfen. Diese Absenkung komme allerdings dadurch zustande, dass „verschiedene Datenelemente wie etwa Identifikationsdaten zusammengeführt werden, ohne dass sich am Datenumfang etwas ändert“, monierte bereits im Juni der Bundesdatenschutzbeauftragte Peter Schaar.
Das EU-Parlament führt nun in seiner Resolution vor allem drei Punkte an, die es trotz der besonders vonseiten der EVP anerkannten Bemühungen um eine rechtliche Grundlage für die europäischen Fluggesellschaften moniert. So kritisieren die Abgeordneten den Alleingang von Rat und Kommission bei den Verhandlungen und die nicht ausreichende Befassung der nationalen Parlamente. Außerdem gebe es eine fortgesetzte Rechtsunsicherheit in Bezug auf die tatsächlichen Verpflichtungen der Fluggesellschaften und die rechtliche Bindung des Department of Homeland Security (DHS). Darüberhinaus bemängeln die EU-Parlamentarier den Verzicht auf adäquate Datenschutzstandards.
Die als Verbesserung gefeierte Verringerung der Zahl der Datensätze bezeichnen die Parlamentarier in der Entschließung als Kosmetik. Nicht an die große Glocke gehängt wurde von der deutschen Präsidentschaft auch, dass künftig die bislang einbezogenen Datenschützer gerade nicht mehr an der jährlichen Evaluation der Maßnahme beteiligt werden sollen. Zudem erscheint das Zugeständnis, bis 2008 ein Push-System einzuführen, den Parlamentariern offensichtlich nicht ganz ernst zu sein. Man begrüße die Bereitschaft, den Transfer der Passagierdaten so umzustellen, dass das DHS die Daten nicht mehr selbst absaugt, sondern sie zugespielt bekommt. Man bedauere aber, dass diese Umstellung – „die bereits im Fluggastdatenabkommen von 2004 vorgesehen war“ – seit Jahren hinausgezögert werde.

In den Jubel darüber, dass nun ein Abkommen mehr Rechtssicherheit für Fluglinien und deren Gäste schaffe, möchten viele Parlamentarier nicht einstimmen. Abgesehen davon, dass das DHS nicht wirklich vertraglich, sondern nur durch die eigenen Zusagen gebunden ist, bedauert das Parlament vor allem „das Fehlen einer klaren, eingegrenzten Zweckbestimmung im Brief des DHS.“ In dem Brief heißt es, „dass die Fluggastdaten im Kampf gegen den Terrorismus genutzt werden können, aber auch für eine Reihe nicht näher bezeichneter zusätzlicher Zwecke, besonders für die Sicherung der vitalen Interessen des Datensubjekts oder anderer Personen oder in jeglichen strafrechtlichen Verfahren, oder wenn es sonst vom Gesetz so vorgesehen ist“.
Mit Blick auf den Datenschutz bemängeln die Abgeordneten, dass die vom DHS zugesagten Datenschutzregeln nicht klar präzisiert sind, die Daten der europäischen Bürger allein nach US-Gesetzen behandelt werden und die Speicherdauer verlängert wurde. Besorgniserregend ist nach Ansicht des Parlaments schließlich, dass „sensible Daten wie Informationen über die rassische oder ethnische Herkunft, die politische Gesinnung, religiöse oder weltanschauliche Ansichten, die Mitgliedschaft in Gewerkschaften und auch Daten bezüglich der Gesundheit oder der Sexualität des Individuums dem DHS zur Verfügung gestellt werden und dieses diese Daten in außergewöhnlichen Fällen auch nutzen kann“. Laut dem deutschen Liberalen Alexander Alvaro erinnert dieses Vorgehen „bedenklich an ein totalitäres Regime“.

Wie bei Heise berichtet wird, kritisiert die Parlamentsresolutionkönnen, dass durch den Umweg über das DHS die Daten auch an EU-Behörden zurückgelangen können. Europol und Eurojust und die Strafverfolgungsbehörden in den Mitgliedsstaaten bekommen auf diese Weise Daten außerhalb üblicher Verfahren.