11 Europa und Internationales
11.1 PNR – der Sicherheitswahn greift in den Himmel
Nach der gesetzlich beschlossenen Vorratsdatenspeicherung der Telekommunikationsverkehrsdaten droht nun die der Flugverkehrsdaten.
Die terroristischen Anschläge des 11. September 2001 inspirierten zu vielen Datensammlungen. Da das Anschlagsmittel Flugzeuge waren, lag es für die US‑Regierung scheinbar nahe, in einem „Aviation and Transportation Act“ von Flugunternehmen Daten, sogenannte Passenger Name Records (PNR), über sämtliche Fluggäste zu verlangen, auch von europäischen Gesellschaften, die die USA anfliegen. Ein Abkommen zwischen den USA und der Europäischen Union (EU), das diese einseitige Praxis zu regulieren versuchte, war aus Datenschutzsicht viel zu weitgehend und wurde im Jahr 2006 vom Europäischen Gerichtshof wegen mangelnder Zuständigkeit der EU-Kommission aufgehoben. Inzwischen wurde ein neues Abkommen vom EU-Rat geschlossen, das US-Behörden berechtigt, 38 Datenfelder sämtlicher Flugreisender abzugreifen und diese Daten 15 Jahre zu speichern und zu nutzen. Vom Beginn des Jahres 2008 an sollte statt des Zugriffs auf die Datenbanken (Pull-Verfahren) eine aktive Übermittlung (Push-Verfahren) treten.
Trotz aller Kritik fanden sich in der EU immer mehr Freunde dieser Maßnahme. 2004 verpflichtete der Rat der EU die Beförderungsunternehmen unter dem Kürzel API (Advanced Passenger Information), Angaben über die beförderten Personen zu übermitteln, wobei die Verbesserung der Grenzkontrollen und die Bekämpfung illegaler Einwanderung im Vordergrund standen. Die nationale gesetzliche Umsetzung dieses Beschlusses erfolgte Ende 2007.
Obwohl bisher noch keine Auswertungen mit den Erfahrungen der bisher praktizierten Maßnahmen vorlagen, startete die EU im November 2007 eine weiter gehende Initiative für einen Rahmenbeschluss zur Speicherung von Fluggastdatensätzen zu Strafverfolgungszwecken. Ganz nach dem US-Vorbild sollen danach sämtliche Flugunternehmen, die die EU anfliegen, die PNR-Fluggastdatensätze übermitteln; diese Daten würden dann 13 Jahre lang für Sicherheitszwecke gespeichert werden.
Damit würden die Flugverkehrsdaten von sämtlichen die EU-Grenzen überquerenden Personen in einer Sicherheitsdatei ohne jeden konkreten Anlass und ohne jeglichen Sicherheitsbezug bevorratet und genutzt. Der Versuch des ULD und anderer Datenschutzkollegen, die Länder im Rahmen des Bundesratsverfahrens zu einer kritischen Stellungnahme zu veranlassen, waren erfolglos. Diese neue Maßnahme ins Blaue hinein wäre verfassungswidrig. Sie knüpft an den unbestimmten Begriffen des Terrorismus und der organisierten Kriminalität an. Die Daten sollen schon zur Verhütung von Straftaten im Vorfeld einer Gefahr ausgewertet und in komplexen Verfahren analysiert werden. Selbst Ansätze von datenschutzrechtlichen Sicherungen wurden nicht vorgelegt.
Damit wird die EU Vorbild für viele Staaten, die Reisebewegungen minutiös erfassen wollen. Tatsächlich dauerte es nur wenige Wochen, bis Korea von europäischen Fluglinien genau die Forderung aufstellte, die die EU aufzuerlegen sich anschickt. Auch andere Staaten folgen dem schlechten Beispiel der USA und nun der EU. Wenn die EU den Rahmenbeschluss fasst, so wird sich die Speicherung von Fluggastdaten voraussichtlich weltweit etablieren; vom Datenschutz bleibt keine Spur. Betroffen sein werden von der langjährigen Beobachtung nicht nur Touristinnen und Touristen, sondern ebenso Geschäftsreisende. Welchen wirtschaftlichen Schaden dies für die betroffenen Personen, Unternehmen und Geschäftszweige anrichten wird, ist noch nicht abschätzbar. Die ULD-Stellungnahme ist abrufbar unter
www.datenschutzzentrum.de/flugdaten/20071204-rahmenbeschluss.htm
Was ist zu tun?
Die Pläne eines EU-Rahmenbeschlusses zur Speicherung von Fluggastdatensätzen sollten schleunigst und unwiderbringlich von der politischen Agenda verschwinden.
11.2 Datenschutz in der 3. Säule
Die Normierung des Datenschutzes in der 3. Säule der Europäischen Union – also in den Bereichen Polizei und Justiz – kommt nur langsam voran. Das absehbare Ergebnis ist wenig ermutigend.
Der Vorschlag eines Rahmenbeschlusses des Rates über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, hat eine lange Geschichte ohne bisher absehbares Ende. Nach mehrjährigen Vorbereitungen hatte die Kommission dem Rat der Europäischen Union (EU) im Oktober 2005 einen ersten Entwurf übermittelt. Die deutsche EU-Präsidentschaft schaffte es auch bis Mitte 2007 nicht, hierüber Einigkeit herzustellen. Derweil gibt es weniger Einigungsprobleme bei der Verabredung der informationellen Zusammenarbeit, etwa jüngst zur Fluggastdatenspeicherung (Tz. 11.1). Inzwischen liegt ein Text vor, der eigentlich noch im Jahr 2007 hätte beschlossen werden sollen, woraus aber nichts wurde. Dennoch ist schon eindeutig zu erkennen, dass der Entwurf über einen Minimalkonsens nur wenig hinausgeht. Mit deutschem Datenschutzverständnis wäre eine solche Minimallösung nicht in Einklang zu bringen.
Der Rahmenbeschluss wird künftig weniger den Bund, sondern vor allem die Länder betreffen, da dort fast vollständig die Zuständigkeit für die Gefahrenabwehr und die Strafverfolgung liegt. Umso unverständlicher ist es, dass die Einbindung der Länder in die Diskussion des geplanten Beschlusses zu wünschen übrig ließ. Die Datenschutzbeauftragten der Länder wurden teilweise gezielt über die aktuellen Texte im Unklaren gelassen.
Anstatt sich auf einen einheitlichen Mindeststandard beim Datenschutz im Sicherheitsbereich zu verständigen, soll der Rahmenbeschluss nur für den grenzüberschreitenden Datenverkehr gelten. Dies mag angesichts des teilweise sehr niedrigen Datenschutzniveaus in manchen EU-Staaten erklärlich sein, hinsichtlich des Umstandes, dass künftig alle Staaten durch ein Grundrecht auf Datenschutz gebunden sein sollen, ist dies aber nicht ausreichend. Durch die Beschränkung des Datenschutzregimes auf grenzüberschreitend ausgetauschte Daten entsteht ein hoher bürokratischer Aufwand durch die Notwendigkeit der Datenkennzeichnung im Hinblick auf Datenqualität, Herkunft und Zweckbindung sowie die Notwendigkeit der separierten Verarbeitung und der Einholung der Zustimmung bei weiter gehenden Nutzungen.
Der Nutzungsbereich der Daten wird extensiv beschrieben, indem neben der Ermittlung, Feststellung oder Verfolgung von Straftaten auch deren Verhütung erfasst wird. Angesichts der auch in Deutschland bestehenden Tendenz, damit Lebensbereiche des sogenannten Vorfeldes und der Gefahrenermittlung mit zu erfassen, in denen also weder eine Straftat noch eine konkrete Gefahr vorliegen, wird der Rahmen für die Verarbeitung praktisch nicht mehr greifbar. Von der nach dem deutschen Recht bewährten Trennung zwischen Gefahrenabwehr und Strafverfolgung ist nirgends die Rede. Damit sind auch diese weiten Zwecke keine normative Grenze für die Datenverwendung. Vielmehr wird die Zweckänderung generell erlaubt, vorausgesetzt sie ist verhältnismäßig und nicht mit dem ursprünglichen Verarbeitungszweck unvereinbar. Selbst an die Übermittlung der Daten in Drittstaaten werden kaum strengere Anforderungen geknüpft. Die wesentlichen nationalen Sicherheitsinteressen und insbesondere die Tätigkeit der Geheimdienste sollen durch den Rahmenbeschluss unberührt bleiben. Dies muss wohl so verstanden werden, dass von einem anderen EU-Staat übermittelte Daten von den Geheimdiensten nach nationalem Recht genutzt werden dürfen.
Überarbeitungsbedürftig sind auch die Transparenzregeln. Bei der Benachrichtigung der Betroffenen hat man es sich einfach gemacht: Statt den Versuch zu starten, gemeinsame Regeln zu definieren, wird jeweils auf das nationale Recht verwiesen. Selbst dieses Niveau kann unterschritten werden, wenn der übermittelnde Mitgliedstaat darum ersucht. Geradezu beängstigend ist die Regelung zum Auskunftsrecht, die tatsächlich keine Auskunft über die Daten gewährleistet, sondern im schlechtesten Fall die Bestätigung von der nationalen Kontrollstelle, dass alle erforderlichen Überprüfungen durchgeführt wurden; und selbst dieses Recht kann aus Sicherheitsgründen weiter beschränkt werden.
Man hätte nun erwarten können, dass eine einheitliche Instanz zumindest für die Datenschutzkontrolle zuständig erklärt würde, aber wieder Fehlanzeige: Bisheriger Stand ist der Entwurf einer Ratserklärung, wonach geprüft werden soll, ob die bisher von unterschiedlichen kollektiven Kontrollgremien wahrgenommenen Aufgaben zusammengefasst werden können. Dass dies nicht nur möglich, sondern eine Zusammenfassung beim Europäischen Datenschutzbeauftragten nötig ist, hat sich bei den Ratserörterungen den Beteiligten offensichtlich bisher nicht erschlossen. Angesichts dessen ist es nur noch ein minder schwerer Mangel, dass das Regelungskonzept für die technisch-organisatorische Datensicherheit dem Stand der Neunzigerjahre des letzten Jahrhunderts entspricht. Bei allem Verständnis für die Nowendigkeit eines intensiveren Datenaustausches bleibt die Notwendigkeit des Grundrechtsschutzes bestehen. Der aktuelle Text des Rahmenbeschlusses wird kaum noch änderbar sein: eine dürftige Basis für den Start eines gemeinsamen Datenschutzes im Sicherheitsbereich der EU.
Was ist zu tun?
Der Text des Rahmenbeschlusses muss umgehend einer gründlichen Revision unterworfen werden.
11.3 Das Binnenmarktinformationssystem auf dem Prüfstand
Im Rahmen der Umsetzung der EG-Richtlinie 2005/36/EG über die Anerkennung von Berufsqualifikationen soll künftig im Wege der Amtshilfe zwischen den einzelnen Mitgliedstaaten ein grenzüberschreitender Austausch sensibler personenbezogener Daten von Angehörigen freier Berufe erfolgen. Dabei müssen die Vorschriften der EG-Datenschutzrichtlinie beachtet werden.
Worum geht es beim Binnenmarktinformationssystem (IMI – Internal Market Information System)? Ein Beispiel: Ein in Deutschland niedergelassener Arzt möchte in Frankreich eine Dienstleistung erbringen. Nach dem national umgesetzten europäischen Recht soll die in Frankreich für die Zulassung zuständige Behörde im Wege der Amtshilfe von der in Deutschland für den Arzt zuständigen Behörde alle Informationen über die Rechtmäßigkeit seiner Niederlassung und seiner „guten Führung“ anfordern können. Sie soll sich u. a. darüber informieren können, dass gegenüber dem Arzt keine berufsbezogenen disziplinarischen oder strafrechtlichen Sanktionen verhängt worden sind.
Den Betrieb des Systems will die EU-Kommission auf eine „Entscheidung“ über den Schutz personenbezogener Daten bei der Umsetzung des Binnenmarktinformationssystems vom Dezember 2007 stützen, in der die Kommission von einer gemeinsamen datenschutzrechtlichen Verantwortung der so genannten IMI-Akteure ausgeht. IMI-Akteure sind demgemäß die zuständigen Behörden der Mitgliedstaaten, die Koordinatoren sowie die EU-Kommission. Die Kommission ist Betreiber des Rechenzentrums, in dem das IMI-System gehostet ist. Sie hat die Aufgaben der Verfügbarkeit und Wartung der IT-Infrastruktur sowie der Bereitstellung eines mehrsprachigen Systems und eines zentralen Helpdesks. Sie nimmt also gegenüber den mitgliedstaatlichen Behörden im Datenschutzsinne die Rolle eines Auftragnehmers wahr. Dies bedeutet, dass die Kommission nach den Vorschriften der EG-Datenschutzrichtlinie gegenüber den für die Verarbeitung verantwortlichen Behörden der Mitgliedstaaten insbesondere den Nachweis einer ausreichenden technischen und organisatorischen Sicherheit zu führen hat. Sie kann in ihrer Eigenschaft als Betreiberin des Rechenzentrums nicht gleichzeitig für die Datenverarbeitung verantwortlich sein. Die datenschutzrechtliche Verantwortung liegt bei den Stellen, die über Inhalte, Zwecke und Mittel der Datenverarbeitung entscheiden. Diese Festlegungen liegen aber im Kompetenzbereich der mitgliedstaatlichen Behörden.
Die sogenannten Koordinatoren haben die Aufgabe, die zuständigen Behörden zu registrieren bzw. deren Registrierung zu authentifizieren. Damit sind auch diese nicht für die Datenverarbeitung verantwortlich, da hierbei keine Entscheidungen über die Inhalte und Zwecke der personenbezogenen Datenverarbeitung getroffen werden.
Was ist zu tun?
Bei der Realisierung des Binnenmarktinformationssystems muss die EU-Kommission die Vorgaben der EG-Datenschutzrichtlinie beachten. Die Entscheidung der Kommission gemäß dem aktuellen Stand bildet keine tragfähige Grundlage zur Regelung der datenschutzrechtlichen Verantwortlichkeit.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |