Nach EuGH-Entscheid wackeln alle EU-Flugdatenabkommen

Die Abkommen mit den USA und Australien enthalten zum Teil wortidente Regelungen zu jenen im Abkommen mit Kanada, das der Europäische Gerichtshof am Mittwoch ausgesetzt hat.

Von Erich Möchel

In Reaktion auf das negative Gutachten des Europäischen Gerichtshofs (EuGh) zum Passagierdatenabkommen (PNR) mit Kanada vom Mittwoch hat die Kommission bereits Neuverhandlungen mit Kanada angekündigt. Doch das kann nur ein Anfang sein, denn das Urteil trifft genauso auf die EU-Abkommen mit den USA und Australien zu. Beide enthalten Regelungen, die beinahe wortident mit den vom EuGH nun inkriminierten sind. Anders als jenes mit Kanada sind diese Abkommen längst in Kraft.

Die aktuellen Vorhaben von Kommission und Ministerrat zur Erfassung europäischer Flugbewegungen werden von dem Urteil ebenso erfasst wie das geplante Eintritts-/Austrittssystem für den Schengenraum. Laut Spruch des EuGH ist zwar die Erfassung und Übermittlung der etwa 50 Datenfelder gesetzeskonform, nicht aber ihre dauerhafte Speicherung nach erfolgter Ausreise. Bei allen diesen PNR-Abkommen sind jedoch Datenbanksysteme und eine Speicherdauer von fünf Jahren vorgesehen.

Was rechtskonform ist und was nicht

Als rechtskonform erachtet der EuGh zwar die Erfassung und Übermittlung dieser „Passenger Name Records“ (PNR) bis zum Zeitpunkt der Einreise, in diesem Fall nach Kanada. Bereits die Verwendung der Daten durch die Behörden vor Ort während des Aufenthalts bedürfe genauer „Regeln, aus denen die materiell- und verfahrensrechtlichen Voraussetzungen für ihre Verwendung hervorgehen.“ Dazu müssten objektive Kriterien vorgegeben werden, unter welchen Umständen „die im geplanten Abkommen genannten kanadischen Behörden die Daten verwenden dürfen.“

Zudem müsse „die Verwendung der gespeicherten PNR-Daten während des Aufenthalts der Fluggäste [...] durch ein Gericht oder eine unabhängige Verwaltungsstelle“ kontrolliert werden. Diese Vorgaben werden auch von den EU-Abkommen mit den USA und Australien schon einmal überhaupt nicht erfüllt, die ja als Blaupausen für das nun inkriminierte Abkommen mit Kanada dienten. Der eigentliche Knackpunkt aber ist das gesamte Konzept hinter der PNR-Erfassung, nämlich ein Datenbanksystem, das sämtliche Flugbewegungen aller Reisenden auf Dauer von fünf Jahren speichert, egal ob ein Verdacht auf ein schweres Verbrechen vorliegt oder ob es ganz normale Reisende sind.

Speicherung nur bei konkretem Verdacht

Dieses Prinzip liegt allen drei PNR-Abkommen zu Grunde, auch das geplante Eintritts-/Austrittssystem der EU sieht eine Speicherdauer von fünf Jahren für sämtliche anfallenden Bewegungen von allen Reisenden aus allen Drittstaaten vor. Anders als die Privacy-Gesetze in den USA, die ausschließlich dem Schutz der Privatsphäre von US-Staatsbürgern dienen, schützt die europäische Datenschutzgrundverordnung alle Daten aller Bürger aller Staaten gleich, sobald sie innerhalb der EU erfasst und verarbeitet werden.

Laut EuGH-Urteil ist eine dauerhafte Speicherung solcher Daten nur zulässig, wenn „objektive Anhaltspunkte“ gegeben seien, dass „von bestimmten Fluggästen auch nach ihrer Ausreise aus Kanada eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte“. Bei gewöhnlichen Passagieren ohne einen solchen Zusammenhang sei die Speicherung der Daten hingegen nicht gerechtfertigt, urteilte der EuGh.

Die geplanten EU-Systeme ETIAS und EES

Schon wieder Vorratsdaten

Alleine diese Schlussfolgerung bringt alle anderen Abkommen bzw. die aktuellen EU-internen Vorhaben nicht nur zum Wackeln, sondern völlig aus dem Gleichgewicht. In allen diesen Fällen handelt es sich nämlich um eine Vorratsspeicherung der Daten aller Reisenden. Der EuGH folgt hier genau seiner Argumentation, mit der die Vorratsspeicherung von Daten aus Telefonienetzen und dem Internet 2014 rückwirkend annulliert und in einem zweiten Urteil von 2016 noch einmal rechtlich untermauert wurde.

Die anlasslose und dauerhafte Speicherung der Kommunikationsdaten aller Bürger widerspricht der Menschenrechtskonvention, der EU-Charta und der E-Privacy-Richtlinie, lautete deren Kernaussage. Entlang dieser Linie argumentiert der EuGH auch bei diesem PNR-Abkommen mit Kanada; die Formulierungen „auf das absolut Notwendige beschränken“ und „klare und präzise Regeln“ ziehen sich dabei quer durch den Text. Dies sind die grundlegenden Vorgaben der neuen EU-Datenschutzgrundverordnung, die bis Mitte 2018 in allen Mitgliedstaaten umgesetzt werden muss.

„Sensible Daten“ als No-Go

„Sensible Daten“ wiederum, aus denen Höchstpersönliches wie sexuelle oder religiöse Orientierung geschlossen werden kann, dürfen laut EuGH überhaupt nicht routinemäßig, sondern nur in speziellen und begründeten Fällen weitergegeben werden. Solche Informationen sind etwa in den Datenfeldern für Menüauswahl an Bord oder jenen zu Vielflieger- und Stammkundenprogrammen der Airlines enthalten. Andere freie Datenfelder sind für Anmerkungen vorgesehen, die ganz beliebige Informationen über den Passagier enthalten können - was eben Mitarbeitern der Airlines notwendig erscheint -, überprüfbar sind diese Daten natürlich nicht.

Fortsetzung folgt

Auf welche Praktiken dieser Spruch des EuGH abzielt wird im zweiten Teil ebenso näher untersucht wie mögliche Szenarien zur näheren Zukunft gleichartiger Datensammlungen- und Verträge, die durch den Spruch des EuGH nun auch offiziell als Verstöße gegen EU-Recht deklareiert sind. Das haben die weißen Spatzen des Internets zwar seit 14 Jahren von den Netzknoten gepfiffen, zur Kenntnis genommen wurde das erst jetzt.

Mehr zu diesem Thema

Das Gutachten des EuGh im Volltext und die Reaktion der EU-Kommission

Die Analyse von Christopher Kuner, Rechtsprofessor an der Freien Universität Brüssel, der Uni Cambrige und der Lodon School of Economics