Die Autoren

Benedikt Langner und Marcus Schwenke sind wissenschaftliche Referenten am Centrum für Europäische Politik (CEP) in Freiburg. Das CEP ist der europapolitische Think-Tank der Stiftung Ordnungspolitik. Es versteht sich als ein Kompetenzzentrum zur Recherche, Analyse und Bewertung von EU-Politik. Die Analysen des CEP beruhen auf den Grundsätzen einer freiheitlichen und marktwirtschaftlichen Ordnung. Die vollständige Studie finden Sie hier.
___________________

Durch die Erhebung und Verarbeitung von Fluggastdaten sollen strafrechtliche Ermittlungen gegen Personen unterstützt werden, die an einer terroristischen oder schweren Straftat beteiligt sein könnten. Fluggesellschaften müssen die von Ihnen bei jeder Flugbuchung erfassten "PNR-Daten" zu all jenen Fluggästen an Behörden der Mitgliedstaaten weiterleiten, die aus Drittstaaten in die EU einreisen oder in Drittstaaten aus der EU ausreisen.

Die PNR-Daten (Passenger Name Record) umfassen bis zu 19 verschiedene Angaben, die die Fluggesellschaften bislang für eigene Zwecke erheben, u. a. Reisedaten, Rechnungsdaten und Anschrift sowie die Zahl und die Namen von Mitreisenden. Die Richtlinie regelt die Datenverarbeitung (Sammlung, Speicherung und Auswertung) durch nationale Behörden, den Datenaustausch zwischen den Mitgliedstaaten und die Datenweitergabe an Drittstaaten.

Für die Sammlung, Speicherung und Auswertung der PNR-Daten errichten oder benennen die Mitgliedstaaten jeweils eine nationale "PNR-Zentralstelle". Die Fluggesellschaften müssen die PNR-Daten auf elektronischem Wege in die Datenbank der Zentralstelle des Mitgliedstaats einspeisen, in dem ein Flug startet oder landet ("Push-Methode").

Die Zentralstelle speichert die übermittelten PNR-Daten zunächst für 30 Tage, danach für weitere fünf Jahre. Hierfür muss sie grundsätzlich die Daten durch Trennung von Daten und Identifikationsmerkmalen "anonymisieren". Auch darf sie sie nur einer "begrenzten" Zahl ihrer Mitarbeiter zugänglich machen. Ausnahmsweise dürfen diese Mitarbeiter die Trennung rückgängig machen und auf die vollständigen nicht-anonymisierte PNR-Daten zugreifen, wenn dies auf Anfrage einer Behörde für Ermittlungen zur Abwehr einer konkreten Gefahr, akuten Bedrohungen oder für eine konkrete Ermittlung oder Strafverfolgungsmaßnahme erforderlich ist. Nach Ablauf der fünf Jahre und 30 Tage müssen die PNR-Daten gelöscht werden. Ausgenommen sind die Daten, die an die zuständigen Behörden übermittelt wurden.

Ordnungspolitische Beurteilung

Durch die beabsichtigte Verwendung von PNR-Daten zur Bekämpfung von schweren Straftaten und Terrorismus werden die Daten vieler unbescholtener Fluggäste systematisch Gegenstand polizeilicher Untersuchungen und über mehr als fünf Jahre bei staatlichen Behörden gespeichert. Ein solch massiver Eingriff in das Grundrecht auf informationelle Selbstbestimmung bedarf daher einer fundierten Rechtfertigung.

Die Kommission selbst räumt jedoch ein, dass ihr "keine detaillierten Statistiken dazu vor[liegen], inwieweit solche [PNR-]Daten dazu beitragen, schwere Kriminalität oder Terrorismus zu verhüten, aufzudecken, aufzuklären oder strafrechtlich zu verfolgen". Sie führt dies darauf zurück, dass es in der EU kaum Erfahrungen über die Verwendung von PNR-Daten gibt. Sie ignoriert allerdings – bewusst (?) – die vorhandenen Erfahrungen aus den PNR-Abkommen mit Drittstaaten. Dies lässt sich damit erklären, dass diese Erfahrungen indizieren, dass der Beitrag von PNR-Daten zur erfolgreichen Verbrechens- und Terrorismusbekämpfung vernachlässigbar ist: Der Bericht des US-Department of Homeland Security vom 5. Februar 2010 etwa stellt über das PNR-Daten-Abkommen der EU mit den USA fest, dass PNR-Daten nur ein einziges Mal für einen Gerichtsprozess "verwendet" wurden. Zu den zentralen Fragen, ob die Daten für den Prozess wesentlich waren und wie der Prozess ausging, schweigt sich der Bericht aus. Es ist daher nicht gerechtfertigt, in der EU die Speicherung und Verwertung von PNR-Daten vorzuschreiben.

Die erwogene Ausweitung der Maßnahmen auf den Eisenbahnverkehr ist bereits wegen der unterschiedlichen Nutzungscharakteristika nicht praktikabel: Reisende nutzen Züge oftmals spontan, und Eisenbahnverkehrsunternehmen erfassen bis auf wenige Ausnahmen (Eurostar und Online-Buchungen) bislang keine PNR-Daten. Auch die tatsächliche Nutzung eines Zuges wird im Gegensatz zur tatsächlichen Nutzung eines Flugzeugs nicht überprüft. Die Aussagekraft der PNR-Daten wäre somit deutlich geringer.

Die Kommission muss akzeptieren, dass es keinen umfassenden Schutz vor schwerer Kriminalität und Terrorismus gibt. Dieser wäre bestenfalls zum Preis eines allumfassenden Überwachungsstaats zu haben.

Folgen für Effizienz und individuelle Wahlmöglichkeiten

2007 schätzte die Kommission bei der Präsentation des damaligen Rahmenbeschluss-Vorschlags die Kosten für die Einrichtung von PNR-Zentralstellen und der Kommunikationsinfrastrukturen für alle Mitgliedstaaten auf 615 Millionen Euro. Bei der Präsentation des jetzigen Richtlinien-Vorschlags rechnet sie nur noch mit 221 Millionen Euro. Die Kommission bleibt jede Erklärung schuldig, warum die von den Mitgliedstaaten zu tragenden Kosten für die Einrichtung plötzlich nur noch bei etwa einem Drittel des ursprünglich errechneten Betrags liegen sollen. Ihr Hinweis darauf, dass die wahren Kosten "irgendwo zwischen diesen beiden Schätzungen" liegen, ist nicht hinnehmbar. Nachvollziehbare Schätzungen forderte auch das kommissionsinterne Impact Assessment Board, IAB, bei der Bewertung einer früheren Version der Folgenabschätzung.

Juristische Bewertung

Es ist nicht ersichtlich, dass ein Handeln auf EU-Ebene einen Mehrwert verspricht. Die Begründung der Kommission, eine Harmonisierung nationaler Regelungen sei nötig, ist unhaltbar, da mit dem Vereinigten Königreich nur ein Mitgliedstaat ein fertiges System zur Verarbeitung von PNR-Daten für Strafverfolgungszwecke oder Terrorismusbekämpfung eingerichtet hat und nur wenige weitere Mitgliedstaaten die Einführung eines solchen Systems planen. Die geplante Richtlinie verstößt deshalb gegen das Subsidiaritätsprinzip.

Verhältnismäßigkeit

Die Kommission verzichtet auf jegliche Begründung, warum die vorgesehene Erfassung und Verarbeitung personenbezogener Daten notwendig sein sollte. Insbesondere bleibt sie den Nachweis schuldig, warum zur Bekämpfung von Terrorismus und schwerer Kriminalität über die bereits erhobenen API-Daten (Advance Passenger Information) hinaus weitere Daten erfasst werden müssen. Die Verwendung von API-Daten stellt einen deutlich geringeren Eingriff in das Grundrecht auf Datenschutz dar.

Die vorgeschlagene Speicherzeit von fünf Jahren und 30 Tagen ist sowohl zu lang als auch willkürlich: Die Kommission verzichtet auf jede Begründung für diese Dauer, äußert sich insbesondere auch nicht dazu, wie genau und nach welchen – eine derart lange Zeit evtl. rechtfertigenden – "Kriterien" die Überprüfung der Fluggäste in den Mitgliedstaaten erfolgen soll. Im Übrigen betragen die Speicherfristen für API-Daten lediglich 24 Stunden, für Vorratsdatenspeicherung in der Telekommunikation zwei Jahre und für an Kanada zu übermittelnde PNR-Daten dreieinhalb Jahre.

Die Unverhältnismäßigkeit der Speicherdauer wird auch nicht durch die vorgeschlagene Trennung der persönlichen Identitätsmerkmale von den übrigen Daten geheilt, da dies innerhalb der vorgesehenen fünf Jahre ohne größere Hürden rückgängig gemacht werden kann.

Vereinbarkeit mit EU-Recht

Die verdachtslose Speicherung und Verarbeitung der PNR-Daten verstößt gegen das Grundrecht auf Datenschutz, da der Eingriff, wie oben dargelegt, unverhältnismäßig ist. Das Sammeln und Aufbewahren von Daten unverdächtiger Personen verstößt auch gegen das für dieses Grundrecht festgelegte Erfordernis der Zweckbindung der Datenverarbeitung, da die Masse der PNR-Daten zum Zweck einer im Voraus nicht absehbaren Datennutzung auf Vorrat gespeichert wird.

Vereinbarkeit mit deutschem Recht

Das Bundesverfassungsgericht (BVerfG) verzichtet auf die Ausübung seiner Zuständigkeit, solange der Europäischer Gerichtshof (EuGH) einen Grundrechtsschutz gewährleistet, der dem des Grundgesetzes im Wesentlichen entspricht. Das Grundgesetz bleibt daher bei der Umsetzung der Richtlinie implizit zu berücksichtigen.

Die in der Richtlinie vorgesehene verdachtslose Vorratsdatenspeicherung greift in das informationelle Selbstbestimmungsrecht ein. Für die (von einer EU-Richtlinie vorgegebene) verdachtslose Speicherung individueller Telekommunikationsdaten erachtete das BVerfG bereits eine Speicherungsdauer von sechs Monaten als Obergrenze dessen, was zu rechtfertigen sei. Maßgeblich zugunsten der Vorratsdatenspeicherung wertete das Gericht zudem den Umstand, dass die Daten bei den Diensteanbietern gespeichert werden und nicht direkt beim Staat, wie es der Vorschlag für PNR-Daten vorsieht. Problematisch ist auch der Abgleich der PNR-Daten mit noch festzulegenden "Kriterien" durch die Zentralstellen, bei dem es sich um eine Art "Rasterfahndung" handelt. Eine präventive polizeiliche Rasterfahndung ist mit dem grundgesetzlichen Grundrecht auf informationelle Selbstbestimmung nur vereinbar, wenn zumindest eine konkrete Gefahr für hochrangige Rechtsgüter gegeben ist. Als verdachtsunabhängige Vorfeldmaßnahme entspricht die von der Kommission vorgesehene Rasterfahndung nicht den Anforderungen des Grundgesetzes.

Zusammenfassung der Bewertung

Der Richtlinienvorschlag sollte nicht verabschiedet werden. Die verdachtslose Speicherung und Verarbeitung der PNR-Daten verstößt, da unverhältnismäßig, gegen das Grundrecht auf Datenschutz und als verdachtsunabhängige Rasterfahndung gegen das Grundrecht auf informationelle Selbstbestimmung. Überdies ist der Nutzen für die Verbrechens- und Terrorismusbekämpfung vernachlässigbar, wie die Erfahrungen der USA zeigen. Nicht nachvollziehbar ist, warum die Kosten für das neue System bei etwa einem Drittel des ursprünglich errechneten Betrags liegen sollen.

Links

Dokumente

CEP: Analyse - Fluggastdaten (21. März 2011)

EU-Kommission: Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwendung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität (2. Februar 2011)

EU-Kommission: Accompanying document to the Proposal for a Council Framework Decision on the use of Passenger Name Record (PNR) for law enforcement purposes (6. November 2007)

EU-Kommission: Accompanying document to the Proposal for a European Parliament and Council Directive on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime (2. Februar 2011)

EU-Kommission: Zusammenfassung der Folgenabschätzung - Begleitdokument zum Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über ein gemeinsames Konzept für die Verwendung von Fluggastdatensätzen (2. Februar 2011)

Mehr zum Thema auf EurActiv.de

"Schlag ins Gesicht für die europäischen Grundrechte" (2. Februar 2011)

EU kritisiert mangelndes US-Interesse an Datenschutz (21. Dezember 2010)

41 Maßnahmen gegen Terrorismus und Kriminalität (22. November 2010)

Die EU und der transparente Flugpassagier (22. September 2010)

Blockiert EU-Parlament die Antiterrorpläne? (22. Januar 2010)