Eine Vereinbarung zum Austausch von Flugpassagierdaten zwischen der EU und Kanada ist illegal, weil es Persönlichkeitsrechte verletzt, hat der Europäische Gerichtshof geurteilt.
Die rechtliche Einschätzung des obersten EU-Gerichts über einen vorgeschlagenen Austausch von Flugpassagierdaten ist ein neuer Rückschlag für die Datenregulierungsversuche der Europäischen Kommission- nachdem bereits die Datenvorratsspeicherung sowie im Jahr 2015 die sogenannte „Safe-Harbour-Vereinbarung“ gekippt worden waren.
Das PNR (Passenger Name Record) Abkommen mit Kanada war von der Kommission 2014 ausgehandelt worden, um die Sicherheit und die Überwachung von potenziell gefährlichen Flugpassagieren zu erleichtern. Der EuGh kritisierte mehrere Punkte des Deals; beispielsweise sei die Vorgabe, Daten fünf Jahre lang zu speichern, unverhältnismäßig.
Darüber hinaus würde das weitreichende Abkommen die Persönlichkeitsrechte der Flugpassagiere verletzen, da Behörden Datensätze austauschen könnten, mit denen „komplette Reiseverläufe, Reisegewohnheiten, Beziehungen zwischen zwei oder mehreren Personen sowie Informationen über die finanzielle Situation der Fluggäste, ihre Ernährungsgewohnheiten oder ihren Gesundheitszustand und sogar sensible Daten über die Fluggäste“ eingesehen werden könnten.
EU-Sicherheitskommissar Julian King kündigte in einer Pressekonferenz am Mittwochnachmittag an, er werde sich im Laufe des Tages mit seinen kanadischen Kollegen in Verbindung setzen, um eine Neuverhandlung des Abkommens anzukündigen. Er stellte dennoch klar, die PNR-Vereinbarung sei „sehr wichtig“. Eine abgeänderte Version werde die EU-Datenschutzrichtlinien einhalten.
Der Gerichtshof forderte die Kommission auf, genauer abgesteckte Datenkategorien zu entwerfen, um sicherzustellen, dass nur Daten gesammelt werden, die tatsächlich zum Kampf gegen den Terrorismus oder gegen schwere Verbrechen verwendet werden können.
Die niederländische EP-Abgeordnete Sophie in ‘t Veld führte die PNR-Verhandlungen für das Europäische Parlament, rief später jedoch den EuGh dazu auf, das finale Abkommen zu prüfen, weil sie selber datenschutzrechtliche Mängel vermutete. Gestern kritisierte sie die Kommission und nationale EU-Staatsregierungen, die den Deal durchgedrückt hätten. Sie hätten „starrköpfig an einem fehlerhaften Abkommen festgehalten“, was „sehr traurig“ sei.
Insgesamt zeige die gestrige Entscheidung des Gerichts, dass viele Anti-Terror-Gesetze zu hastig beschlossen werden und einer rechtlichen Überprüfung nicht standhalten, fasste die Abgeordnete zusammen.
Zivilgesellschaftliche Organisationen glauben, dass das Urteil einen Domino-Effekt auf ähnliche Datenregulierungen in der EU haben könnte. „Das vorgeschlagene PNR-Abkommen zwischen der EU und Kanada galt als das am wenigsten einschneidende unter den PNR-Gesetzen der EU. Nach diesem Urteil muss die EU auch sofort ihre Einigungen mit Australien und den USA aussetzen”, forderte die NGO European Digital Rights in einer Pressemitteilung.
Unter dem Abkommen mit den USA können Passagierdaten bis zu 15 Jahre gespeichert werden. Beim Deal mit Australien gilt eine Spanne von fünfeinhalb Jahren. Ab nächstem Jahr gilt ein weiteres Gesetz, unter dem EU-Staaten Daten über Flüge, die in Europa ankommen oder die EU-Gebiete verlassen, mit anderen EU-Mitgliedern geteilt werden müssen. Allerdings haben die Länder die Möglichkeit, dieses Gesetz breiter auszulegen und somit auch Daten von Passagieren zu teilen, die zwischen zwei EU-Mitgliedsstaaten reisen.
King ist sich jedoch sicher, dass das Urteil zum Kanada-Abkommen keine Auswirkungen auf die innereuropäischen Gesetze haben wird. Er erklärte auch, die Kommission unterstütze derzeit zehn Mitglieder dabei, ihre Flugdaten-Systeme auf- und auszubauen, um Passagierdaten aufzeichnen zu können und dem neuen Gesetz zu entsprechen.
Derweil werden zwei weitere Datenschutzfälle vom EuGh verhandelt: Es liegen zwei Beschwerden gegen den sogenannten EU-US-Datenschutzschild. Die Beschwerden wurden nur zwei Monate, nachdem die Kommission und die Obama-Administration den Deal abgeschlossen hatten. Er soll das Abkommen übere sichere Häfen, das 2015 für nicht rechtens befunden wurde, ersetzen.
Im September soll nun eine Delegation der Europäischen Kommission nach Washington reisen, um die Regularien des Datenschutzschilds zu überprüfen. Eine Gruppe MEPs aus dem Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) kehrte vergangene Woche von einem Besuch aus den USA zurück und warnte, das Abkommen verstoße wohl gegen EU-Datenschutzgesetze. Außerdem habe die Regierung von US-Präsident Donald Trump noch immer keinen Beamten eingesetzt, der einem Beschwerdedienst für US-Bürger, die fürchten, dass ihre Daten missbräuchlich verwendet werden, vorstehen soll.
Eine Sprecherin des EuGh teilte mit, man könne noch nicht sagen, wann die Anhörungen zu diesen zwei Beschwerden starten.