PNR: Verstoß gegen das Grundrecht auf Datenschutz?

Nach einem Vorschlag der EU-Kommission sollen Daten von Flugpassagieren in Zukunft automatisch an europäische Sicherheitsbehörden weitergegeben werden. Das Centrum für Europäische Politik (CEP) meint: Der Richtlinienvorschlag sollte nicht verabschiedet werden. Die verdachtslose Speicherung und Verarbeitung solcher PNR-Daten (Passenger Name Record) verstoße gegen das Grundrecht auf Datenschutz. Der Nutzen für die Verbrechens- und Terrorismusbekämpfung sei außerdem vernachlässigbar.

Tech

Durch die Erhebung und Verarbeitung von Fluggastdaten sollen strafrechtliche Ermittlungen gegen Personen unterstu?tzt werden, die an einer terroristischen oder schweren Straftat beteiligt sein ko?nnten. Foto: dpa

Die Autoren

Benedikt Langner und Marcus Schwenke sind wissenschaftliche Referenten am Centrum für Europäische Politik (CEP) in Freiburg. Das CEP ist der europapolitische Think-Tank der Stiftung Ordnungspolitik. Es versteht sich als ein Kompetenzzentrum zur Recherche, Analyse und Bewertung von EU-Politik. Die Analysen des CEP beruhen auf den Grundsätzen einer freiheitlichen und marktwirtschaftlichen Ordnung. Die vollständige Studie finden Sie hier.
___________________

Durch die Erhebung und Verarbeitung von Fluggastdaten sollen strafrechtliche Ermittlungen gegen Personen unterstu?tzt werden, die an einer terroristischen oder schweren Straftat beteiligt sein ko?nnten. Fluggesellschaften mu?ssen die von Ihnen bei jeder Flugbuchung erfassten "PNR-Daten" zu all jenen Flugga?sten an Beho?rden der Mitgliedstaaten weiterleiten, die aus Drittstaaten in die EU einreisen oder in Drittstaaten aus der EU ausreisen.

Die PNR-Daten (Passenger Name Record) umfassen bis zu 19 verschiedene Angaben, die die Fluggesellschaften bislang fu?r eigene Zwecke erheben, u. a. Reisedaten, Rechnungsdaten und Anschrift sowie die Zahl und die Namen von Mitreisenden. Die Richtlinie regelt die Datenverarbeitung (Sammlung, Speicherung und Auswertung) durch nationale Beho?rden, den Datenaustausch zwischen den Mitgliedstaaten und die Datenweitergabe an Drittstaaten.

Fu?r die Sammlung, Speicherung und Auswertung der PNR-Daten errichten oder benennen die Mitgliedstaaten jeweils eine nationale "PNR-Zentralstelle". Die Fluggesellschaften mu?ssen die PNR-Daten auf elektronischem Wege in die Datenbank der Zentralstelle des Mitgliedstaats einspeisen, in dem ein Flug startet oder landet ("Push-Methode").

Die Zentralstelle speichert die u?bermittelten PNR-Daten zuna?chst fu?r 30 Tage, danach fu?r weitere fu?nf Jahre. Hierfu?r muss sie grundsa?tzlich die Daten durch Trennung von Daten und Identifikationsmerkmalen "anonymisieren". Auch darf sie sie nur einer "begrenzten" Zahl ihrer Mitarbeiter zuga?nglich machen. Ausnahmsweise du?rfen diese Mitarbeiter die Trennung ru?ckga?ngig machen und auf die vollsta?ndigen nicht-anonymisierte PNR-Daten zugreifen, wenn dies auf Anfrage einer Beho?rde fu?r Ermittlungen zur Abwehr einer konkreten Gefahr, akuten Bedrohungen oder fu?r eine konkrete Ermittlung oder Strafverfolgungsmaßnahme erforderlich ist. Nach Ablauf der fu?nf Jahre und 30 Tage mu?ssen die PNR-Daten gelo?scht werden. Ausgenommen sind die Daten, die an die zusta?ndigen Beho?rden u?bermittelt wurden.

Ordnungspolitische Beurteilung

Durch die beabsichtigte Verwendung von PNR-Daten zur Beka?mpfung von schweren Straftaten und Terrorismus werden die Daten vieler unbescholtener Flugga?ste systematisch Gegenstand polizeilicher Untersuchungen und u?ber mehr als fu?nf Jahre bei staatlichen Beho?rden gespeichert. Ein solch massiver Eingriff in das Grundrecht auf informationelle Selbstbestimmung bedarf daher einer fundierten Rechtfertigung.

Die Kommission selbst ra?umt jedoch ein, dass ihr "keine detaillierten Statistiken dazu vor[liegen], inwieweit solche [PNR-]Daten dazu beitragen, schwere Kriminalita?t oder Terrorismus zu verhu?ten, aufzudecken, aufzukla?ren oder strafrechtlich zu verfolgen". Sie fu?hrt dies darauf zuru?ck, dass es in der EU kaum Erfahrungen u?ber die Verwendung von PNR-Daten gibt. Sie ignoriert allerdings – bewusst (?) – die vorhandenen Erfahrungen aus den PNR-Abkommen mit Drittstaaten. Dies la?sst sich damit erkla?ren, dass diese Erfahrungen indizieren, dass der Beitrag von PNR-Daten zur erfolgreichen Verbrechens- und Terrorismusbeka?mpfung vernachla?ssigbar ist: Der Bericht des US-Department of Homeland Security vom 5. Februar 2010 etwa stellt u?ber das PNR-Daten-Abkommen der EU mit den USA fest, dass PNR-Daten nur ein einziges Mal fu?r einen Gerichtsprozess "verwendet" wurden. Zu den zentralen Fragen, ob die Daten fu?r den Prozess wesentlich waren und wie der Prozess ausging, schweigt sich der Bericht aus. Es ist daher nicht gerechtfertigt, in der EU die Speicherung und Verwertung von PNR-Daten vorzuschreiben.

Die erwogene Ausweitung der Maßnahmen auf den Eisenbahnverkehr ist bereits wegen der unterschiedlichen Nutzungscharakteristika nicht praktikabel: Reisende nutzen Zu?ge oftmals spontan, und Eisenbahnverkehrsunternehmen erfassen bis auf wenige Ausnahmen (Eurostar und Online-Buchungen) bislang keine PNR-Daten. Auch die tatsa?chliche Nutzung eines Zuges wird im Gegensatz zur tatsa?chlichen Nutzung eines Flugzeugs nicht u?berpru?ft. Die Aussagekraft der PNR-Daten wa?re somit deutlich geringer.

Die Kommission muss akzeptieren, dass es keinen umfassenden Schutz vor schwerer Kriminalita?t und Terrorismus gibt. Dieser wa?re bestenfalls zum Preis eines allumfassenden U?berwachungsstaats zu haben.

Folgen fu?r Effizienz und individuelle Wahlmo?glichkeiten

2007 scha?tzte die Kommission bei der Pra?sentation des damaligen Rahmenbeschluss-Vorschlags die Kosten fu?r die Einrichtung von PNR-Zentralstellen und der Kommunikationsinfrastrukturen fu?r alle Mitgliedstaaten auf 615 Millionen Euro. Bei der Pra?sentation des jetzigen Richtlinien-Vorschlags rechnet sie nur noch mit 221 Millionen Euro. Die Kommission bleibt jede Erkla?rung schuldig, warum die von den Mitgliedstaaten zu tragenden Kosten fu?r die Einrichtung plo?tzlich nur noch bei etwa einem Drittel des urspru?nglich errechneten Betrags liegen sollen. Ihr Hinweis darauf, dass die wahren Kosten "irgendwo zwischen diesen beiden Scha?tzungen" liegen, ist nicht hinnehmbar. Nachvollziehbare Scha?tzungen forderte auch das kommissionsinterne Impact Assessment Board, IAB, bei der Bewertung einer fru?heren Version der Folgenabscha?tzung.

Juristische Bewertung

Es ist nicht ersichtlich, dass ein Handeln auf EU-Ebene einen Mehrwert verspricht. Die Begru?ndung der Kommission, eine Harmonisierung nationaler Regelungen sei no?tig, ist unhaltbar, da mit dem Vereinigten Ko?nigreich nur ein Mitgliedstaat ein fertiges System zur Verarbeitung von PNR-Daten fu?r Strafverfolgungszwecke oder Terrorismusbeka?mpfung eingerichtet hat und nur wenige weitere Mitgliedstaaten die Einfu?hrung eines solchen Systems planen. Die geplante Richtlinie versto?ßt deshalb gegen das Subsidiarita?tsprinzip.

Verha?ltnisma?ßigkeit

Die Kommission verzichtet auf jegliche Begru?ndung, warum die vorgesehene Erfassung und Verarbeitung personenbezogener Daten notwendig sein sollte. Insbesondere bleibt sie den Nachweis schuldig, warum zur Beka?mpfung von Terrorismus und schwerer Kriminalita?t u?ber die bereits erhobenen API-Daten (Advance Passenger Information) hinaus weitere Daten erfasst werden mu?ssen. Die Verwendung von API-Daten stellt einen deutlich geringeren Eingriff in das Grundrecht auf Datenschutz dar.

Die vorgeschlagene Speicherzeit von fu?nf Jahren und 30 Tagen ist sowohl zu lang als auch willku?rlich: Die Kommission verzichtet auf jede Begru?ndung fu?r diese Dauer, a?ußert sich insbesondere auch nicht dazu, wie genau und nach welchen – eine derart lange Zeit evtl. rechtfertigenden – "Kriterien" die U?berpru?fung der Flugga?ste in den Mitgliedstaaten erfolgen soll. Im U?brigen betragen die Speicherfristen fu?r API-Daten lediglich 24 Stunden, fu?r Vorratsdatenspeicherung in der Telekommunikation zwei Jahre und fu?r an Kanada zu u?bermittelnde PNR-Daten dreieinhalb Jahre.

Die Unverha?ltnisma?ßigkeit der Speicherdauer wird auch nicht durch die vorgeschlagene Trennung der perso?nlichen Identita?tsmerkmale von den u?brigen Daten geheilt, da dies innerhalb der vorgesehenen fu?nf Jahre ohne gro?ßere Hu?rden ru?ckga?ngig gemacht werden kann.

Vereinbarkeit mit EU-Recht

Die verdachtslose Speicherung und Verarbeitung der PNR-Daten versto?ßt gegen das Grundrecht auf Datenschutz, da der Eingriff, wie oben dargelegt, unverha?ltnisma?ßig ist. Das Sammeln und Aufbewahren von Daten unverda?chtiger Personen versto?ßt auch gegen das fu?r dieses Grundrecht festgelegte Erfordernis der Zweckbindung der Datenverarbeitung, da die Masse der PNR-Daten zum Zweck einer im Voraus nicht absehbaren Datennutzung auf Vorrat gespeichert wird.

Vereinbarkeit mit deutschem Recht

Das Bundesverfassungsgericht (BVerfG) verzichtet auf die Ausu?bung seiner Zusta?ndigkeit, solange der Europa?ischer Gerichtshof (EuGH) einen Grundrechtsschutz gewa?hrleistet, der dem des Grundgesetzes im Wesentlichen entspricht. Das Grundgesetz bleibt daher bei der Umsetzung der Richtlinie implizit zu beru?cksichtigen.

Die in der Richtlinie vorgesehene verdachtslose Vorratsdatenspeicherung greift in das informationelle Selbstbestimmungsrecht ein. Fu?r die (von einer EU-Richtlinie vorgegebene) verdachtslose Speicherung individueller Telekommunikationsdaten erachtete das BVerfG bereits eine Speicherungsdauer von sechs Monaten als Obergrenze dessen, was zu rechtfertigen sei. Maßgeblich zugunsten der Vorratsdatenspeicherung wertete das Gericht zudem den Umstand, dass die Daten bei den Diensteanbietern gespeichert werden und nicht direkt beim Staat, wie es der Vorschlag fu?r PNR-Daten vorsieht. Problematisch ist auch der Abgleich der PNR-Daten mit noch festzulegenden "Kriterien" durch die Zentralstellen, bei dem es sich um eine Art "Rasterfahndung" handelt. Eine pra?ventive polizeiliche Rasterfahndung ist mit dem grundgesetzlichen Grundrecht auf informationelle Selbstbestimmung nur vereinbar, wenn zumindest eine konkrete Gefahr fu?r hochrangige Rechtsgu?ter gegeben ist. Als verdachtsunabha?ngige Vorfeldmaßnahme entspricht die von der Kommission vorgesehene Rasterfahndung nicht den Anforderungen des Grundgesetzes.

Zusammenfassung der Bewertung

Der Richtlinienvorschlag sollte nicht verabschiedet werden. Die verdachtslose Speicherung und Verarbeitung der PNR-Daten versto?ßt, da unverha?ltnisma?ßig, gegen das Grundrecht auf Datenschutz und als verdachtsunabha?ngige Rasterfahndung gegen das Grundrecht auf informationelle Selbstbestimmung. U?berdies ist der Nutzen fu?r die Verbrechens- und Terrorismusbeka?mpfung vernachla?ssigbar, wie die Erfahrungen der USA zeigen. Nicht nachvollziehbar ist, warum die Kosten fu?r das neue System bei etwa einem Drittel des urspru?nglich errechneten Betrags liegen sollen.