on
– 33 –
3.3.2
Übermittlung von Flugpassagierdaten in
die USA
Auch das Interimsabkommen mit den USA zur Übermittlung von Flugpassagierdaten wirft datenschutzrechtliche
Fragen auf.
Im Mai 2004 hatte die Europäische Union mit den USA
ein Abkommen zur Übermittlung von Flugpassagierdaten
geschlossen, gegen das vom Europäischen Parlament
beim Europäischen Gerichtshof Klage eingereicht wurde
(vgl. 20. TB Nr. 22.2). Mit Urteil vom 30. Mai 2006 entschied der Europäische Gerichtshof, dass dieses Abkommen wegen fehlender Rechtsgrundlage spätestens bis
Ende September 2006 zu kündigen sei. Im Oktober 2006
wurde daraufhin ein Folgeabkommen mit einer Laufzeit
bis zum 30. Juli 2007 ausgehandelt. Die Artikel 29-Gruppe hatte sich zuvor gegen den Abschluss von bilateralen
Abkommen ausgesprochen, um eine uneinheitliche Anwendung der europäischen Datenschutzrichtlinie und eine
damit einhergehende Schwächung der Rechte der betroffenen Passagiere zu vermeiden. Den Abschluss dieses
Folgeabkommens begrüße ich daher grundsätzlich, da ansonsten Passagierdaten ohne Rechtsgrundlage und ohne
vertragliche Schutzvorkehrungen an das US-Heimatschutzministerium übermittelt worden wären. Bei den
Verhandlungen zu dem neuen Abkommen, das in zahlreichen Details mit der vorherigen Vereinbarung identisch
ist, konnte zwar erreicht werden, dass die im Jahre 2004
bei Vertragsabschluß von den USA gegebenen Zusicherungen weiterhin Bestand haben. Die von der
Artikel 29-Gruppe bereits bei Abschluss des ersten
PNR-Abkommens geäußerten Vorbehalte zu wesentlichen Punkten der Vereinbarung bleiben allerdings weiterhin bestehen. Dies betrifft insbesondere die Zweckbindung, die nach wie vor nicht genau definiert ist, aber auch
den Umfang der zu übermittelnden Daten, die bis zu
34 Elemente umfassen können. Die Artikel 29-Gruppe
hatte sich bereits in früheren Stellungnahmen dafür ausgesprochen, den Datensatz auf 19 Datenelemente zu beschränken, da diese im Kampf gegen Terrorismus und organisiertes Verbrechen für ausreichend erachtet werden.
Bis zum Jahresende 2006 ist die bereits im ursprünglichen Abkommen vereinbarte Umstellung von einem Abrufverfahren (pull) auf ein aktives Übermittlungsverfahren (push) noch immer nicht erfolgt. Nach wie vor
erhalten die US-Behörden die Daten im sog. pull-Verfahren, d. h. durch Zugriff auf die Reservierungssysteme der
Fluggesellschaften, und greifen damit auf den kompletten
K a s t e n zu Nr. 3.3.2
Anforderungen an ein neues PNR-Abkommen
Auch das Folge-Abkommen mit den USA muss einen
effektiven Schutz der Grundrechte der europäischen
Bürgerinnen und Bürger gewährleisten, die an Transatlantikflügen teilnehmen. Es könnte sich dabei an dem
zwischen der EU und Kanada abgeschlossenen Abkommen orientieren.
– Strikte Zweckbindung der übermittelten Daten auf
die Bekämpfung des internationalen Terrorismus und
der schweren grenzüberschreitenden Kriminalität.
Beschränkung der automatisierten Datenzugriffe auf
die für die Einreisekontrollen zuständigen US-Behörden.
– Begrenzung der übermittelten Datenelemente auf die
zur Identifikation der Reisenden und zur Durchführung von Einreisekontrollen im Sinne der Zweckbestimmung erforderlichen Daten. Orientierungspunkte sind dabei die von der Artikel 29-Gruppe
vorgeschlagenen 19 Datenelemente und die mit Kanada vereinbarten 25 Datenelemente.
– Ausschließliche Verwendung eines aktiven Übermittlungsverfahrens (push) unter Ausfilterung sensibler personenbezogener Daten durch die Fluggesellschaften.
– Gewährleistung eines angemessenen Datenschutzstandards bei der Verarbeitung der Daten in den
USA, insbesondere durch eine unabhängige Datenschutzkontrolle und gemeinsame regelmäßige Überprüfungen unter Beteiligung der europäischen Datenschutzbehörden.
– Löschung der Daten nach Ablauf einer angemessenen Speicherfrist.
– Gewährleistung der individuellen Datenschutzrechte, insb. auf Auskunft und Korrektur.
– Befristung des Abkommens und Einfügung einer
Evaluierungsklausel, damit das Abkommen rechtzeitig vor Ablauf der Frist nach wissenschaftlichen Kriterien unter Einbeziehung von unabhängigen Experten auf seine Wirksamkeit und seine Einschränkung
der Grundrechte hin überprüft werden kann.
BfDI 21. Tätigkeitsbericht 2005-2006
ev
Das Papier der Artikel 29-Gruppe kann aus dem Web abgerufen werden unter http://ec.europa.eu/justice_home/
fsj/privacy/index_de.htm.
Datensatz zu, der zu jedem einzelnen Passagier vorliegt.
Im Einzelfall können dies sogar mehr als 34 Datenelemente sein. Schon im Abkommen von 2004 war vorgesehen, die Übermittlung auf ein aktives „push-Verfahren“
umzustellen, um zu gewährleisten, dass sensible Daten
durch Einsatz einer Filtersoftware herausgefiltert werden.
Nachdem die europäischen Fluglinien mehrfach mitgeteilt hatten, dass die Voraussetzungen für eine Übermittlung der Daten im „push-Verfahren“ erfüllt sind, gibt es
nunmehr keine plausiblen Gründe mehr, die Umstellung
weiter zu verzögern. Die Artikel 29-Gruppe hat deshalb
die Vertragsparteien wiederholt aufgefordert, sich unverzüglich für eine entsprechende Lösung einzusetzen.
R
In Deutschland hat sich auch eine Ad-hoc-Arbeitsgruppe
„Beschäftigtendatenschutz“ des Düsseldorfer Kreises mit
der Thematik Whistleblowing auseinandergesetzt. Ein
von ihr vorbereiteter Bericht wird sich mit der Beurteilung der datenschutzrechtlichen Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung bei Meldeverfahren
unter Einsatz von sog. Whistleblowing-Hotlines nach den
Vorschriften des BDSG befassen.