Sicherer reisen

Genauso hat man sich das immer vorgestellt. Die Privatsphäre der Bürger interessiert staatliche Stellen einen Dreck, sobald sie irgendwelchen anderen Interessen entgegensteht. Soweit es um die Belange des Militärs, der Polizei oder der berufsmäßigen Schnüffler der Inlands- und Auslandsgeheimdienste geht, ist sogar in den Datenschutzvorschriften selbst festgelegt, dass die Herrschaften in den Amtsstuben sich ungebremst in die Intimsphäre einschleichen dürfen.

So enthält die Richtlinie 95/46/EG, an der sich alle Datenschutzgesetze in der EU orientieren müssen, im Artikel 13 einen Passus, nach dem der Datenschutz aufgehoben werden kann, wenn es notwendig erscheint für »die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit (...), ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der EU« sowie für »Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt (…) verbunden sind«. Kurz: gegen die ungehemmte Sammelwut staatlicher Überwachungsagenturen gibt es keinerlei gesetzlichen Schutz.

Dass aber noch nicht einmal genuin staatliche Interessen berührt sein müssen, um den Datenschutz aufzuheben, dafür hat nun die Europäische Kommission den schlagenden Beweis geliefert. 15 Monate lang, das kam in der vergangenen Woche heraus, verhandelten Brüsseler Beamte mit ihren Kollegen aus den USA über den Zugriff der US-Behörden auf die Datenbanken der europäischen Fluglinien und Reiseveranstalter.

Damit wollten sie einer Forderung aus den USA nachkommen, die zehn Tage nach den Anschlägen vom 11. September 2001 ein Gesetz zur Flugsicherheit verabschiedet hatten. Demnach werden Airlines, die nicht unmittelbar nach dem Start eines Flugzeuges mit einem in den USA gelegenen Ziel die Daten der Reisenden und der Crew durchgegeben haben, mit Sanktionen bedroht, die bis zur Verweigerung der Landeerlaubnis reichen können.

Mit den Datenschutzvorschriften der EU wäre das auf keinen Fall vereinbar gewesen, denn in Artikel 25 der eingangs genannten Richtlinie heißt es, dass die Übermittlung von Daten in Drittländer nur dann zulässig ist, wenn »dieses Drittland ein angemessenes Schutzniveau gewährleistet«.

Das ist in den USA eindeutig nicht der Fall, denn dort gibt es keinerlei Vorschriften zum Schutz der Daten von Ausländern. Als sie sich mit den Vertretern des US-Zollministeriums, die die Angelegenheit dort betreuen, an einen Tisch setzten, dürfte auch den europäischen Beamten klar gewesen sein, dass sie daran nichts würden ändern können. Sollten sie dem Begehren der USA nachgeben, verstießen sie gegen das gültige Datenschutzrecht der EU. Sollten sie sich aber weigern, so wären die Folgen womöglich herbe Verluste für die Fluggesellschaften.

Seit dem 5. März können die USA nun 15 Minuten nach dem Start über die im bayerischen Erding beheimatete Reiseveranstalter-Datenbank Amadeus auf die Daten aller Reisenden an Bord von Flugzeugen zugreifen, die aus der EU in die USA fliegen. Und das sind nicht nur die Daten der aktuellen Flüge. In Amadeus werden zwei Jahre lang auch sämtliche weiteren Flüge gespeichert, die eine Person gebucht hat, dazu Bahn-, Mietwagen- und Hotelreservierungen, die Identität von eventuellen Mitreisenden und Kreditkartendetails. Mithilfe der ebenfalls gespeicherten Menüwünsche kann häufig auf die Religionszugehörigkeit geschlossen werden.

Durch den Abgleich mit weiteren Daten, etwa aus der Telefonüberwachung, können umfangreiche Persönlichkeitsprofile erstellt werden. Unter der Bezeichnung »Total Information Awareness« betreiben die USA seit dem vergangenen Jahr ein ehrgeiziges Projekt: Durch Einbeziehung aller erreichbaren Datenbanken und die Anwendung moderner Data-Mining-Tools sollen Anschläge wie am 11. September künftig vorhersagbar werden. Der Leiter des Projekts ist übrigens der aus der Iran-Contra-Affäre einschlägig berüchtigte Admiral John Poindexter.

Angesichts solchen Personals und solcher Absichten dürfte von vornherein klar sein, dass von Zusicherungen nichts zu halten ist, welche die Kommission angeblich schnell noch den Amerikanern abtrotzte, als die Enthüllung der vorhergegangenen konspirativen Treffen in Brüssel ersten Aufruhr verursachte. Spezielle Filtersoftware soll nun dafür sorgen, dass die USA nur diejenigen Daten erhalten, die sie zu brauchen behaupten. Zudem wollen die USA gemäß den Datenschutzvorschriften der EU handeln.

Das hört sich gut an, ist es aber nicht. Ein Datenschutzgesetz der EU, das in allen Mitgliedsstaaten gälte, gibt es nicht. Die von der EU erlassenen Richtlinien geben lediglich einen Rahmen vor, an den sich nationale Gesetzgebungen zu halten haben. Überprüfbar ist das Einhalten von EU-Standards nicht. Das schaffen schon in Europa die verschiedenen Beauftragten nur in einem sehr begrenzten Maße. Sobald die Daten die EU verlassen haben, gibt es niemanden mehr, der den Umgang damit überprüfen könnte.

Für das EU-Parlament war all das in der vergangenen Woche Anlass genug, sich eingehend mit dem Fall zu beschäftigen und in einer eilends verabschiedeten Resolution die Frage nach der gesetzlichen Grundlage für das Abkommen mit den USA zu stellen. An die Kommission richteten die Parlamentarier den Vorwurf, ihr Verhalten könnte »als indirekte Aufforderung an die Mitgliedsstaaten aufgefasst werden, das Gemeinschaftsrecht zu missachten« – zwischen EU-Institutionen, wo meist auf einen vorsichtigen, diplomatischen Tonfall Wert gelegt wird, ein einmaliger Vorgang.

Um der Resolution noch etwas mehr Nachdruck zu verleihen, kündigten einige Parlamentarier in der vergangenen Woche außerdem an, die Kommission wegen das Abkommens vor dem Europäischen Gerichtshof zu verklagen. Doch bis der Hof urteilt, vergeht in der Regel eine Menge Zeit. Und währenddessen wird, wenn die Passagierzahlen nicht zurückgehen, monatlich rund eine Million europäischer Personendatensätze in das Computernetz der Total Information Awareness eingespeist.