Scharfe Kritik an Abkommen über Fluggast- und Bankdaten

Speicher-Dauer verdoppelt

Der Bundesdatenschutzbeauftragte Peter Schaar hat die Vereinbarungen zwischen EU und USA über die Weitergabe der Daten von Fluggästen und zum Zugriff von US-Behörden auf europäische Bank-Überweisungsdaten scharf kritisiert. Gemessen an den Vorgaben des europäischen Datenschutzrechts seien die Abkommen unzureichend. Die Verringerung der Anzahl der Datenfelder bei den Fluggast-Daten komme dadurch zustande, dass die Informationen mehrerer Felder in einem Feld zusammengeführt würden. Dagegen würde die Speicher-Dauer verdoppelt.

Vor dem Hintergrund der Debatte der letzten Wochen könne man zwar fast froh darüber sein, dass es überhaupt zu einer neuen Vereinbarung gekommen sei und so eine Zersplitterung der Rechtspraxis zwischen den EU-Staaten vermieden werde, sagte Schaar. Inhaltlich sei die Vereinbarung allerdings "in wesentlichen Punkten unbefriedigend", bleibe sie doch vielfach hinter den bisherigen Regelungen zurück.

Das neue Abkommen reduziere die übermittelten allenfalls Daten nur unwesentlich, so Schaar. Die Absenkung von 34 auf 19 Datenfelder komme dadurch zu Stande, dass verschiedene Datenelemente wie Identifikationsdaten zusammengeführt würden, ohne dass sich an dem Datenumfang etwas ändere. "Besonders kritisch sehe ich es, dass auch sensible Daten, etwa Essenswünsche von Passagieren, weiterhin übermittelt werden sollen", erklärte der Datenschützer. Die US-Behörden verpflichteten sich lediglich dazu, diese Daten auszufiltern und im Regelfall nicht zu verwenden.

Besonders kritisch sieht der Bundesdatenschutzbeauftragte die Verdoppelung der Regelspeicherungsdauer mit jederzeitigem Online-Zugriff von 3,5 auf sieben Jahre. Hinzu komme die Möglichkeit, auf die Daten im Einzelfall für weitere acht Jahre zugreifen zu können. Kritisch zu prüfen sei zudem, ob die Herleitung irgendwelcher Rechtsansprüche bei vertragswidriger Nutzung der Daten gewährleistet werde. "Bedauerlich ist auch", so Schaar, "dass keine unabhängige Datenschutzaufsicht vereinbart wurde."

Das vorhergehende Abkommen aus dem Jahr 2004 hatte der Europäische Gerichtshof letztes Jahr für nichtig erklärt. Ein Zwischenabkommen läuft Ende Juli aus.

Bei der amerikanischen Zusicherung über den Zugriff von US-Behörden auf die Daten europäischer Bank-Überweisungen sah Schaar immerhin einen positiven Aspekt: "Diese Zusicherung bedeutet immerhin, dass das Verfahren, bei dem US-Behörden auf Daten des internationalen Zahlungsverkehrs zugreifen, festgeschrieben und einer Kontrolle unterworfen werden soll." Das wesentliche Problem werde allerdings nicht gelöst: US-Behörden würden weiterhin auch auf Daten zugreifen können, die bei Zahlungsvorgängen ohne US-Bezug entstanden seien, etwa bei einer Überweisung von Deutschland nach Österreich.

Schaar forderte den zuständigen Dienstleister SWIFT erneut auf, durch die Änderung seiner IT-Infrastruktur zu gewährleisten, dass Zugriffe von Drittstaaten auf Daten des innereuropäischen Zahlungsverkehrs zukünftig ausgeschlossen würden. Zudem müssten die Banken ihre Kundinnen und Kunden umfassend über die Verwendung der Zahlungsverkehrsdaten informieren.

Auch im Detail behebe die SWIFT-Regelung nicht wesentliche Defizite: So erscheine die Speicherung einer Vielzahl von vorgefilterten Daten - darunter viele Einzelangaben ohne jeden Bezug zum internationalen Terrorismus - für einen Zeitraum von fünf Jahren unverhältnismäßig. Auch die Modalitäten der Weiterverwendung der Daten durch US-Behörden erscheinen Schaar als zu weit gefasst. Positiv sei, dass eine herausragende europäische Persönlichkeit die Einhaltung der Vereinbarung kontrollieren solle. "Dabei stellt sich allerdings die Frage nach den Einwirkungsmöglichkeiten dieser Person und den Konsequenzen von Beanstandungen", gab Schaar zu bedenken.