Bonn, 29. Juni 2007
Pressemitteilung 26/2007
Schaar: Vereinbarungen zur Übermittlung von Flugpassagierdaten und von Finanzdaten an US-Behörden sind unzureichend
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat darauf hingewiesen, dass die zwischen der EU und den USA ausgehandelten Abmachungen zur Übermittlung von Passagierdaten bei Transatlantikflügen (PNR) und zum Zugriff von US-Behörden auf Daten über Finanztransaktionen (SWIFT) gemessen an den Vorgaben des europäischen Datenschutzrechts unzureichend sind. Schaar kündigte an, dass die Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten, deren Vorsitzender er ist, das neue Abkommen eingehend analysieren wird. Schaar sagte:
Vor dem Hintergrund der Debatte der letzten Wochen kann man fast froh darüber sein, dass es überhaupt zu einer neuen Vereinbarung zur Übermittlung von
PNR-Daten kommt und so eine Zersplitterung der Rechtspraxis zwischen den EU-Staaten vermieden wird. Inhaltlich ist die Vereinbarung allerdings in wesentlichen Punkten unbefriedigend, bleibt sie doch vielfach hinter den bisherigen Regelungen zurück. Das neue Abkommen reduziert die übermittelten Daten allenfalls nur unwesentlich. Die Absenkung von 34 auf 19 Datenfelder kommt dadurch zu Stande, dass verschiedene Datenelemente (etwa Identifikationsdaten) zusammengeführt werden, ohne dass sich an dem Datenumfang etwas ändert. Besonders kritisch sehe ich es, dass auch sensible Daten, etwa Essenswünsche von Passagieren, weiterhin übermittelt werden sollen. Die US-Behörden verpflichten sich lediglich dazu, diese Daten auszufiltern und im Regelfall nicht zu verwenden. Besonders kritisch sehe ich die Verdoppelung der Regelspeicherungsdauer mit jederzeitigem Online-Zugriff von 3,5 auf sieben Jahre. Hinzu kommt die Möglichkeit, auf die Daten im Einzelfall für weitere acht Jahre zugreifen zu können. Kritisch zu prüfen ist zudem, ob die Herleitung irgendwelcher Rechtsansprüche bei vertragswidriger Nutzung der Daten gewährleistet wird. Bedauerlich ist auch, dass keine unabhängige Datenschutzaufsicht vereinbart wurde.
Zu der amerikanischen Zusicherung über den Zugriff von US-Behörden auf von SWIFT gespeicherte Daten über den internationalen Zahlungsverkehr erklärte Schaar:
Diese Zusicherung bedeutet immerhin, dass das Verfahren, bei dem US-Behörden auf Daten des internationalen Zahlungsverkehrs zugreifen, festgeschrieben und einer Kontrolle unterworfen werden soll. Dies ist positiv zu bewerten. Das wesentliche Problem wird allerdings nicht gelöst: US-Behörden werden weiterhin auch auf Daten zugreifen können, die bei Zahlungsvorgängen ohne US-Bezug entstanden sind, etwa bei einer Überweisung von Deutschland nach Österreich. SWIFT bleibt aufgefordert, durch die Änderung seiner IT-Infrastruktur zu gewährleisten, dass Zugriffe von Drittstaaten auf Daten des innereuropäischen Zahlungsverkehrs zukünftig ausge-schlossen werden. Die Banken müssen ihre Kundinnen und Kunden umfassend über die Verwendung der Zahlungsverkehrsdaten informieren.
Auch im Detail behebt die SWIFT-Regelung nicht wesentliche Defizite: So erscheint die Speicherung einer Vielzahl von vorgefilterten Daten – darunter viele Einzelangaben ohne jeden Bezug zum internationalen Terrorismus – für einen Zeitraum von fünf Jahren unverhältnismäßig. Auch die Modalitäten der Weiterverwendung der Daten durch US-Behörden erscheinen als zu weit gefasst. Positiv ist, dass eine herausragende europäische Persönlichkeit die Einhaltung der Vereinbarung kontrollieren soll. Dabei stellt sich allerdings die Frage nach den Einwirkungs-möglichkeiten dieser Person und den Konsequenzen von Beanstandungen.