Thema der Woche

29. Juni 2007

Transatlantischer Datenschutz unzureichend

Der [externer Link] Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat die zwischen EU und USA neu ausgehandelten Abmachungen zur Übermittlung von Passagierdaten bei Transatlantikflügen (PNR) und zum Zugriff von US-Behörden auf Daten über Finanztransaktionen (SWIFT) – gemessen an den Vorgaben des europäischen Datenschutzrechts – als unzureichend bezeichnet. Schaar kündigte an, dass die Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten, deren Vorsitzender er ist, das jüngste Abkommen eingehend analysieren wird.

Schaar begrüßte zwar, dass überhaupt eine neue gemeinsame Vereinbarung zustande gekommen ist und so eine Zersplitterung der Rechtspraxis zwischen den EU-Staaten vermieden wird. Inhaltlich sei die Vereinbarung allerdings in wesentlichen Punkten unbefriedigend und bleibe sogar vielfach hinter den bisherigen Regelungen zurück. Auch die Zahl der übermittelten Daten sinke nur unwesentlich: Die Absenkung von 34 auf jetzt 19 Datenfelder komme vor allem dadurch zustande, dass verschiedene Elemente (etwa Identifikationsdaten) zusammengeführt werden, ohne dass sich aber an dem eigentlichen Datenumfang etwas ändert.

Hierzu kommentierte Schaar: "Besonders kritisch sehe ich es, dass auch sensible Daten, etwa Essenswünsche von Passagieren, weiterhin übermittelt werden sollen. Die US-Behörden verpflichten sich lediglich dazu, diese Daten auszufiltern und im Regelfall nicht zu verwenden." Auch die Verdoppelung der Regelspeicherungsdauer mit jederzeitigem Online-Zugriff von 3,5 auf 7 Jahre sei heikel; hinzu kommt die Möglichkeit, auf die Daten im Einzelfall für weitere acht Jahre zugreifen zu können. Überdies sei kritisch zu prüfen, ob die Herleitung irgendwelcher Rechtsansprüche bei vertragswidriger Nutzung der Daten gewährleistet wird. "Bedauerlich ist auch, dass keine unabhängige Datenschutzaufsicht vereinbart wurde", betonte Schaar.

Zur amerikanischen Zusicherung über den Zugriff von US-Behörden auf von SWIFT gespeicherte Daten über den internationalen Zahlungsverkehr erklärte der Datenschützer: "Diese Zusicherung bedeutet immerhin, dass das Verfahren, bei dem US-Behörden auf Daten des internationalen Zahlungsverkehrs zugreifen, festgeschrieben und einer Kontrolle unterworfen werden soll. Dies ist positiv zu bewerten. Das wesentliche Problem wird allerdings nicht gelöst: US-Behörden werden weiterhin auch auf Daten zugreifen können, die bei Zahlungsvorgängen ohne US-Bezug entstanden sind, etwa bei einer Überweisung von Deutschland nach Österreich." SWIFT bleibe daher aufgefordert, durch die Änderung seiner IT-Infrastruktur zu gewährleisten, dass Zugriffe von Drittstaaten auf Daten des innereuropäischen Zahlungsverkehrs zukünftig ausgeschlossen werden.

Auch im Detail betrachtet könne die jetzige SWIFT-Regelung weitere wesentliche Defizite nicht beheben: So erscheine die Speicherung einer Vielzahl vorgefilterter Daten – darunter viele Einzelangaben ohne jeden Bezug zum internationalen Terrorismus – für einen Zeitraum von fünf Jahren als unverhältnismäßig. Auch die Modalitäten der Weiterverwendung der Daten durch US-Behörden seien zu weit gefasst. Positiv nannte Schaar, dass eine herausragende europäische Persönlichkeit die Einhaltung der Vereinbarung kontrollieren soll. Dabei stelle sich allerdings die Frage nach den Einwirkungsmöglichkeiten dieser Person und nach den Konsequenzen von Beanstandungen.