Datenschutz: Fluggastdaten-Abkommen mit den USA durchgesickert

Der offiziell geheim gehaltene Vertragstext für das neue Fluggastdaten-Abkommen zwischen der EU und den USA ist von der Website "Papers, Please" öffentlich gemacht worden. Ein Blick in den Text zeigt, dass Datenschutz darin keine Priorität hat.

Artikel veröffentlicht am ,
American Airlines
American Airlines (Bild: Frank Polich/Reuters)

Der Datenschatten fliegt mit und so soll es auch bleiben. So lässt sich der Entwurf für den Ratsbeschluss über das "Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verwendung von Fluggastdatensätzen (PNR-Daten) und deren Übermittlung an das United States Department of Homeland Security" lesen. Von den vom EU-Parlament in der Vergangenheit wiederholt geforderten Verbesserungen des Datenschutzes ist im Entwurf nicht viel zu sehen. Weder soll der Umfang der übermittelten Daten wesentlich eingeschränkt noch die Speicherdauer für die Daten gegenüber dem Status quo spürbar verkürzt werden.

Fluggastdaten für die Strafverfolgung

Stellenmarkt
  1. (Wirtschafts-)Informatikerin als IT-Serviceverantwortliche (m/w/d) für den Bereich Netzwerk
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. Systemadministrator - Key User (w/m/d) CAFM System (Navision)
    Apleona HSG Südwest GmbH, Mannheim
Detailsuche

Das neue Abkommen sieht vor, dass auch weiterhin 19 Datensätze pro Fluggast von den Fluglinien an das Heimatschutzministerium (DHS) in den USA zu übermitteln sind. Die Notwendigkeit der Datenübermittlung wird mit der "Bekämpfung von Terrorismus und grenzübergreifender schwerer Kriminalität" begründet, bei der sich "die Verarbeitung von PNR-Daten [...] als sehr wichtiges Instrument" erwiesen habe. Belege dafür werden nicht angeführt.

"Die Vereinigten Staaten" dürfen die Daten unter anderem zur Verhütung und Verfolgung terroristischer Aktivitäten sowie grenzüberschreitender Straftaten, die mit einer mindestens dreijährigen Freiheitsstrafe geahndet werden kann, oder auch "auf Anordnung eines Gerichts fallweise" verarbeiten und nutzen. Der Vertragstext sieht an dieser Stelle (Artikel 4) keine Einschränkungen im Hinblick auf bestimmte Sicherheitsbehörden in den USA vor.

Heimatschutzministerium soll Daten schützen

Dem Heimatschutzministerium bleibt es überlassen, dafür zu sorgen, die personenbezogenen Daten "zu schützen und den Zugriff darauf zu verhindern, wenn dies versehentlich, unrechtmäßig oder ohne Befugnis geschieht." Dazu sollen unter anderem "Verschlüsselungs-, Genehmigungs- und Dokumentierungsverfahren angewandt werden." Zugriff auf die Daten sollen nur "befugte Bedienstete" erhalten, wobei nicht genauer ausgeführt wird, woraus sich die Befugnis ergibt.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Die Einhaltung des Datenschutzes sieht die EU-Kommission dadurch gewährleistet, dass "die Vereinigten Staaten bestätigen, dass sie in ihren Datenschutzvorschriften über wirksame verwaltungs-, zivil- und strafrechtliche Durchsetzungsmaßnahmen verfügen." Konkrete Sanktionen für den Fall, dass in Datenschutzbelangen gegen die Rechte von EU-Bürgern verstoßen wird, sind nicht vorgesehen.

Weltanschauung und Sexualleben sind sensibel

Die übermittelten PNR-Daten sollen normalerweise um "sensible Daten" wie solche über die "ethnische Herkunft, politische Überzeugung, die Religion oder Weltanschauung, die Mitgliedschaft in einer Gewerkschaft oder die Gesundheit und das Sexualleben" des Betroffenen bereinigt werden, bevor sie gespeichert und genutzt werden. Sollten die USA solche Daten jedoch im Einzelfall für "Ermittlungen, Strafverfolgungs- oder Strafvollzugsmaßnahmen" speichern wollen, so sollen sie das "für die in den Vorschriften der Vereinigten Staaten vorgesehene Dauer" machen dürfen.

Speicherdauer: 15 Jahre oder länger

Die PNR-Daten (ohne die "sensiblen Daten") sollen generell für fünf Jahre in einer "aktiven Datenbank" gespeichert werden. Dabei sollen die Daten nach Ablauf einer Sechsmonatsfrist dadurch pseudo-anonymisiert werden, dass identifizierende Angaben "unkenntlich" gemacht werden. Die Pseudo-Anonymisierung ist grundsätzlich reversibel, geht aus dem Vertragstext hervor.

Nach Ablauf der fünf Jahre werden die Daten in eine "ruhende Datenbank" übertragen, um weitere zehn Jahre und nur unter "zusätzlichen Kontrollen" nutzbar zu sein. Erst nach Ablauf von 15 Jahren werden die Daten irreversibel anonymisiert. In "einem konkreten Fall oder für bestimmte Ermittlungen" genutzte Daten dürfen allerdings solange in der aktiven Datenbank verbleiben, "bis der Fall oder die Ermittlungen archiviert sind".

Zugangs- und Auskunftsansprüche für EU-Bürger

Das Abkommen sieht eine Reihe von Zugangs-, Auskunfts- und Berichtigungsansprüchen für EU-Bürger vor. Ob diese in der Praxis auch durchsetzbar sein werden, erscheint keineswegs sicher. In der Vergangenheit waren einzelne Versuche Betroffener in dieser Hinsicht nicht wirklich von Erfolg gekrönt. Für die Einhaltung der Datenschutzvorschriften soll der DHS Chief Privacy Officer zuständig sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Geforce RTX 3000 (Ampere): Nvidia macht Founder's Editions teurer
    Geforce RTX 3000 (Ampere)
    Nvidia macht Founder's Editions teurer

    Die Preise der FE-Ampere-Grafikkarten steigen um bis zu 100 Euro, laut Nvidia handelt es sich schlicht um eine Inflationsbereinigung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /