ENDitorial: PNR & institutionelle Maßnahmen zum Schutz der Privatsphäre

Ein kleines Detail im EU-USA-Abkommen bezüglich der Weitergabe von Passagierdaten (PNR – passenger name records) und eine damit nicht in Verbindung stehende Aussage des amerikanischen Präsidenten George W. Bush, bilden gemeinsam einen nettes highlight der institutionellen Einheiten zum Schutz der Privatsphäre.

Der EU-Beauftragte Frattini teilte der Presse am 6. Oktober 2006 mit, dass die Passagierdaten, laut der neuen PNR-Vereinbarung, für andere US-Behörden, die in Verbindung mit Anti-Terrorismus und der Strafverfolgung stehen, zugänglich sein werden – „unter der Bedingung, dass diese ein vergleichbares Niveau an Datenschutz aufweisen“. Diese Formulierung ist natürlich absurd, wenn man die im Wesentlichen unbegrenzte Weitergabe von Daten erlaubt, da die Kernidee des Datenschutzes im Schutz gegen weitere Übertragungen besteht. Gleichzeitig ist es interessant, denn unter der EU-Datenschutz-Vereinbarung von 1995 ist die Weitergabe von Daten an Drittländer nur erlaubt, wenn ein „adäquates“ Schutzniveau besteht. Aber akzeptieren wir das mal für einen Moment. Wie könnte ein vergleichbares Schutzniveau aussehen?

Institutionell gesehen hat die EU die deutsche Idee eines speziellen Privatsphäre- und Datenschutzbeauftragten innerhalb der Regierungsbehörden und Unternehmen übernommen. Dieser Verantwortliche muss von Durchführungsverordnungen unabhängig sein, denn sein oder ihr Job besteht exakt darin, zu kontrollieren, wie Behörden oder Unternehmen mit den Personaldaten von Bürgern, Kunden oder Angestellten umgehen. Die öffentlichen Datenschutz-Beauftragten in Europa sind ebenfalls unabhängig, da sie von den nationalen Parlamenten gewählt werden. Dieses Modell wurde in den letzten zehn Jahren recht populär. Viele US-bezogenen Unternehmen haben nun auch ihre leitenden Datenschutzbeamten (CPOs – chief privacy officers), die im Grunde die gleichen Aufgaben erfüllen.

Das Heimatschutzministerium (DHS) war die erste Regierungsbehörde der USA, das je eine einen leitenden Datenschutzbeamten einstellte. Die Position wurde im Heimatsschutzgesetz 2002 (Absatz 222), auf dem das Ministerium aufgebaut ist, institutionalisiert. Dadurch versuchte die Bush-Regierung die harsche Kritik von Datenschutzadvokaten gegen die Überwachung und die Datamining-Programme, die sich im DHS zusammenfanden, zu dämpfen. Aber der leitende Datenschutzbeamte des DHS ist nicht unabhängig. Er (zurzeit Hugo Teufel, III) wurde durch den Minister für Heimatschutz ernannt und liefert seine Berichte an die Exekutive, die er (eigentlich) kontrollieren soll, und nicht an den Kongress. Bei den jährlichen internationalen Konferenzen der Privatsphäre- und Datenschutzbeauftragten wurde der DHS-Datenschutzbeamte daher nie wirklich als „einer von ihnen“ anerkannt und durfte nicht als Gleichrangiger an den internen Meetings der nationalen Beauftragten teilnehmen.

Der Kongress hat wiederholt versucht, die Unabhängigkeit des DHS-CPOs zu erhöhen. Dies wurde in dem Ausgabengesetz 2007 für das Heimatschutzministerium erneut getan. Absatz 522 besagt: “Kein, durch dieses Gesetz zur Verfügung gestellter, Betrag darf von jemand anderem verwendet werden als dem Datenschutzbeauftragten, der aufgrund Abschnitt 222 des Heimatschutzgesetzes eingesetzt wurde, um alle Berichte, die gemäß Absatz 6 dieses Abschnittes erstellt wurden, zu bearbeiten, Veränderungen daran anzuordnen, deren Übermittlung hinauszuzögern, oder ihre Äushändigung an den Kongress zu unterbinden.“

Dies ist eine verschachtelte Art (da es ein Ausgabengesetz ist) zu sagen, dass nur der Datenschutzbeamte die Berichte bearbeiten darf, die darüber aussagen ob ein das Ministerium die Datenschutzregeln befolgt. Nun hat Präsident Bush, als er die Rechnung unterzeichnete, eine Anweisung angefügt, die ihn befugt, Änderungen am jährlichen Bericht des Datenschutzbüros oder anderen Berichten der Behörde vorzunehmen. Bushs Anweisung lautet, dass „die Exekutive Absatz 522 des Gesetzes bezüglich den Berichten des Datenschutzbeamten so auslegen soll, dass er mit der grundlegenden Befugnis des Präsidenten, die einheitliche Exekutive zu leiten, übereinstimmt“.

Gehen Sie nicht davon aus, dass der Datenschutzbeamte des DHS bisher ein scharfer Wachhund was. Beispielsweise sagt der Bericht zum Thema Datenschutz von Passagierdaten, der von seinem Büro im September 2005 veröffentlicht wurde, im Grunde nur aus, dass „alles großartig ist und Daten völlig sicher sind“. So beharrt Bush nur darauf, als Oberbefehlshaber das letzte Wort zu haben.

Alles wird klarer, wenn Sie das Gesamtbild betrachten: Die EU erlaubt dem Heimatschutzministerium, Passagierdaten an andere Behörden weiterzugeben, sofern diese ein vergleichbares Niveau an Datenschutz besitzen. Die anderen Behörden und Abteilungen haben keine Datenschutzbeamte, die versichern könnten, dass dieser Level an Schutz tatsächlich besteht. Der Datenschutzbeamte des DHS verfügt im Vergleich zu seinen europäischen Kollegen nicht über das gleiche Ausmaß an Unabhängigkeit. Doch selbst wenn er Verletzungen des schwachen Datenschutzniveaus in den US Regierungsbehörden melden will, können Präsident Bush und das Weiße Haus eine endgültige Bearbeitung des Berichts vornehmen und dem Datenschutzbeamten den Mund verbieten. Auf diese Weise legtt die EU die Daten ihrer Bürger offen und bekommt im Gegenzug nichts weiter als ein „Vertraut uns“ seitens der US Regierung. Das erinnert mich an eine kürzliche Aussage des deutschen Finanzministers in der SWIFT-Affäre. Als er von einem konservativen (!) Mitglied des Parlaments gefragt wurde, ob die Möglichkeit besteht, dass die USA die Finanzdaten für eine wirtschaftliche Spionage gebrauchen, antwortete der Wortführer: Ja, sie hätten mit ihren amerikanischen Kollegen darüber diskutiert, aber die US Regierung sehe diese Gefahr nicht.

Die Idee eines unabhängigen Datenschutzbeauftragten war eine Möglichkeit, das „Vertraut uns“-Modell mit institutionalisierten Überprüfungen und Gegengewichten zu substituieren. Das ist es, was die Demokratie, im Vergleich zu autoritären Systemen, ausmacht: Der Regierung nicht vertrauen zu müssen, sondern sie zu kontrollieren.

Link
(Ein Beitrag von Ralf Bendrath, EDRi-Mitglied Netzwerk Neue Medien e.V.,
Deutschland)