Startseite » EDRIgram Nr. 5.6; 28. März 2007

ENDitorial – sind transatlantische Daten sicher?

1
Mi, 28/03/2007 - 12:21

Der 26. März 2007, ein Tag, der ganz den Diskussionen zu den Fluggastdatensätzen (PNRi) gewidmet war, endete schlussendlich mit mehr Unklarheiten als Antworten; die Diskussionen schlossen ein öffentliches Seminar des LIBE-Komitees des Europäischen Parlaments zur Weitergabe persönlicher Daten an die USA (PNRi, SWIFT und „Safe Harbour“) und einen Vorbereitungsworkshop der Artikel 29-Datenschutzgruppe von nationalen Datenschutzbehörden über den Ansatz der EU für ein neues PNRi-Abkommen mit den USA mit ein.
Fluggastdatensätze können vertrauliche persönliche Informationen enthalten und erlauben die Erstellung einer genauen Auflistung über die Bewegungen einer Person. Sie wird jedesmal erstellt, wenn man eine Buchung bei einer Fluggesellschaft vornimmt, sogar wenn man den Flug gar nicht in Anspruch nimmt. Fluggastdatensätze werden für Profilerstellungen und zur Überwachungen von Bewegungen verwendet.
Diesen Themen wurde bei der Tagung intensive Aufmerksamkeit gewidmet. Datenschutzbehörden, MEPs, europäische Fluglinien, NGOs und geladene Wissenschaftler und Fachleute wiesen wiederholt auf ihre Besorgnis hin, dass die Europäischen Kommission und der Rat sowohl die Menschenrechte als auch den Datenschutz missachten würden. Das Europäische Parlament und die Artikel 29-Datenschutzgruppe verfügen über beinahe keine Information darüber, was in dem neuen langfristigen PNRi-Abkommen tatsächlich ausgehandelt wird.
Die Antwort der Gesandten des Rates und der Kommission war: „Vertraut uns, und vertraut den US Behörden“, auf präzise Fragen kamen jedoch nur äußerst spärliche Antworten. Zu den Fragen, die auch am Ende des Tages noch nicht vom Tisch waren gehören:
·

    der Mangel an klaren Rechtfertigungen der US Regierung für den Zugriff auf PNRi oder der Effektivität dieses Zugriffs:

„Wenn es irgendwelche Hinweise dafür gibt, dass die PNRi-Daten bei der Bekämpfung des Terrorismus helfen, würde ich sie gerne sehen“, forderte MEP und Berichterstatterin Sophie Int’Veld. Kommissar Jonathan Faull erwiderte, dass sämtliche Beweise aus Gründen der nationalen Sicherheit geheimgehalten werden müssten.
·

    Mission creep:

Ein Programm, dass als Anti-Terrormaßnahme gerechtfertigt wird, wird hauptsächlich bei allgemeinen Strafverfolgungen und Grenzkontrollen eingesetzt. „Wir sind beim Thema Terrorismus ebenso fanatisch wie die Amerikaner“, sagte der Vizevorsitzende des LIEBE-Komitees, Staphos Lambrinidis. „Aber Diebstahl ist nicht gleich Terrorismus. Illegale Immigration ist nicht gleich Terrorismus.“ Es gibt einen Unterschied zwischen dem, was notwendig ist und dem, was sinnvoll ist. Datenschutz ist ein Grundrecht, und Ausnahmen sollten nur in Erwägung gezogen werden, wenn es aus zwingenden Gründen wirklich notwendig ist – nicht nur, weil es sinnvoll erscheint, oder aus weniger grundlegenden Motiven.“

·

    der Mangel an unabhängiger Überprüfung des derzeitig gültigen PNRi-Abkommens mit den USA:

MEPs und Peter Schaar, Leiter der deutschen Datenschutzbehörde und Vorsitzender der Artikel 29-Datenschutzgruppe bestanden darauf, dass eine unabhängige Prüfung des derzeitigen Übergangsarrangements abgeschlossen werden müsse, bevor einem langfristigen Abkommen zugestimmt werden kann.

·

    Unklarheit darüber, wie die PNRi-Daten in den USA tatsächlich weiterverwendet werden:

Die EDRI-Kampagne von 2003, bei der wir aufgerufen worden waren, “Auskunft über unsere Daten von den Fluggesellschaften“ einzufordern, zeigt, dass es nur einen Weg gibt herauszufinden, wie die PNRi-Daten verwendet werden: europäische Reisende müssen auf ihre Rechte bestehen, ihre Daten einsehen zu können. Aktivismus in den USA bietet hierbei kein Hilfe, weil US Bürger kein Recht auf Dateneinsicht haben. Daher sind neue Forderungen von Europäern zum Zugriff auf ihr Reiseprotokolle (einschließlich kürzlich offengelegter Kategorien und Verwendungszwecke der Daten) so wichtig, um aufzudecken und zu dokumentieren, was tatsächlich geschieht. Sie können mithelfen, indem Sie Einsicht in Ihre Daten verlangen, wenn Sie in die USA reisen. Das Identity Projekt hat für Großbritannien Musterbriefe auf Englisch verfasst, die Sie als Vorlage zur Einforderung Ihrer Daten verwenden können. Diese Muster könnten auch auf andere Sprachen und Länder umgelegt werden. Diese Vorgehensweise ist außerdem so notwendig, weil selbst wenn Fluggesellschaften sich den Forderungen der Regierungen widersetzt haben, die für sie kostspieligen Änderungen in ihren Geschäftsabläufen durchzuführen (und als Polizeihelfer zu fungieren), sie keinerlei juristischen Anfechtungen der Regierungsforderungen nach den Daten ihrer Passagiere unternommen haben. Ohne juristische Anfechtungen in Europa wird es nach wie vor schwierig bleiben, die Situation richtig einzuschätzen.

·

    Unklarheit über die Legalität des Inhalts der derzeitigen PNRi:

Der Europäische Gerichtshof hat das ursprüngliche PNRi-Abkommen aus verfassungsrechtlichen Gründen aufgehoben, entschied jedoch nicht darüber, ob der Inhalt des Abkommens mit der Europäischen Konvention für Menschenrechte (ECHR) oder der Internationalen Vereinbarung über bürgerliche und politische Rechte (ICCPR) in Einklang steht. In diesem Kontext bestanden die Seminarteilnehmer darauf, dass es sich bei Datenschutz und der Bewegungsfreiheit um Grundrechte handle, die geschützt werden müsse, und dass ein Rahmenbeschluss zum Datenschutz in der dritten Säule dringend benötigt wird.

·

    der Mangel an Datenschutz in den USA:

Sobald PNRi und andere Daten in den USA ankommen, verlieren Versicherungen von Seiten der USA, die Daten würden „in Übereinstimmung mit den amerikanischen Gesetzen“ verwendet werden, ihre Bedeutung, weil es in den amerikanischen Datenschutzgesetzen Schlupflöcher für die Verwendung der Daten durch die Regierung gibt, dafür aber keine Regeln oder Einschränkungen für die kommerzielle Weiterverwendung persönlicher Daten.

·

    Parallelaktionen, die offenbar das derzeitige PNRi-Ãœbergangsabkommen umgehen:

Es wird befürchtet, dass das vorgeschlagene „Open Skies“-Abkommen mit den USA das PNRi-Abkommen aus rechtlicher Sicht umgehen könnte, und mit Empfehlungen der Internationalen Zivilluftfahrt-Organisation (ICAO) übereinstimmen müsse, womit die Amtsbefugnis bei zukünftigen Entscheidungen über PNRi an die ICAO weitergereicht würde. Ein solches Abkommen würde die gesetzgebende Gewalt an ein Forum außerhalb der EU vergeben, wo die Zivilgesellschaft, Datenschutzbeauftragte und Menschenrechtsaktivisten keinerlei Stimmrecht mehr hätten. Zusätzlich wiesen sowohl die Nebenabrede Stewart Bakers vom US Heimatschutzministerium, die das Interimabkommen begleitete, als auch die Offenlegungen, die in Bezug auf die Verwendung der PNRi-Daten im DHS „Automated Targeting System“ (ATS) nach dem Abschluss des Interimabkommens zu Tage kamen, darauf hin, dass die USA sich für frei befugt fühlen, „die Torpfosten bei der Verwendung der PNRi-Daten zu verschieben“ – uniliteral.
·

    Parallelinitiativen der EU Regierungen:

Gus Hosein von Privacy International betonte, dass die USA mit ihren Forderungen nach PNRi nicht alleine sind, und dass die Europäer genausoviel Grund hätten, sich wegen ähnlicher Maßnahmen von Seiten der EU und ihrer Mitglieder zu sorgen. Die Kommission erwägt, Regierungszugang zu den PNRi-Daten zu verlangen, und Tim Rymer vom britischen Zollamt berichtete, dass in Großbritannien bereits jetzt das „Semaphore“ Programm in Verwendung ist, um als Teil der britischen „e-border“ Initiative Profilerstellungen von Reisenden zu fertigen.

·

    der Mangel an elementarem Verständnis der eigentlichen Systeme:

Viele Fragen bezüglich der Anzahl der Datenfelder bei PNRi und sogar deren Inhalt sowie bezüglich der Rolle der Computerisierten Reservierungssysteme (CRS) machten stichhaltige Diskussionen schwierig. Wie David Smith von der britischen Datenschutzbehörde bemerkte: „Ein Land benötigt 25 Felder, ein anderes 34. Warum?“ Vieles von dem, was mit PNRs passiert, und wie es möglich ist, sie weiterzuverwenden, resultiert aus einer komplexen, schlecht dokumentierten Architektur aus Reiseinformationen, die über Jahrzehnte hinweg entwickelt wurde und auf Mainframe-Computer, Flat Files und Kommunikationsverbindungen mit niedriger Bandbreite basiert.
Den ganzen Tag lag die Aufmerksamkeit bei den Rollen der gewerblichen Mittelsleute bei der Verarbeitung der persönlichen Daten. PNRi Reisedaten, finanzielle Informationen von SWIFT, Telekommunikationsdaten und Internetzugriffsdaten wecken Besorgnis über Vorratsdatenspeicherung, Zugriffe der Regierungen zu diesen Daten und deren Gebrauch derselben für Profilerstellungen, und die Rolle und die Verantwortung der wenigen Informationsmittelsleute, die in jedem dieser parallelen Netzwerke eine zentrale Rolle spielen.
Firmen wie SWIFT für den Transfer elektronisches Kapitals und die vier weltweit größten CRS für PNRi bleiben für den Konsumenten unsichtbar; sie behaupten, lediglich Dienste zur Weiterleitung von Nachrichten zu sein und weisen jede Verantwortung als „Datenkontrolleure“ von sich. Aber hier handelt es sich um Unternehmen, die tatsächlich finanzielle Daten und Reisedaten an die USA weitergeben und sie für die US-Regierung zugänglich machen.
Derzeit unterligen CRS strengen, aber nicht zwingenden EU-Datenschutzregelungen – die Ratregelung (EEC) No 2299/89 vom 24. Juli 1989 zu einem Verhaltenskodex bei computerisierten Reservierungssystemen: „Ein System darf persönliche Informationen über einen Passagier ohne das Einverständnis des Passagiers nicht für andere zugänglich machen, die nicht in die Transaktion involviert sind.“ „Der Teilnehmer muss den Konsumenten über den Namen und die Adresse des Systemanbieters, über die Zwecke der Datenverarbeitung, die Dauer der Vorratsspeicherung der einzelnen Daten und über die Rechte des Individuums auf den Zugriff auf seine oder ihre Daten in Kenntnis setzen.“
Die Kommission hält gegenwärtig eine öffentliche Befragung ab und wird bis 27. April 2007 Kommentare darüber anhören, ob der Verhaltenkodex für CSR geändert oder ganz aufgehoben werden soll, wie es in den USA bereits der Fall war. Sie haben also die Möglichkeit, der Kommission mitzuteilen, dass Sie diese Regeln zu Benachrichtigung und Einverständnis beibehalten, verstärkt, und durchgesetzt sehen wollen – und nicht fallengelassen.

Edward Hasbrouck - What's in a PNRi?

LIBE - Committee on Civil Liberties, Justice and Home Affairs seminar (26.03.2007)

EDRI Campaign against the illegal transfer of European travellers' data to the USA

Europeans: Time to ask for your travel records (The Identity Project) includes sample requests to airlines, travel agencies, and reservation systems (20.10.2006)

American Travelers to Get Secret 'Risk Assessment' Scores (30.11.2006)

A common EU approach to the use of Passenger Name Record (PNRi) data for law enforcement purposes - Article 29 Working Party

Council Regulation 2299/89 (13.08.1999)


Europe reconsidering rules for reservation systems (4.03.2007)

(Beitrag von Erik Josefsson - Electronic Frontier Foundation und Edward Hasbrouck - Identity Projekt )

‹ Allgemeine Ideen hinter einem Computerspiel sind nicht urheberrechtlich geschützt.nach obenLesestoff: ›

Trackback URL für diesen Eintrag:

http://www.unwatched.org/trackback/442