Das Ende der Privatsphäre: Der Weg in die Überwachungsgesellschaft

PNR-Datensatz nicht nur Angaben enthält, die US-Behörden bei der Einreise ohnehin von den Reisenden erheben. In den Buchungssystemen werden auch Telefonnummern, Zieladressen in den USA, Kontaktpersonen und Zahlungsdetails gespeichert. Schließlich enthält der PNR-Datensatz auch sensible Daten, etwa besondere Essenswünsche (zum Beispiel koscheres Essen) und Hinweise auf Behinderungen (etwa Rollstuhlbenutzung), die nach dem europäischen Datenschutzrecht besonderen Schutzes bedürfen. Alle diese Angaben erschienen den US-Behörden hilfreich, um terroristische oder kriminelle Absichten frühzeitig zu erkennen oder die Daten bei der Aufklärung terroristischer Straftaten zu verwenden.
    Es ist gut nachzuvollziehen, dass in den USA seit den Anschlägen auf das World Trade Center und das Pentagon ein erhöhtes Bedürfnis nach Sicherheit besteht. Dies schließt auch die sichere Identifikation der Fluggäste ein. Allerdings haben sich die US-Behörden nicht auf diese Identifikationsdaten beschränkt, sondern auch vielfältige weitere Daten der Flugpassagiere gefordert und auch erhalten. Besonders kritisch ist, dass die US-Behörden durch Sanktionsdrohungen einen zunächst weitgehend unkontrollierten Zugriff auf Datenbanken außerhalb ihres Hoheitsbereichs durchsetzen konnten, ohne dass den Betroffenen effektive Datenschutzrechte zugestanden wurden.
    Dieses Vorgehen betraf alle europäischen Länder in gleichem Maße. Die Europäische Kommission hat deshalb 2004 mit den USA ein Abkommen geschlossen, das die Datenübermittlung auf eine tragfähige Rechtsgrundlage stellen sollte. Im Gegenzug verpflichtete sich die Zoll- und Grenzschutzbehörde der USA zur Einhaltung bestimmter datenschutzrechtlicher Mindestnormen bei der Nutzung der übermittelten Fluggastdatensätze. Das Abkommen wurde zunächst auf dreieinhalb Jahre befristet. Aus Datenschutzsicht – und auch nach Auffassung des Europäischen Parlaments – war das Verhandlungsergebnis der Europäischen Kommission unzureichend. Die Zwecke, zu denen die amerikanischen Behörden PNR-Daten nutzen durften, erschienen zu vage. Und auch der Datenumfang von bis zu vierunddreißig Datenfeldern überschritt erheblich, was aus Sicht der europäischen Datenschützer und des Europäischen Parlaments vertretbar war. Immerhin enthielt das Abkommen die verbindliche Zusicherung der US-Behörden, von den Fluggesellschaften nicht die Erhebung zusätzlicher Daten zu verlangen, wenn im Einzelfall einige der verlangten vierunddreißig Datenfelder im Reservierungssystem nicht ausgefüllt waren.
    Das PNR-Abkommen endete abrupt, als es der Europäische Gerichtshof im Sommer 2006 annullierte, weil es auf einer falschen Rechtsgrundlage beruhte. Wegen dieses formalen Rechtsfehlers hat das Gericht nicht bewerten müssen, ob die Datenübermittlung unverhältnismäßig in die Rechte der EU-Bürger eingreift. Im Herbst 2006 handelten EU-Rat und Kommission daraufhin ein befristetes Interimsabkommen aus, das im Hinblick auf den Datenschutz noch hinter der ursprünglichen Vereinbarung zurückblieb. So fehlte im neuen Abkommen eine zeitliche Befristung der Datenspeicherung. Problematisch war ferner, dass die Daten von der amerikanischen Zoll- und Grenzschutzbehörde nun in noch größerem Umfang an andere Behörden weitergegeben werden durften. Schließlich blieb offen, ob weiterhin wie vereinbart gemeinsam überprüft würde, inwieweit die US-Behörden die Verpflichtungen einhalten. Die US-Regierung sieht offenbar in derartigen Prüfungen eine kaum hinnehmbare Beeinträchtigung der Souveränität der Vereinigten Staaten von Amerika, weil an ihnen nicht nur US-Stellen, sondern auch Vertreter der EU beteiligt waren.
    Anfang Juli 2007 verkündete Bundesinnenminister Wolfgang Schäuble stolz, dass die EU unter deutscher Ratspräsidentschaft ein neues Abkommen mit den USA ausgehandelt habe, und empfahl dieses als Vorbild für die Installation eines entsprechenden europäischen Systems zur Übermittlung von Fluggastdaten. Bei genauerem Hinsehen wird jedoch deutlich, dass die vermeintlichen Datenschutzverbesserungen reine Kosmetik sind. Zwar sollen künftig nur noch neunzehn statt vierunddreißig Datenelemente je Fluggast übermittelt werden. Diese Reduktion wurde jedoch erreicht, indem bislang getrennte Datenfelder (etwa »Anschrift«, »Telefonnummer« und »E-Mail-Adresse«) zu einem Merkmal (»all available contact information«) zusammengeführt wurden – aus drei mach eins! Vor allem hinsichtlich der