PNR-Richtlinie vor EuGH

Massenüberwachung von Fluggastdaten in Turbulenzen

Der Europäische Gerichtshof wird sich die anlasslose Massenüberwachung von Fluggastdaten genauer ansehen müssen. Während das Kölner Amtsgericht überprüfen lassen möchte, ob die „Rasterfahndung am Himmel“ mit Grundrechten vereinbar ist, mauert die EU-Kommission. Sie will Statistiken der Mitgliedstaaten nicht öffentlich machen – aufgrund des „heiklen Charakters“ der Zahlen.

PNR-Richtlinie
Aus sensiblen Fluggastdaten lassen sich genaue Schlüsse auf das Privatleben ziehen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Element5 Digital

Wer das Pech hat, mit der „falschen“ Begleitperson zu reisen, ein Flugticket mit der „falschen“ Mailadresse bestellt oder einen „falschen“ Reiseverlauf genommen zu haben, muss mit unnötigen polizeilichen Kontrollen rechnen, im schlimmsten Fall sogar mit einer Festnahme. Möglich macht dies die vor knapp zwei Jahren eingeführte, flächendeckende Überwachung von Flugreisen.

Ob diese Form der anlasslosen Massenüberwachung mit der europäischen Grundrechtecharta vereinbar ist, wird nun der Europäische Gerichtshof (EuGH) klären müssen. Gestern entschied das Amtsgericht Köln, eine Klage der Gesellschaft für Freiheitsrechte (GFF) dem obersten EU-Gericht vorzulegen. Demnach soll der EuGH überprüfen, ob „dieser massive Eingriff in das Privatleben die Grundrechte verletzt“, heißt es in einer Pressemitteilung der GFF.

Fluglinien müssen Daten übermitteln

Die Bürgerrechtler hatten im Mai 2019 gegen das Fluggastdatengesetz geklagt, die deutsche Umsetzung der sogenannten EU-PNR-Richtlinie (Passenger Name Record). Das Gesetz verpflichtet Fluglinien wie Lufthansa oder Eurowings dazu, eine ganze Reihe an personenbezogenen Flugpassagierdaten an das Bundeskriminalamt (BKA) zu übermitteln. Dort werden sie gespeichert, ausgewertet und mit anderen europäischen Datentöpfen abgeglichen.

Zu den erhobenen und für fünf Jahre gespeicherten Daten zählen unter anderem das Geburtsdatum der Fluggäste, alle Arten von Zahlungsinformationen bis hin zu „Angaben zum Reisebüro und zur Sachbearbeiterin oder zum Sachbearbeiter“, wie es im Gesetz heißt. Schlägt die automatisierte Auswertung dieser Daten zu, kann dies völlig Unschuldige treffen.

„Solche Kollateralschäden sind rechtsstaatlich nicht zu rechtfertigen“, sagt der GFF-Rechtsanwalt Bijan Moini. „Der Staat muss zielgerichtet vorgehen, statt auf Zufallstreffer zu hoffen“.

Fehlerquote von 99,7 Prozent

Tatsächlich bestehen ernsthafte Zweifel an der Zuverlässigkeit dieses Ermittlungsinstrumentes. Eine parlamentarische Anfrage des Linken-Bundestagsabgeordneten Andrej Hunko ergab etwa im Vorjahr, dass die automatisierte Auswertung zum damaligen Zeitpunkt 94.098 Treffer meldete.

In der folgenden manuellen Überprüfung der Ergebnisse durch eine eigene Abteilung im BKA offenbarte sich jedoch eine Fehlerquote von 99,7 Prozent: Nur 277 Treffer führten zu einer offenen oder verdeckten Kontrolle beziehungsweise zu einer Festnahme. Unbekannt bleibt, in wie vielen Fällen sich der Verdacht als begründet herausgestellt hat.

Diese hohe Rate an Irrtümern stößt dem FDP-Europaabgeordneten Moritz Körner sauer auf. „Statt Datenmüll brauchen wir endlich mehr Kooperation zwischen den Ermittlungsbehörden“, sagt Körner. Gemeinsam mit seiner liberalen Fraktionskollegin Sophie in’t Veld hatte er im Vorjahr bei der EU-Kommission Details zur PNR-Praxis angefragt, darunter auch scheinbar unverfängliche statistische Angaben.

EU-Kommission verweigert Herausgabe von Statistiken

So sind Mitgliedstaaten verpflichtet, jährlich Zahlen an Brüssel zu übermitteln. Diese Statistiken müssen mindestens „die Gesamtzahl der Fluggäste, deren PNR-Daten erhoben und ausgetauscht worden sind“ ausweisen sowie „die Zahl der Fluggäste, bei denen eine weitere Überprüfung für angezeigt erachtet wurde“.

Doch nicht einmal dieses grobe Zahlenmaterial will die Kommission herausgeben. Aufgrund des „heiklen Charakters“ könne die Kommission diese statistischen Informationen nicht öffentlich machen, heißt es in einer heute bekannt gewordenen Antwort an die beiden EU-Parlamentarier.

Stattdessen stellt die Kommission lediglich einen allgemeinen Bericht in Aussicht, der im Mai erscheinen soll – und empfiehlt den beiden Abgeordneten, doch einfach mal eine der speziellen Abteilungen in den Mitgliedstaaten zu besuchen, um sich vor Ort ein Bild zu machen. Europaweites Zahlenmaterial, etwa zu falschen Treffern oder zu erfolgreich abgeschlossenen Ermittlungen auf Basis von PNR-Daten, wird also noch auf sich warten lassen müssen – so es denn jemals im Detail öffentlich wird.

„Wie kann das EU-Parlament die PNR-Richtlinie genau überprüfen, wenn die Kommission die notwendigen Beweise nicht zu Verfügung stellt?“, fragt i’nt Veld. Zusammen mit Körner verlangt die niederländische EU-Abgeordnete nun offiziell eine Antwort von der Kommission – ob diese noch vor dem Mai eintreffen wird, muss sich allerdings noch zeigen.

Weitere Verfahren laufen

Unabhängig davon ist die anlasslose Datenspeicherung jedoch gehörig in Turbulenzen geraten. Eine ähnliche Klage strengt etwa die Digital-NGO epicenter.works in Österreich an, während der belgische Verfassungsgerichtshof die dortige nationale Umsetzung ebenfalls dem EuGH vorgelegt hat. Und bereits 2017 hat der EuGH ein geplantes Fluggastdaten-Abkommen zwischen der EU und Kanada gekippt.

Zwar könne eine anlasslose Datenübermittlung „im Wesentlichen zulässig“ sein, urteilten damals die Richter. Doch die Detailtiefe der gesammelten sensiblen Daten sowie die lange Speicherdauer von fünf Jahren würden das Abkommen „nicht mit den Grundrechten vereinbar“ machen.

All dies deutet darauf hin, dass die PNR-Richtlinie allgemein auf tönernen Füßen steht. Aus Sicht von Körner könne die anlasslose Speicherung der Reise-Daten langfristig keinen Bestand haben. Zudem geht der Liberale davon aus, „dass der EuGH seiner Rechtsprechung bezüglich der Vorratsdatenspeicherung von Kommunikations- und Standortdaten treu bleiben wird und die PNR-Gesetzgebung entsprechend kippen wird.“

GFF-Generalsekretär Malte Spitz hält die Entscheidung der Kölner Richter, den EuGH anzurufen, für einen wichtigen Schritt. „Alle Fluggäste in ganz Europa als Verdächtige zu behandeln, ist völlig unverhältnismäßig“, sagt Spitz. „Die Rasterfahndung am Himmel muss beendet werden“.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

4 Ergänzungen
  1. Ich teile den Optimismus des Autors, das die Richtline komplett wegfällt („langfristig keinen Bestand haben“, „Gesetzgebung entsprechend kippen wird“) nicht ganz nachvollziehen, da auch erwähnt wird, das die Ausgestaltung von Datenübermittlung und Speicherung hier der ausschlaggebende Punkt ist; nicht die Datenübermittlung an sich („anlasslose Datenübermittlung ‚im Wesentlichen zulässig'“).

    Man kommt hier sehr schnell zu einem Henne-Ei Problem, wie entsteht ein Anfangsverdacht und wie dürfen Spuren/Daten gesichert werden. Die Datenübermittlung oder Datenabfrage vollständig zu verzichten führt gleichsam zu der Forderung, bei Geschwindigkeitskontrollen sollten nur die schnellen Autos überprüft werden.

    Auch die grundsätzliche Frage kann gestellt werden, warum Flugtickets überhaupt einen Namen tragen müssen?

    1. „Man kommt hier sehr schnell zu einem Henne-Ei Problem, wie entsteht ein Anfangsverdacht und wie dürfen Spuren/Daten gesichert werden.“

      Das ist eigentlich hinreichend geklärt: https://de.wikipedia.org/wiki/Anfangsverdacht

      „Die Datenübermittlung oder Datenabfrage vollständig zu verzichten führt gleichsam zu der Forderung, bei Geschwindigkeitskontrollen sollten nur die schnellen Autos überprüft werden.“

      Das wird doch so gemacht. Eine Erfassung von persönlichen Daten des Fahrzeugführers erfolgt grundsätzlich erst, wenn eine Messung eine Überschreitung bestätigt. Dazu gibt es Unmengen an Rechtsprechung, auch des BVerfG: https://www.burhoff.de/veroeff/aufsatz/VRR_2010_95.htm

      Insbesondere die Themen Sektionskontrolle und KEnnzeichenerfassung waren doch erst kürzlich wegen dieses Konflikts virulent, auch bei NPorg.

      1. Die Datenübermittlung oder Datenabfrage vollständig zu verzichten führt gleichsam zu der Forderung, bei Geschwindigkeitskontrollen sollten nur die schnellen Autos gemessen werden.

        1. Es werden alle Autos gemessen, ein Eingriff findet im Gegensatz zum PNR aber nur verdachtsabhängig statt. Das PNR ist wie die VDS oder die Full-Take-Massenüberwachung der NSA: Ein Anlassloser Eingriff in die Rechte der Bürger.

          Oder wie der Generalanwalt am EuGH sagt: Terrorismus ist kein Grund für gar nichts.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.