Am Dienstag hat der Europäische Gerichtshof (EuGH) eine Grundsatzentscheidung zum EU-Fluggastdatensystem veröffentlicht. Neben zahlreichen anderen Grundrechtsverletzungen moniert das Gericht in seiner Vorabentscheidung die Nutzung von „Selbstlernsystemen“, die in den anlasslos erhobenen Massendaten nach Auffälligkeiten suchen.
Auch die automatisierte „Vorabbewertung“ von Reisenden sieht das Gericht kritisch. Laut dem EuGH muss der Einsatz „prädiktiver Selektoren oder Algorithmen“ bei der anlasslosen Überprüfung von Passagieren ausgeschlossen sein. Damit ist das Urteil auch von Bedeutung für das Europäische Reiseinformations- und -genehmigungssystem (ETIAS), das zum Profiling von allen Reisenden aus Drittstaaten Algorithmen einsetzen soll. Es geht den Planungen zufolge in neun Monaten in Betrieb.
Irreguläre Migration, Sicherheit, Epidemien
Das ETIAS ist ein Vorabgenehmigungssystem für visumfreie Reisende aus derzeit 60 Staaten. Es wird von der EU-Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA) verwaltet. Ähnliche Systeme haben etwa die USA, Kanada und Australien eingerichtet.
Über einen Online-Antrag müssen im ETIAS vor der Ankunft an den Grenzen Angaben zur Person und zur geplanten Reise übermittelt werden. Ein Bewertungssystem ermittelt auf Basis des Antragsformulars mögliche Risiken im Hinblick auf irreguläre Migration, Sicherheit oder Epidemien.
Zuständig sind dafür rund 250 Beamt:innen in der ETIAS-Zentralstelle, die bei der EU-Grenzagentur Frontex eingerichtet wurde. Ergibt sich bei der Überprüfung ein „Treffer“, wird der Vorfall zur weiteren Bearbeitung an die nationalen ETIAS-Stellen in den Mitgliedstaaten weitergeleitet. Dort können dann Einreisesperren verhängt werden.
Forschungen zu virtueller Grenzbeamt:in
Bekannt wurde das ETIAS in netzpolitischen Kreisen, weil Grenzpolizeien, Institute und Überwachungsfirmen hierfür an einem „Lügendetektor“ geforscht haben. In dem Projekt iBorderCtrl kam dazu eine virtuelle Grenzbeamt:in zum Einsatz , die den Reisenden mehr als ein Dutzend Fragen stellt und überprüft, ob diese einen „positiven Eindruck“ machen. Das Projekt endete vor drei Jahren und sollte zunächst die Machbarkeit eines solchen Systems untersuchen.
Auch ohne „Lügendetektor“ ist ETIAS ein Vorhaben, das tief in die Privatsphäre der Reisenden eingreift. Jeder eingereichte Antrag wird bei Frontex zunächst mit Datenbanken von EU und Interpol abgeglichen. Anschließend erfolgt die Abfrage einer ETIAS-Überwachungsliste. Sie wird von der EU-Polizeiagentur Europol geführt und enthält Personen, die mit Terrorismus oder Kriminalität in Verbindung stehen könnten. Auch medizinische Gründe wie ansteckende Krankheiten können zur Aufnahme in die Liste führen.
Neben Namen und Aliasnamen werden in der Überwachungsliste auch frühere Reisen in „Konfliktgebiete“ protokolliert. Sie wird ständig aktualisiert, hierzu arbeitet Europol eng mit ETIAS-Zentralstelle zusammen und erhält darüber auch neue Informationen über Verdächtige. Europol kann daraufhin auch strafrechtliche Ermittlungen anregen. Die ETIAS-Verordnung erlaubt Polizeibehörden eine solche Nutzung der Daten für Strafverfolgungszwecke.
Vordefinierte Risikoindikatoren
Laut Artikel 33 der ETIAS-Verordnung soll Frontex außerdem einen Algorithmus entwickeln, der das automatische Profiling der Reisenden ermöglicht. Die Grenzagentur gründet dies auf vordefinierte Risikoindikatoren, die unter anderem auf der Überwachungsliste basieren.
Eine Kombination von verschiedenen Daten enthält verschiedene Elemente, darunter Altersgruppe, Geschlecht und Staatsangehörigkeit sowie Herkunft und Wohnsitz. Sofern es Frontex bzw. Europol bekannt ist, werden auch das „Bildungsniveau“ oder die Berufsgruppe potentiell gefährlicher Personen berücksichtigt.
Zwar basieren die Risikoindikatoren, mit denen die Reisenden auf ihre Gefährlichkeit analysiert werden, auf anonymisierten Daten. Laut dem EuGH-Urteil zur Fluggastdatenspeicherung müssen diese aber „zielgerichtet und verhältnismäßig sein“. Sie dürfen demnach in keinem Fall nur auf dem Geschlecht oder dem Alter einer Person beruhen. Ausgeschlossen ist auch die Verarbeitung von Informationen über die ethnische oder soziale Herkunft. Damit dürfte ETIAS gegen die vom Gericht angeführten Grundsätze verstoßen.
Verarbeitung großer Datenmengen
Dessen ungeachtet treiben eu-LISA, Europol und Frontex den Einsatz maschinenlernender Verfahren im ETIAS weiter voran. In einer Studie „Einsatz von künstlicher Intelligenz“ sollen noch in diesem Jahr Regeln für die Verarbeitung großer Datenmengen in der ETIAS-Zentraleinheit entwickelt werden.
Auf diese Weise könnten etwa Trends oder bestehende Risiken entdeckt werden. Ebenfalls untersucht werden die für einen Einsatz „Künstlicher Intelligenz“ benötigten Gesetze auf EU-Ebene und in den Mitgliedstaaten. Anschließend soll die „KI-Komponente“ auch für andere EU-Datenbanken genutzt werden.
Im Mittelpunkt des neuen Systems steht ein neues Zentralregister für Berichterstattung und Statistik (CRRS), das empirische Daten und analytische Berichte aus dem Schengener Informationssystem und dem Visa-Informationssystem enthält. Damit will die EU-Kommission Rückschlüsse auf die Qualität der verarbeiteten Daten ermöglichen. Zudem können die dort gespeicherten Informationen für „politische und operative Zwecke“ herangezogen werden. Davon ist auch die Risikoanalyse durch Frontex umfasst.
Neue Organisationsstruktur bei Frontex
Für die neuen Aufgaben im Rahmen des ETIAS hat Frontex seine Organisationsstruktur umgebaut. Die zuständige „Risikoanalyseeinheit“ ist nunmehr in einer neuen Abteilung „Informationsmanagement und -verfahren“ angesiedelt. Sie wird von dem ebenfalls neu eingerichteten Posten des stellvertretenden Direktors Uku Särekanno aus Estland geleitet. Vorher war Särekanno bei eu-LISA für die Einführung neuer Datenbanken zuständig.
Noch ist das ETIAS-System nicht in Betrieb. Vor dem anvisierten Start im März müssen nicht nur technische Probleme bewältigt werden. Auch rechtlich ist das geplante Profiling noch nicht eindeutig geregelt. Gemäß Artikel 89 der ETIAS-Verordnung muss die Kommission einen delegierten Rechtsakt „zur genaueren Definition des Risikos für die Sicherheit, des Risikos der illegalen Einwanderung oder des hohen Epidemierisikos“ erlassen. Hierzu gibt es aber bislang keine Initiative, heißt es aus dem EU-Parlament.
Also nein. Profiling wollen sie verbieten. Propaganda-Getöse.
– Der Zwang ein staatliches Identitätsdokument zu besitzen und es zum Reisen zu benutzen, also Resieverbot, es sei denn man unterwirft sich der staatlichen Überwachung ob, wann und wohin man reist und wo man sich aufhält, ist Profiling.
– Die Kontrolle der staatlichen Identitätsdokumente bei Ein-und Ausreise und Abgleich mit Datenbanken ist Profiling.
– Die genannten Datenbank sind die Basis des Profilings, die Kombination der Daten ist Profiling.
– Der Zwang zur Vorabregistrierung, Passenger Name Records, ist Profiling.
Und jetzt will man 0,001 % des Profilings verbieten und tut so, also würde sich dadurch irgendwas ändern.