Heute, Dienstag, fiel eine Grundsatzentscheidung des Europäischen Gerichtshofs (EuGH) zur anlasslosen Massenüberwachung, die EU-weit Fluggastdaten betrifft. Das Gericht verlangt wegen der verletzten Grundrechte von Millionen Reisenden eine Beschränkung der Datensammlung und -auswertung auf das „absolut Notwendige“. Die betreffende EU-Richtlinie, die das massenhafte Sammeln, Übermitteln und Verarbeiten von Reisedaten vorschreibt, um Terrorismus und schwere Kriminalität vorzubeugen, könne aber dadurch in Einklang mit den EU-Rechten gebracht werden.
Die verhandelte EU-Richtlinie verpflichtet Airlines, Reisebüros und Reiseanbieter, vor jeder Reise umfangreiche Personendaten der Kunden in einem einheitlichen Datenformat an die zuständigen Behörden zu übermitteln. Sie wurde im Jahr 2016 angenommen und war bis Mai 2018 in den einzelnen EU-Mitgliedsstaaten in nationales Recht umzusetzen. Die Fluggastdaten von Millionen Menschen werden also seit vier Jahren gesammelt und analysiert.
Das Schlagwort für diese Passagierdaten lautet Passenger Name Record (PNR). Gespeichert werden in diesem Datensatz der Name, die Adresse, der Buchungscode und der Reiseverlauf, aber auch Informationen über die Bezahlung, den Vielflieger-Status, den Sitzplatz und das Gepäck. Für jeden reisewilligen Menschen fallen zwanzig oder mehr persönliche Informationen an.
Diese PNR-Datensätze werden von jeglichen Passagieren gespeichert und ausgewertet, die von oder in die EU fliegen. Fünf Jahre lang dürften sie bisher auch gespeichert bleiben. Selbst Flugdatensätze innerhalb Europas werden von fast allen EU-Mitgliedsstaaten erfasst, obwohl die Richtlinie dies nicht explizit vorschreibt. Dem schoben die Richter aus Luxemburg heute einen Riegel vor: Die Datenverarbeitung bei Flügen innerhalb der EU verstoße gegen europäisches Recht, wenn keine „reale und aktuelle oder vorhersehbare“ terroristische Bedrohung bestehe.
Angestrengt hatte den aktuellen Fall die belgische Liga für Menschenrechte (Ligue des droits humains, LDH). Zehn ganz grundsätzliche Fragen zur Vorratsspeicherung der Flugpassagierdaten hatte das belgische Verfassungsgericht dem EuGH vorgelegt, um zu klären, ob gegen europäische Grundrechte, insbesondere das Recht auf Achtung des Privatlebens, verstoßen wurde. Allein die Anzahl war bemerkenswert, zeigte sie doch, wie vielschichtig die vorgebrachten Bedenken gegen die Rechtmäßigkeit waren.
Dass jeder, der ein Flugzeug zu betreten plant, als potentieller Verdächtiger behandelt wird und sämtliche Fluggastdaten mit verschiedenen anderen Datenbanken abgeglichen werden, war ein fundamentaler Kritikpunkt. Selbst Flüge innerhalb der Europäischen Union, die eigentlich wegen des Schengener Übereinkommens von Grenzkontrollen befreit sind, wurden praktisch nicht ausgenommen, wohl aber der Flüge von Privatjets.
Die Kritik der belgischen Beschwerdeführer gegen die Fluggastdatensammlungen war auch insofern grundsätzlich, als dass bereits die Eignung für den Zweck angezweifelt wurde: Wenn nämlich zehn- oder gar hunderttausende Menschen nach dem automatisierten Datenabgleich als mögliche Verdächtige markiert werden, die mit Terrorismus oder schwerer Kriminalität in Verbindung stünden, dann ist sie offenkundig beim Kampf gegen Terroristen und Schwerverbrecher ungeeignet. Denn genau das produzierten die automatisierten Fluggastdatensammlung-Abgleiche: Zehntausende Treffer, die natürlich Fehlschläge waren.
Diese massenhaft falschen Ergebnisse in den Jahren 2018 und 2019 nimmt der EuGH in seinem Urteil zum Anlass, „klare und präzise Regeln“ für die Datenauswertung vorzuschreiben: „Angesichts der Fehlerquote, die solchen automatisierten Verarbeitungen der PNR-Daten innewohnt, und der erheblichen Zahl ‚falsch positiver‘ Ergebnisse […] hängt die Eignung des durch die PNR-Richtlinie geschaffenen Systems zur Erreichung der verfolgten Ziele im Wesentlichen vom ordnungsgemäßen Ablauf der Überprüfung der im Rahmen dieser Verarbeitungen erzielten Treffer ab“, daher müssen die EU-Mitgliedstaaten nun die Regeln präzisieren. Sie müssen dabei auch das Diskriminierungsverbot beachten.
Gerichtshof setzt neue Schranken
Das heutige Urteil folgt in vielen Aspekten dem Schlussantrag des EuGH-Generalanwalts Giovanni Pitruzzella. Er hatte Anfang 2022 darin besonders die mit fünf Jahren überlange Speicherfrist der Fluggastdaten kritisiert. Sie gehöre verkürzt.
Das sieht auch der Gerichtshof so: Die lange Speicherfrist der PNR-Daten „unterschiedslos für alle Fluggäste“ stehe den Grundrechten entgegen. Die fünf Jahre seien „nicht auf das absolut Notwendige beschränkt“, wenn sie sich auf Reisende beziehe, die bei der Vorabüberprüfung oder während der Abgleiche in einer sechsmonatigen Speicherfrist als Treffer markiert würden.
Generalanwalt Pitruzzella hatte außerdem angeregt, die PNR-Datensätze inhaltlich zu reduzieren. Dem folgte das Gericht und beschränkte einige PNR-Datensätze auf „klar identifizierbare und umschriebene Informationen“ im Anhang der Richtlinie und dort die „ausdrücklich genannten Angaben“.
Klarheit verlangte Pitruzzella auch dazu, mit welchen Datenbanken die Fluggastdaten abgeglichen werden dürften. Der Gerichtshof setzte hier ebenfalls neue Schranken: Für „die Zwecke der Vorabüberprüfung der PNR-Daten“ in automatisierter Form dürfe nur mit „Datenbanken betreffend Personen oder Gegenstände, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind“, abgeglichen werden. Diese Datenbanken müssen außerdem „frei von Diskriminierung sein und von den zuständigen Behörden im Zusammenhang mit der Bekämpfung terroristischer Straftaten und schwerer Kriminalität mit einem – zumindest mittelbaren – objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden“.
Anlasslose Massenüberwachung bleibt bestehen
Die Vorratsdatenspeicherung der Fluggastdaten ist nach dem heutigen Urteil des Europäischen Gerichtshofs inhaltlich und zeitlich zwar beschränkt worden, die anlasslose Massenüberwachung in ihrem Kern bleibt jedoch bestehen. Über die Details des komplexen Urteils werden sich mit Sicherheit viele Juristen beugen, schon weil auf die Entscheidung in dem heutigen belgischen Fall fünf weitere Beschwerdeführer warteten, deren EuGH-Beschwerden bisher ruhend waren. Zwei dieser ruhenden Fälle sind Vorlagen an den EuGH von deutschen Gerichten.
Ob es bei Fluggastdaten bleibt, wird die Zukunft zeigen: Die belgische Regierung weitete ihr Passagierdatensystem bereits auf Bus- und Bahnreisen aus, was seit 2018 getestet wird. Auch andere EU-Mitgliedstaaten erwogen bereits die Erfassung aller Zug-, Bus- und Schiffsreisenden.
Ob die Richtlinie ihren eigentlichen Zweck erfüllt, sollte die Europäische Kommission in einem Bericht an das Parlament darlegen. So schreibt es die Richtlinie eigens vor. Der Bericht aus dem Jahr 2020 jedoch blieb konkrete Zahlen schuldig, die eine Bewertung der Eignung für die Terrorismusbekämpfung ermöglicht hätte. Auch ein zeitgleich veröffentlichter Zusatzbericht liefert nur anekdotische Beispiele statt Zahlen. Ob und wie viele Terroristen und Schwerverbrecher durch die riesenhaften Fluggastdatenregister bisher ins Netz gingen, bleibt nebulös.
Wir wissen doch inzwischen, dass _alles_ notwendig ist und darum auch gesammelt werden _muss_. Nur die SMS von vdL sind off-limits!
Weit gefehlt! Das ist alles nur die Folge von: „Limits off“.
Alles was irgendwie nutzt ist notwendig. Immer.
Leider hat der EuGH nicht wie bei der Vorratsdatenspeicherung (Digital Rights Ireland – 2014, Tele2 – 2016, etc.) dem ganzen Treiben eine klare (theoretische) Absage erteilt. Die Eignung der PNR-Daten für den Zweck ist unklar. Das Gericht hätte dementsprechend die Richtlinie für ungültig erklären sollen. Jedoch erodieren nun Grundrechte weiter und es scheint als ob dies mittlerweile unumkehrlich Richtung komplette staatliche Überwachung schreitet.