[datensicherheit.de, 16.12.2011] Laut dem Bundesdatenschutzbeauftragten sei es eigentlich keine überraschende Nachricht, dass die in Brüssel versammelten Innen- und Justizminister am 13. Dezember 2011 den Entwurf für ein neues Abkommen mit den USA gebilligt hätten:
In diesem ist die Fortsetzung der Übermittlung von Daten über Flugpassagiere an die Vereinigten Staaten vorgesehen. Damit soll nun auf geänderter rechtlicher Basis eine Praxis fortgesetzt werden, die kurz nach den Terroranschlägen des 11. September 2001 von den US-Behörden gegenüber den Fluggesellschaften durchgesetzt worden war. Damit werden Daten, die von den Fluggesellschaften und Buchungssystemen für die Durchführung einer Reise erhoben worden sind, weiterhin an US-Behörden übermittelt und von diesen viele Jahre gespeichert.
Erfreulich sei es, dass die Bundesregierung dem vorgeschlagenen Abkommenstext nicht zugestimmt habe, wobei allerdings die Frage im Raum bleibe, warum sie sich angesichts der von Bundesinnenminister Friedrich und Bundesjustizministerin Leutheusser-Schnarrenberger geäußerten schwerwiegenden verfassungsrechtlichen Bedenken nur enthalten und nicht dagegen gestimmt habe, so Peter Schaar.
Die deutsche und auch die österreichische Enthaltung ändere jedoch nichts daran, dass das Abkommen die erforderliche Mehrheit im Rat bekommen habe. Nach dem Inkrafttreten des Lissabon-Vertrags bedürfe ein solches Abkommen allerdings noch der Zustimmung durch das Europäische Parlament (EP). Das EP habe sich bereits am 5. Mai 2010 mit dem Entwurf eines neuen Abkommens beschäftigt, seine Entscheidung aber wegen erheblicher datenschutzrechtlicher Bedenken vertagt. Es habe in seiner Entschließung konkrete Anforderungen an ein neues Abkommen formuliert – Fluggastdatensätze dürften danach nur für Strafverfolgungs- und Sicherheitszwecke in Fällen von schwerwiegender organisierter und grenzübergreifender Kriminalität oder grenzüberschreitendem Terrorismus verwendet werden.
Schaar weist darauf hin, dass weitaus mehr PNR-Angaben (Passenger-Name-Record) übermittelt werden, als die US-Behörden direkt bei der Einreise von den Reisenden erheben. Übermittelt würden auch Zahlungsdetails und Kontaktinformationen, also auch Telefonnummern, E-Mail- und Zieladressen in den USA. Schließlich enthalte der PNR-Datensatz auch sensible Daten, etwa besondere Essenswünsche (z. B. koscheres Essen) und Hinweise auf Behinderungen (z.B. Rollstuhlbenutzung), die nach dem europäischen Datenschutzrecht besonderen Schutzes bedürften.
Unverändert sei auch die aus Schaars Sicht überzogene Speicherfrist sämtlicher Daten von 15 Jahren. Auch wenn es positiv sei, dass auf die Daten im Regelfall nach einiger Zeit nur noch „maskiert“ (ohne Nennung des Namens des jeweiligen Passagiers) zugegriffen werden solle, ändere dies nichts daran, dass sämtliche Daten für 15 Jahre vollständig gespeichert blieben und – bei entsprechender Notwendigkeit – personenbezogen verwendet werden dürften. Möglicherweise würden die Daten sogar noch für einen längeren Zeitraum als 15 Jahre vorgehalten, wenn auch in „anonymisierter“ Form, denn der Abkommensentwurf sehe selbst dann nicht die Datenlöschung, sondern nur deren Anonymisierung vor – in welcher Weise und wie wirksam diese Anonymisierung stattfindet, sei in dem Abkommen nicht festgelegt.
Jedes legitime Abkommen zur massiven Übermittlung von personenbezogenen Daten von Passagieren an Drittländer müsse strenge Bedingungen erfüllen, mahnt der Europäische Datenschutzbeauftragte Peter Hustinx. Leider blieben viele der Bedenken unbeachtet. Schaar teilt Hustinx‘ Bewertung, zugleich hoffend, dass das EP seiner Linie treu bleibt und den ausgehandelten Entwurf nicht kritiklos durchwinkt, sondern kritisch hinterfragt.

Weitere Informationen zum Thema:

Datenschutz FORUM, 14.12.2011
Peter Schaar / Passagierdaten-Abkommen: EU-Parlament, bitte übernehmen!

[datensicherheit.de, 22.03.2010] Mit einer Eingabe zur künftigen Digitalen Agenda der Europäischen Kommission hat sich der Europäische Datenschutzbeauftragte (EDPS) Peter Hustinx für die Stärkung des Datenschutzes und der Privatsphäre zur Beförderung des Vertrauens in die Informationsgesellschaft engagiert:
Darin erläutert Hustinx Maßnahmen, die von der EU unterstützt werden könnten, um die individuelle Privatsphäre und Datenschutzrechte beim Gebrauch von Informations- und Kommunikationstechnologie (IuK) zu garantieren. Als Beispiele werden RFID, Soziale Netzwerke, „eHealth“ und „eTransport“ genannt. Er betont, dass Vertrauen grundlegend für die Ausbreitung und erfolgreiche Inbetriebnahme von IuK ist. Solche Technologien böten großartige Möglichkeiten – aber würden eben auch neue Risiken bergen.

© EUROPEAN DATA PROTECTION SUPERVISOR

Der Europäische Datenschutzbeauftragte Peter Hustinx fordert „Privacy by Design“.

Obwohl die EU bereits über ein starkes Datenschutz-Regelwerk verfügt, rufe IuK in vielen Fällen neue Bedenken hervor, denen mit dem bestehenden Regelwerk nicht begegnet werden könne. Hustinx setzt sich daher für das Prinzip „Privacy by Design“ ein – wonach IuK von der Entwurfsphase an so zu gestalten ist, dass durch die ganze Entwicklung hindurch Datensicherheitsaspekten Genüge getan wird.

Weitere Informationen zum Thema:

EDPS, 22.03.2010
EDPS opinion on privacy in the digital age: „Privacy by Design“ as a key tool to ensure citizens‘ trust in ICTs