In einem Schreiben wandten sich jetzt 21 Datenschutz- und Bürgerrechtsorganisationen an die Abgeordneten des Europäischen Parlaments. Dieses wird noch in diesem Jahr über das Abkommen entscheiden. Die Europäische Kommission hat das Abkommen in den letzten Monaten mit den zuständigen US-Behörden ausgehandelt. Vergangene Woche gelangte der geheime Entwurf über ein Leak an die Öffentlichkeit. Vor dem Inkrafttreten müssen der Europäische Rat und das Europäische Parlament zustimmen. Laut Entwurf sollen die Daten auch künftig 15 Jahre lang gespeichert werden, jedoch nach bestimmten Fristen pseudonymisiert werden.
Europäische Datenschutzgesetz wird nicht umgesetzt
Die Organisationen kritisieren nun, dass sämtliche Forderungen, die das Parlament im Mai letzten Jahres an ein künftiges Abkommen gestellt hatte, im aktuellen Entwurf nicht berücksichtigt sind. Das Parlament verlangte, dass das Abkommen in Form eines Vertrags abgeschlossen werden sollte, der das Grundrecht auf Bewegungsfreiheit respektiert. Außerdem soll die Verwendung von Buchungsdaten für Datamining und Profilbildung verboten werden. Zudem sollen auch Buchungsdaten unter den Vertrag fallen, die von internationalen Abkommen nicht berücksichtigt werden, etwa wenn die zentralen Buchungssysteme außerhalb der Europäischen Union ansässig sind. All diese Forderungen wurden nach Auffassung der 21 Organisationen unter anderem aus Deutschland, Großbritannien, den Niederlanden, Österreich und Schweden nicht umgesetzt. Sie glauben daher, dass die EU-Kommission sich von den Amerikanern zu sehr unter Druck hat setzen lassen.
Tatsächlich halten die Amerikaner in den Verhandlungen ein wichtiges Faustpfand in der Hand: Auf amerikanischem Boden stehen nämlich die Server der zentralen Buchungssysteme, über die die Buchungsdaten europäischer Flugpassagiere geleitet werden. Die 21 zivilgesellschaftlichen Organisationen kritisieren, dass das Abkommen das europäische Datenschutzrecht nicht umsetzt, sondern eine Ausnahmeregelung schafft. Es gewährt europäischen Bürgern das Recht, einen Antrag nach dem amerikanischen Informationsfreiheitsgesetz zu stellen, um zu erfahren, welche Daten von ihnen gespeichert werden. Die gegenwärtige Auskunftspraxis zeige jedoch, dass diese Anfragen nur "unzureichend", wenn überhaupt beantwortet werden.
"Für Missbrauch offen zugänglich"
Ein weiterer Kritikpunkt sind die Zugangskontrollen zu den zentralen Buchungssystemen, die als Quelle für die Fluggastendaten-Abfragen seitens der amerikanischen Sicherheitsbehörden dienen. Diese Zugangskontrollen mit ihren Abfrageprotokollen sind laut dem Abkommen verpflichtend für die Fluggastdaten. Allerdings gibt es für die Abfrage der Daten keine geografisch beschränkte Kontrolle, kritisieren die Organisationen. So könnte jede Fluggesellschaft beziehungsweise jede Niederlassung des zentralen Buchungssystems beliebig viele Daten abfragen. Anfragen von Betroffenen hätten gezeigt, dass es entgegen der Behauptung des amerikanisch-europäischen Abkommens keine Abfrageprotokolle gäbe. Die Folge ist für die Organisationen klar: "Die Fluggastendaten sind für Missbrauch offen zugänglich."
Die Organisationen stellen außerdem die rechtliche Verbindlichkeit des Abkommens in Frage. Während die EU zahlreiche Verpflichtungen eingehe, seien die USA nicht verpflichtet, sich an das Abkommen zu halten. Während es in der Europäischen Union sowohl vom Rat wie auch vom Parlament genehmigt werden muss, gäbe es keine entsprechenden Verpflichtungen des US-Präsidenten oder des Senats das Abkommen zu unterzeichnen. Allein eine Ratifizierung durch den US-Senat könnte jedoch die in Aussicht gestellte Rechtssicherheit für europäische Sicherheit gewähren.
Zugriff schon jetzt möglich - aber nicht legal
Das gegenwärtige Abkommen ist nach Ansicht des amerikanischen Bürgerrechtlers und Vielreisenden Edward Hasbrouck, dessen Initiative "The Identity Project" ebenfalls zu den Unterzeichnern des Briefs gehört, lediglich dazu da, den gegenwärtigen Zugriff zu den Flugpassagierdaten zu legalisieren. Seiner Information nach liegen die Fluggastdaten in einer globalen Cloud, auf die das US-Heimatschutzministerium direkt zugreifen könne. Dies aber verstoße im Moment gegen das europäische Datenschutzrecht. Das Abkommen würde somit lediglich die Unternehmen vor Klagen und etwaigen Sanktionen schützen.
Folgt das Europäische Parlament der Interpretation der 21 Organisationen, müsste es die Unterzeichnung des Abkommens stoppen. Ob die Kommission bei einer Neuverhandlung dann bessere Karten in der Hand hat, ist fraglich. Sie müsste zuerst die Betreiber der Buchungssysteme dazu bringen, ihre Server auf europäischem Boden zu betreiben. Eine solche Standortänderung war auch die Voraussetzung für den Verhandlungserfolg bezüglich des Zugriffs auf europäische Bankdaten.
Christiane Schulzki-Haddouti lebt und arbeitet als freie Journalistin in Bonn.