Die wichtigsten Datenschutzbelange in Zusammenhang mit den Entwicklungen in der EU Politik 2007

Das Abkommen von Lissabon wurde im Dezember 2007 unterzeichnet. Ungeachtete der heftigen Kritik an diesem Abkommen wird das Papier, wenn es von allen Mitgliedsstaaten ratifiziert worden ist, zwei wichtige Verbesserungen fĂŒr die EU und ihre BĂŒrger herbeifĂŒhren. Erstens wird die Charta der Grundrechte der EuropĂ€ischen Union Teil der Gemeinschaftsacquis werden, einschließlich der §7 (Respekt von Privat- und Familienleben) und §8 (Schutz von persönlichen Daten). Zweitens wird das Abkommen der EU den Zugang zur EuropĂ€ischen Konvention fĂŒr Menschenrechte ermöglichen und die EU BĂŒrgern somit gegen die Verletzung ihrer Menschenrechte durch EU Institutionen schĂŒtzen. Diese Verbesserung wĂ€re Ă€ußerst willkommen, besonders – aber keineswegs nur – in Anbetracht der derzeitigen UnzulĂ€nglichkeit des Datenschutzes unter der dritten SĂ€ule (Justiz und Inneres). Aber 2007 hat im Hinblick auf die Entwicklungen bei der PrivatsphĂ€re und dem Schutz persönlicher Daten auf EU Ebene auch viele Sorgen bereitet. Neben dem SWIFT Skandal, bei dem der Zugriff der USA auf europĂ€ische Finanztransaktionen ermöglicht worden war, gab es die Google-Doubleclick Fusion, die derzeit von der EuropĂ€ischen Kommission untersucht wird (wenn auch hauptsĂ€chlich im Hinblick auf Wettbewerb), fortwĂ€hrende Sorgen mit der Vorratsdatenspeicherung durch Suchmaschinen, besonders Google, auch wenn die Firma leichte KĂŒrzungen bei der Speicherungsfrist angekĂŒndigt hat, und die Entwicklung der RFIDi-Chips; die großen Probleme mit der EU-Politik in 2007 drehen sich um Fluggastdaten, die Weitergabe von biometrischen und genetischen Daten und das immer noch unzulĂ€ngliche Level des Datenschutzes unter der dritten SĂ€ule.

„Alle Regierungen haben die Pflicht, ihre BĂŒrger vor der terroristischen Bedrohung zu schĂŒtzen, aber die Methode sollte legal, intelligent und effektiv sein“, sagte der GeneralsekretĂ€r des Europarats am Datenschutztag. „Ich mache mir Sorgen, dass einige der aktuellen Vorkehrungen fĂŒr den Austausch von Daten, die unter Druck der US-Regierung getroffen worden sind, diesen Kriterien nicht entsprechen“, fĂŒgte er passenderweise hinzu.

a. Fluggastdaten (PNRi)
Im Juni 2007 wurde ein entgĂŒltiges Abkommen ĂŒber die Fluggastdaten zwischen der EU und den USA geschlossen, vier Jahre nachdem die USA und die EuropĂ€ische Kommission – illegalerweise – zugestimmt hatten, den US-amerikanischen Zollbeamten den direkten Zugriff auf die persönlichen Daten der Passagiere zu genehmigen, die in der USA landen, aus der USA ausfliegen oder Zwischenstopps in den USA einlegen. Um an diesen Punkt zu gelangen, waren viele Protestkampagnen nötig, wie die von EDRi organisierte Aktion im Jahr 2003 sowie scharfe Kritik von Seiten des EuropĂ€ischen Parlaments und der Arbeitsgruppe Artikel 29 und die Annullierung durch den EuropĂ€ischen Gerichtshof. Das Abkommen verringert den Datensatz von 34 auf 19 StĂŒck einschließlich Namen, Kontaktinformationen, Zahlungseinzelheiten, ReisebĂŒro, Reiseroute und GepĂ€cksinformationen, jedoch werden sensible Daten wie Volkszugehörigkeit ausgeklammert. Die Daten können fĂŒr eine Gesamtspanne von 15 Jahren gespeichert werden. Es wurde geltend gemacht, dass EuropĂ€ische BĂŒrger nun auch vom US Gesetz fĂŒr PrivatsphĂ€re abgedeckt werden, was bedeutet, dass sie ihre Rechte vor US Gerichten einfordern können. Allerdings hat die US Regierung nur drei Monate nach diesem Abkommen einige Änderungen an dem Gesetz fĂŒr PrivatsphĂ€re bekannt gegeben, die Ausnahmen bei Antworten auf Anfragen ĂŒber persönliche Informationen an das Heimatschutzministerium und das Automated Tareting System angehen. Das Abkommen wurde vom EU Parlament, der Arbeitsgruppe Artikel 29 und dem EuropĂ€ischen Datenbeauftragten heftigst kritisiert.

SpĂ€ter im Jahr kĂŒndigte die EU ihr Projekt zur Schaffung ihres eigenen EuropĂ€ischen PNRi Systems an. Der Plan, der im November von der EuropĂ€ischen Kommission eingereicht wurde, Ă€hnelt dem Abkommen zwischen der EU und der USA. Die EU wird 19 persönliche DatensĂ€tze ĂŒber Passagiere speichern mĂŒssen, die in den EU Raum ein- oder ausreisen, einschließlich Telefonnummer, E-Mail-Adresse, ReisebĂŒro, vollstĂ€ndige Reiseroute, Abrechnungen und GepĂ€cksinformationen. Die Informationen werden in Analyseeinheiten gespeichert, durch die eine „RisikoeinschĂ€tzung“ fĂŒr jeden Passagier vornehmen wird, die in der Folge zu Befragungen des Passagiers oder sogar zu Einreiseverweigerungen fĂŒhren können. Die Daten sollen fĂŒr fĂŒnf Jahre gespeichert werden und landen dann fĂŒr weitere acht Jahre in einer ruhenden Datenbank. Dieser Plan wurde ebenfalls bereits vom Parlament kritisiert und auch von der Arbeitsgruppe Artikel 29 und dem EuropĂ€ischen Datenschutzbeauftragten, aber im Jahr 2008 wird sich diesbezĂŒglich dennoch sicher noch viel tun. Einige Mitgliedsstaaten haben Ă€hnliche Maßnahmen schon auf nationaler Ebene eingefĂŒhrt.

b. Weitergabe biometrischer und genetischer Daten
Das EuropĂ€ische Visa Informationssystem (VIS) wird wahrscheinlich zur grĂ¶ĂŸten biometrischen Datenbank der Welt werden. VIS wird Informationen ĂŒber Besuchsvisa oder Transitbewilligungen durch den Schengenraum von bis zu 70 Millionen Personen speichern. Diese Daten werden biometrisch sein (Lichtbild unf FingerabdrĂŒcke) und schriftlich, wie Name, Adresse und Beruf der Antragsteller, Datum und Ort des Antrags sowie jede Entscheidung, die vom zustĂ€ndigen Mitgliedsstaat bezĂŒglich Genehmigung, Ablehnung, Annullierung, Aufhebung oder VerlĂ€ngerung von Visa getroffen wird. BĂŒrger aus mehr als 100 LĂ€ndern benötigen ein Visa, um in die EU einreisen zu dĂŒrfen. In den letzten Debatten im Jahr 2007 wurde praktisch nur diskutiert, welches das Höchstalter fĂŒr die Ausnahme von Kindern bei der Verwendung der 10 FingerabdrĂŒcke sein sollte: Das Parlament sagt 12 Jahre, der Rat möchte 5 Jahre als Höchstalter durchsetzen.

Die EU möchte jedoch auch biometrische Daten von EU BĂŒrgern und Einwohnern speichern und weitergeben, weit mehr als die Daten, die bereits durch biometrischen PĂ€sse und Personalausweise bekannt sind. Im Juni 2007 wurde beschlossen, dass das PrĂŒm Abkommen, das ursprĂŒnglich von 7 EU LĂ€ndern im Mai 2005 unterzeichnet worden war, ohne maßgebliche Änderungen in die EU Gesetzgebung aufgenommen werden wird. Diese Entscheidung fĂŒhrt zum grĂ¶ĂŸten paneuropĂ€ischen Netzwerk von polizeilichen Datenbanken, durch das DNA-Profile, FingerabdrĂŒcke und andere persönliche und nicht-persönliche Daten gespeichert und weitergegeben werden können. Die Empfehlung des EuropĂ€ischen Datenschutzbeauftragten, der im Dezember 2007 eine Stellungnahmen ĂŒber die Implementierung des Abkommens veröffentlicht hat, wurde bei dem Abkommen nicht in Betracht gezogen.

c. Unzureichender Datenschutz unter der dritten SĂ€ule
WĂ€hrend die Daten, die von der Polizei und gerichtlichen Behörden gespeichert und weitergegeben werden zunehmen, werden auch angemessene Regeln zum Schutz persönlicher Daten unter der dritten SĂ€ule immer dringender notwendig. Ein Entwurf der Rahmenentscheidung des Rates zum Schutz persönlicher Daten, die im Rahmen der polizeilichen und juristischen Zusammenarbeit bei StraffĂ€llen bearbeitet werden, wurde von der EuropĂ€ischen Kommission schon im Oktober 2005 eingereicht, ist aber immer noch nicht beschlossen, obwohl der EuropĂ€ische Datenschutzbeauftragte seine Meinung schon wiederholt geĂ€ußert hat. Dem EuropĂ€ischen Datenschutzbeauftragen zufolge bietet der Entwurf vom Dezember 2007 nur minimale Harmonisierungen und Sicherheiten, und wĂ€re nur auf persönliche Daten anwendbar, die an andere Mitgliedsstaaten weitergegeben werden und nicht auf die Verarbeitung innerhalb der Staaten.

EDRi-Seite zu Biometrie

EDRi-Seite zu PNR

EDRi-Seite zu PrivatsphÀre

EDPS Opinions

Artikel 29 Arbeitsgruppe

(Beitrag von Meryem Marzouki, EDRI Mitglied IRIS - Frankreich)