Brüssel, den 17. August 2007
Pressemitteilung /2007
Die Artikel 29-Datenschutzgruppe
Die Art. 29 Datenschutzgruppe hat heute eine Stellungnahme zum neuen Langzeitabkommen zwischen der EU und den USA abgegeben, die die datenschutzrechtlichen Auswirkungen, die die Übermittlung von Passagierdaten an die USA auf Grundrechte und Grundfreiheiten und insbesondere auf das Recht der Passagiere auf Datenschutz hat, analysiert. Sie kommt dabei zu dem Schluss, dass die Garantien des neuen Abkommens erheblich niedriger sind als die der vorherigen Vereinbarung und dass auf wichtige Fragen und Defizite nicht eingegangen wird. Das Datenschutzniveau des neuen Abkommens muss daher als unzureichend angesehen werden.
Die Art. 29 Datenschutzgruppe zeigt sich enttäuscht, dass das neue im Juli zwischen der EU und den USA unterzeichnete PNR-Abkommen noch nicht einmal das Datenschutzniveau der vorherigen Vereinbarung erreicht, das bereits als niedrig angesehen wurde. Kleinere Verbesserungen wie die Erweiterung der Schutzgarantien auf Nicht-US-Bürger oder eine verbesserte Informationspolitik durch das US-Heimatschutzministerium wiegen dieses merklich niedrigere Datenschutzniveau nicht auf. Anerkannte Datenschutzprinzipien wie die der Konvention 108 des Europarats oder der EG Datenschutzrichtlinie werden nur unzureichend beachtet. Zu dem enthält das neue Abkommen Defizite und lässt wesentliche Fragen unbeantwortet.
In ihrer ausführlichen Stellungnahme kritisiert die Arbeitsgruppe insbesondere die folgenden Punkte:
- Die Anzahl der zu übermittelten Datenelement wurde erhöht und schließt Angaben zu Dritten ein.
- Die Zwecke, für die die Daten übermittelt werden, sind nicht nur unzureichend bestimmt, sondern auch weiter als die anerkannter Datenschutzstandards.
- Sensible Daten sind zwar nicht in der Liste der zu übermittelnden Datenelemente enthalten und müssen daher vom US-Heimatschutzministerium herausgefiltert werden, können aber in besonderen Fällen von den US-Behörden genutzt werden.
Sensible Daten sind Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie Daten über Gesundheit und Sexualleben; ihre Nutzung ist nach EU-Recht grundsätzlich untersagt.
- Die Speicherfrist wurde von dreieinhalb Jahren auf 15 Jahre erweitert und selbst diese Frist könnte noch verlängert werden.
- Die Weiterleitung an einheimische und ausländische Stellen ist einfacher geworden und unterliegt nicht länger strengen Datenschutzvorschriften.
- Eine gemeinsame Überprüfung des Abkommens schließt nicht länger die Mitwirkung unabhängiger Aufsichtsbehörden ein.
Obwohl das neue Abkommen die Übermittlung der PNR-Daten spätestens ab dem 1. Januar 2008 in einem aktiven Push-Verfahren
vorsieht, hängt sehr viel von den einseitigen Entscheidungen des US-Heimatschutzministeriums ab und es ist nach wie vor offen, zu welchen Bedingungen eine Umstellung von einem passiven pull-Verfahren
auf ein aktives push-Verfahren
erfolgt. Weiterer Klärungsbedarf besteht nach der Umstellung auch in den Ausnahmefällen, in denen das US-Heimatschutzministerium Zugang zu zusätzlichen Daten hat, die nicht auf der Liste der zu übermittelnden Daten stehen. Zu klären ist auch, wie oft die Daten, die in den Buchungssystemen der Fluglinien gespeichert sind, aktiv übermittelt werden sollen, da auch dies von der Entscheidung des Heimatschutzministerium abhängt.
Eine datenschutzfreundliche Lösung muss in einem gegenseitig akzeptabeln und wirtschaftlich vernünftigen Rahmen gefunden werden, der nicht andere, insbesondere die US-Fluggesellschaften, begünstigen darf.
Es wird auch als Besorgnis erregend angesehen, dass das Abkommen den Betroffenen keinerlei Rechte gewährt und dass jede Änderung in der US-Gesetzgebung das Datenschutzniveau, so wie im Begleitbrief vorgesehen, einseitig betreffen kann.
Die Arbeitsgruppe erkennt zwar an, dass die neue Vereinbarung eine Rechtsgrundlage für die Übermittlung der Passagierdaten schafft, und dass damit Rechtsunsicherheiten für die Fluggäste, die Luftfahrtgesellschaften und die Aufsichtsbehörden vermieden werden konnten, sie bedauert aber, dass sie weder während der Verhandlungen zum Abkommen konsultiert noch zu den zahlreichen Fragen, die das neue Abkommen offen lässt, gehört wurde.
Dies ist insbesondere deshalb bedauerlich, da die Mitglieder der Datenschutzgruppe die Aufsichtsbehörden für die Fluggesellschaften sind, die die Bestimmungen der Vereinbarung in enger Zusammenarbeit mit den EU-Datenschutzbehörden umsetzen müssen.
Angesichts des unzureichenden Datenschutzniveaus des neuen Abkommens hätte sich die Arbeitsgruppe sicherlich ein anderes Verhandlungsergebnis gewünscht. Im Interesse aller transatlantischen Reisenden wird sie jetzt eine schriftliche Stellungnahme zu allen offenen Fragen von der Kommission erbitten und erwartet, zukünftig bei allen Nachfolgeaktivitäten beteiligt zu werden.
Die Stellungnahme kann auf der unten aufgeführten Internetseite der Art. 29 Datenschutzgruppe aufgerufen werden.
http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm
Hintergrundinformation
Die Artikel 29 Datenschutzgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten ist eine unabhängige Stelle und hat beratende Funktion zum Thema Datenschutz und Privatsphäre. Sie wurde durch Artikel 29 der Datenschutzrichtlinie 95/46/EG eingesetzt. Sie besteht aus Vertretern von nationalen Datenschutzbehörden der EU-Mitgliedsstaaten, dem Europäischen Datenschutzbeauftragten und der Europäischen Kommission. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG und Artikel 15 der Richtlinie 2002/58/EG festgelegt. Die Datenschutzgruppe hat die Befugnis, die Fragen zur Anwendung der nationalen Maßnahmen, die unter den Datenschutzrichtlinien verabschiedet wurden, zu untersuchen, um damit zur einheitlichen Anwendung dieser Richtlinien beizutragen. Sie übt diese Aufgabe aus, in dem sie Empfehlungen, Stellungnahmen und Arbeitspapiere herausgibt.