EU-Kommission lässt Airlines in Fragen des Datenschutzes alleine
Die EU-Kommission hat mit einer offenbar vorschnellen Entscheidung, der US-Zollbehörde Zugang zu den Reservierungsdatenbanken der europäischen Airlines zuzusichern, für Empörung bei Datenschützern gesorgt – denn das könnte bedeuten, dass US-Behörden Informationen über Kreditkarten, Essgewohnheiten und einiges mehr erhalten, ohne Wissen oder offizielle Zustimmung der Passagiere.Die US-Zollbehörde stellt Anträge bei den einzelnen Fluggesellschaften, denen nach Erhalt eines Antrags 30 Tage Zeit bleiben, um den Zugriff auf das Reservierungssystem zu ermöglichen.
Widerstand gegen das Abkommen zwischen dem EU-Kommissar Christopher Patten und der US-Zollbehörde regt sich im Europäischen Parlament, wo sogar über eine Klage beim Europäischen Gerichtshof (EuGH) nachgedacht wird. Inzwischen dürfte auch die Kommission erkannt haben, dass der Übereinkunft mit den US-Behörden die rechtliche Basis fehlt: Den europäischen Fluggesellschaften wird nun empfohlen, das am 5. März 2003 in Kraft getretene US-Gesetz zu ignorieren – doch damit lässt die Kommission die Fluglinien, denen die US-Behörden sogar mit Entzug der Landerechte drohen, erst recht wieder alleine im rechtsfreien Raum. Die europäischen Airlines gehen einstweilen nach eigenem Ermessen vor – ein Zustand, der bis zum EU/US-Gipfel Ende Juni 2003 bestehen bleiben könnte.
Vorgehen nach eigenem Ermessen
Zum Hintergrund: Die Erklärung der EU-Kommissarin Loyola de Palacio, dass ab 5. März 2003 alle Fluggesellschaften vor Flügen in die USA Passagierlisten an die US-Zollbehörde liefern müssten, war nur die halbe Wahrheit: Verlangt wird im Rahmen von „Passenger Name Record Access“ (PNR) keine aktive Übermittlung von Passagierlisten, sondern die Öffnung der Reservierungssysteme der Airlines für die US-Zollbehörde – und nach der „Third Agency Rule“ auch für andere US-Regierungsstellen!
Während Lufthansa der US-Zollbehörde per 5. März einen vollständigen Zugriff auf das Reservierungssystem Amadeus eingerichtet hat, tut die Austrian Airlines Group einstweilen nichts dergleichen: Laut AUA-Sprecher Johann Jurceka werden nur die reinen Passdaten der Passagiere vor Antritt des Flugs in die USA übermittelt – doch das geschieht bereits seit Jänner 2002 im Rahmen des sogenannten Advanced Passenger Information System (APIS). Derzeit würden keine Reservierungsdaten an die US-Behörden weiter gegeben und schon gar kein Zugriff auf das Reservierungssystem (ebenfalls Amadeus) gewährt, bestätigt auch Gerhard Aigner, der allerdings auch darauf hinweist, dass einstweilen kein Antrag der US-Behörde bei AUA vorliegt.
Air France übermittelt nach offizieller Darstellung „sämtliche persönlichen Daten, die der Kunde Air France bei Buchung des Fluges gegeben hat“ – unklar bleibt dabei, ob der US-Behörde Zugang zum Reservierungssystem gewährt wird.
Laut einer Stellungnahme des British Airways-Sprechers Tony Cane gewährt BA "keinen vollen Zugriff" auf die Daten der Passagiere - der US-Zoll habe lediglich Zugriff auf APIS, wo jedoch nur Passdaten und keine Daten über Bezahlungsmodalitäten oder Essenswünsche gespeichert werden.
Bei KLM liegt formal (ebenso wie bei AUA) noch kein Antrag der US-Behörden vor, daher werden derzeit weder Daten aus dem Reservierungssystem übermittelt noch ist der US-Behörde ein Zugriff möglich. Allerdings hat die USA bereits einen Antrag bei der KLM-Tochter Martinair gestellt, die ebenfalls das Reservierungssystem Corda benützt.
Sicher dürfte sein, dass die europäischen Fluggesellschaften keine Informationen über ihre Vielfliegerprogramme weitergeben – denn diese sind nicht in den Reservierungssystemen gespeichert, sondern ausgelagert.
Verstoß gegen die EU-Datenschutzdirektive
Nach US-Vorstellungen hätte die EU-Kommission die EU-Datenschutzdirektive, die die Weitergabe von personenbezogenen Daten ohne ausdrückliche Zustimmung der Betroffenen explizit verbietet, bis 5. März ändern beziehungsweise abschaffen sollen. „Dazu hat die EU-Kommission keinerlei Mandat, schon gar kein Recht“, stellt Dr. Hans G. Zeger fest, der Obmann der ARGE Daten – Österreichische Gesellschaft für Datenschutz. „Die US-Behörden haben schon versucht, die EU-Datenschutzdirektive auszuhebeln, bevor diese 1995 verabschiedet wurde – die Terrorbekämpfung ist nur der vorgeschobene Anlass. Die EU-Kommission hat einen schweren Fehler begangen“, so Zeger.
Laut Zeger lässt die EU-Datenschutzdirektive, die von Österreich seit 2000 national umgesetzt wird, die Weitergabe von personenbezogenen Daten nur unter ganz bestimmten Bedingungen zu, (zum Bespiel, wenn Firmen die Daten ihrer Mitarbeiter an Sozialversicherungen übermitteln) – in jeden Fall sei jedoch die Zustimmung der Betroffenen notwendig. Werden die Daten von Passagieren ohne deren Wissen und Zustimmung weitergegeben, verstieße dies nicht nur gegen die EU-Direktive, sondern in Deutschland, Österreich und vielen anderen Staaten gegen geltende nationale Datenschutzgesetze.
Lufthansa-Position
Auf Nachfrage von T.I.P. bestätigte Lufthansa-Sprecher Bernd Hoffmann, dass der US-Zollbehörde seit 5. März 2003 Zugriff auf das Reservierungssystem Amadeus gewährt wird – auf Empfehlung der EU-Kommission vom 18. Februar. Damit würde man nicht nur APIS entsprechen, sondern auch dem „Passenger Name Record Access“ (PNR). Jedoch sei es wichtig zu wissen, dass laut Vereinbarung personenbezogene Daten nur für jeweils eine Reise in oder über die USA beziehungsweise von den USA zurück ins Ursprungsland abgefragt werden dürfen. „Der Begriff „Buchungshistorie“ bezieht sich nur auf den Verlauf einer Reise, inkludiert also mögliche Zwischenlandungen – aber keine früheren oder späteren USA-Reisen der Person“, betont Hoffmann. Drei Tage nach Abschluss des „Flugereignisses“, das auch den Rückflug inkludieren kann, müssten die Daten von den US-Behörden gelöscht werden.
Allerdings: Derzeit kann Lufthansa offenbar weder überprüfen, ob die US-Behörde wie vereinbart „nur“ auf Daten zugreift, die US-Flüge betreffen, noch, ob die Daten wieder gelöscht werden. An der technischen Lösung einer Protokollierung werde gearbeitet, sagte Hoffmann.
Begehrlichkeiten auch von Großbritannien, Kanada, Australien
Die Forderung der US-Zollbehörden nach Vollzugriff auf Flugreservierungssysteme ist offenbar erst der Beginn einer Welle von Begehrlichkeiten. Laut Insiderinformationen liegen beinah gleichlautende Forderungen nach Zugriff auf europäische Passagiersdaten auch seitens der Zollbehörden von Großbritannien, Kanada und Australien vor.
Vorgehen nach eigenem Ermessen
Zum Hintergrund: Die Erklärung der EU-Kommissarin Loyola de Palacio, dass ab 5. März 2003 alle Fluggesellschaften vor Flügen in die USA Passagierlisten an die US-Zollbehörde liefern müssten, war nur die halbe Wahrheit: Verlangt wird im Rahmen von „Passenger Name Record Access“ (PNR) keine aktive Übermittlung von Passagierlisten, sondern die Öffnung der Reservierungssysteme der Airlines für die US-Zollbehörde – und nach der „Third Agency Rule“ auch für andere US-Regierungsstellen!
Während Lufthansa der US-Zollbehörde per 5. März einen vollständigen Zugriff auf das Reservierungssystem Amadeus eingerichtet hat, tut die Austrian Airlines Group einstweilen nichts dergleichen: Laut AUA-Sprecher Johann Jurceka werden nur die reinen Passdaten der Passagiere vor Antritt des Flugs in die USA übermittelt – doch das geschieht bereits seit Jänner 2002 im Rahmen des sogenannten Advanced Passenger Information System (APIS). Derzeit würden keine Reservierungsdaten an die US-Behörden weiter gegeben und schon gar kein Zugriff auf das Reservierungssystem (ebenfalls Amadeus) gewährt, bestätigt auch Gerhard Aigner, der allerdings auch darauf hinweist, dass einstweilen kein Antrag der US-Behörde bei AUA vorliegt.
Air France übermittelt nach offizieller Darstellung „sämtliche persönlichen Daten, die der Kunde Air France bei Buchung des Fluges gegeben hat“ – unklar bleibt dabei, ob der US-Behörde Zugang zum Reservierungssystem gewährt wird.
Laut einer Stellungnahme des British Airways-Sprechers Tony Cane gewährt BA "keinen vollen Zugriff" auf die Daten der Passagiere - der US-Zoll habe lediglich Zugriff auf APIS, wo jedoch nur Passdaten und keine Daten über Bezahlungsmodalitäten oder Essenswünsche gespeichert werden.
Bei KLM liegt formal (ebenso wie bei AUA) noch kein Antrag der US-Behörden vor, daher werden derzeit weder Daten aus dem Reservierungssystem übermittelt noch ist der US-Behörde ein Zugriff möglich. Allerdings hat die USA bereits einen Antrag bei der KLM-Tochter Martinair gestellt, die ebenfalls das Reservierungssystem Corda benützt.
Sicher dürfte sein, dass die europäischen Fluggesellschaften keine Informationen über ihre Vielfliegerprogramme weitergeben – denn diese sind nicht in den Reservierungssystemen gespeichert, sondern ausgelagert.
Verstoß gegen die EU-Datenschutzdirektive
Nach US-Vorstellungen hätte die EU-Kommission die EU-Datenschutzdirektive, die die Weitergabe von personenbezogenen Daten ohne ausdrückliche Zustimmung der Betroffenen explizit verbietet, bis 5. März ändern beziehungsweise abschaffen sollen. „Dazu hat die EU-Kommission keinerlei Mandat, schon gar kein Recht“, stellt Dr. Hans G. Zeger fest, der Obmann der ARGE Daten – Österreichische Gesellschaft für Datenschutz. „Die US-Behörden haben schon versucht, die EU-Datenschutzdirektive auszuhebeln, bevor diese 1995 verabschiedet wurde – die Terrorbekämpfung ist nur der vorgeschobene Anlass. Die EU-Kommission hat einen schweren Fehler begangen“, so Zeger.
Laut Zeger lässt die EU-Datenschutzdirektive, die von Österreich seit 2000 national umgesetzt wird, die Weitergabe von personenbezogenen Daten nur unter ganz bestimmten Bedingungen zu, (zum Bespiel, wenn Firmen die Daten ihrer Mitarbeiter an Sozialversicherungen übermitteln) – in jeden Fall sei jedoch die Zustimmung der Betroffenen notwendig. Werden die Daten von Passagieren ohne deren Wissen und Zustimmung weitergegeben, verstieße dies nicht nur gegen die EU-Direktive, sondern in Deutschland, Österreich und vielen anderen Staaten gegen geltende nationale Datenschutzgesetze.
Lufthansa-Position
Auf Nachfrage von T.I.P. bestätigte Lufthansa-Sprecher Bernd Hoffmann, dass der US-Zollbehörde seit 5. März 2003 Zugriff auf das Reservierungssystem Amadeus gewährt wird – auf Empfehlung der EU-Kommission vom 18. Februar. Damit würde man nicht nur APIS entsprechen, sondern auch dem „Passenger Name Record Access“ (PNR). Jedoch sei es wichtig zu wissen, dass laut Vereinbarung personenbezogene Daten nur für jeweils eine Reise in oder über die USA beziehungsweise von den USA zurück ins Ursprungsland abgefragt werden dürfen. „Der Begriff „Buchungshistorie“ bezieht sich nur auf den Verlauf einer Reise, inkludiert also mögliche Zwischenlandungen – aber keine früheren oder späteren USA-Reisen der Person“, betont Hoffmann. Drei Tage nach Abschluss des „Flugereignisses“, das auch den Rückflug inkludieren kann, müssten die Daten von den US-Behörden gelöscht werden.
Allerdings: Derzeit kann Lufthansa offenbar weder überprüfen, ob die US-Behörde wie vereinbart „nur“ auf Daten zugreift, die US-Flüge betreffen, noch, ob die Daten wieder gelöscht werden. An der technischen Lösung einer Protokollierung werde gearbeitet, sagte Hoffmann.
Begehrlichkeiten auch von Großbritannien, Kanada, Australien
Die Forderung der US-Zollbehörden nach Vollzugriff auf Flugreservierungssysteme ist offenbar erst der Beginn einer Welle von Begehrlichkeiten. Laut Insiderinformationen liegen beinah gleichlautende Forderungen nach Zugriff auf europäische Passagiersdaten auch seitens der Zollbehörden von Großbritannien, Kanada und Australien vor.