Vor zwei Wochen hat die Europäische Kommission mit den USA ein neues Abkommen zur Nutzung von Passagierdaten ( Passenger Name Records , PNR) vereinbart. Im Mai war bereits ein erster Entwurf dieses Abkommens von der britischen Zeitung Guardian geleakt worden . Nun hat die Initiative NoPNR den fertig verhandelten Abkommenstext veröffentlicht , der demnächst vom EU-Ministerrat beschlossen werden soll.

Skeptisch sollte dabei allein schon machen, dass dieser Text bislang geheim war. Nicht einmal Abgeordnete des EU-Parlaments durften ihn ursprünglich sehen. Erst nachdem diese dagegen protestiert hatten, wurde ihnen Einblick gestattet: in einem gesonderten Raum, ohne die Erlaubnis, Notizen zu machen oder den Text gar mitzunehmen. Und das alles, obwohl sie – nach dem Ministerrat – noch über das Abkommen abstimmen müssen und obwohl es letztlich um private Daten von Millionen Europäern geht.

Die sollten sich angesichts des Abkommens um ihre Daten durchaus Sorgen machen. Denn der nun geleakte Text zeigt, dass es dabei mit dem Datenschutz noch immer nicht weit her ist. Auch die Hoffnung der Europäer, mit einem neuen Vertrag wenigstens Rechtssicherheit zu erreichen, trügt demnach.

Dabei hatte die zuständige EU-Kommissarin Cecilia Malmström gerade noch der Frankfurter Allgemeinen Zeitung gesagt : "Wir haben eine Einigung mit den Amerikanern erzielt, die eine große Verbesserung des bestehenden Abkommens darstellt." Denn, so heißt es in dem Text, die Speicherdauer werde künftig verringert.

Doch in dem von NoPNR veröffentlichten Dokument klingt das ganz anders. Wie zuvor werden demnach alle Daten 15 Jahre lang gespeichert. Und auch danach verschwindet keine einzige Information vollständig aus den amerikanischen Datenbanken. Die einzigen "Verbesserungen" hinsichtlich der Speicherdauer: Die Datensätze werden nach den ersten sechs Monaten "anonymisiert". Fünf Jahre lang kann diese Anonymisierung rückgängig gemacht werden, wenn das zum Zwecke von "Strafverfolgungsmaßnahmen und nur für einen konkreten Fall, eine konkrete Bedrohung oder ein konkretes Risiko" als notwendig erachtet wird.

Nach den ersten fünf Jahren sollen die Daten in eine "ruhende Datenbank" übertragen werden, auf die weniger Behördenmitarbeiter zugreifen können. Dort bleiben sie für weitere zehn Jahre. Geht es um Terrorismus und "damit verbundene Straftaten", können die Daten auch noch in diesem Zeitraum wieder hervorgeholt und verwendet werden. Um die Anonymisierung rückgängig zu machen, ist dabei weder ein richterlicher Beschluss notwendig, noch eine Zustimmung europäischer Behörden. Es genügt, wenn ein höherer Beamter der amerikanischen Heimatschutzbehörde dies anordnet. Nach dem Ablauf von zehn Jahren werden die Daten immer noch nicht gelöscht, sondern so anonymisiert, dass dies nicht mehr rückgängig gemacht werden kann.

Außerdem darf die amerikanische Heimatschutzbehörde die Daten an FBI oder CIA und auch an Drittländer weitergeben. Handelt es sich dabei "um einen Notfall", ist auch keine Garantie nötig, dass dieses Drittland sich an irgendeine Datenschutzvorschrift gebunden sieht.

Wer es für unproblematisch hält, dass die USA solche Informationen verarbeiten und nutzen, der sollte die Erfahrungsberichte von Betroffenen lesen. Seit vielen Jahren nutzen amerikanische Sicherheitsdienste Informationen über Flugpassagiere. Daten über die Ticket-Buchung, über Zahlungsmittel, Gepäck oder Reiseroute werden von ihnen automatisch für jeden Flug abgerufen, der die USA erreicht oder auch nur überfliegt. Aus ihnen werden Profile errechnet. Wer das Pech hat, dass seine Reisegewohnheiten denen von Drogenkurieren gleichen, der wird aussortiert und darf entweder gar nicht an Bord oder wird festgehalten und stundenlang befragt. Eine Begründung dafür liefern die Behörden nie.

Kein Vorbehalt der EU wurde berücksichtigt

So ergeht es beispielsweise Jacob Appelbaum. Der amerikanische Computeraktivist und Hacker wurde in der Vergangenheit insgesamt zwölf Mal bei Reisen festgehalten und weiß bis heute nicht, warum. Schon seit es das Verfahren gibt, berichten Reisende davon, ohne Begründung zum Teil tagelang verhört worden zu sein .

Mit dem neuen Abkommen sollten Europäer eigentlich die Chance bekommen, die Herausgabe von Daten und Informationen einklagen zu können. Der nun dazu enthaltene Paragraf kann jedoch ebenfalls als wirkungslos gelten. Einsicht verlangt werden kann nur nach dem amerikanischen Freedom of Information Act, dem Informationsfreiheitsgesetz. Die Auskunft kann dabei "angemessenen rechtlichen Beschränkungen unterworfen werden", wie es im Vertragstext heißt. Betrifft irgendein Datum die "nationale Sicherheit" oder "Strafverfolgungszwecke", erfährt der Betroffene nichts.

Der amerikanische Aktivist Edward Hasbrouck hat sich seine PNR-Akte erklagt . Er kritisiert nicht nur, was alles darin steht. Vor allem bemängelt er, dass die amerikanische Seite sehr wohl wisse, dass sie mit dem Verfahren europäische Datenschutzgesetzte verletze und sich das nun mit dem Abkommen legalisieren lassen wolle.

In dem neuen Text sei außerdem keines der fundamentalen Probleme gelöst worden, schreibt Hasbrouck in seinem Blog . Er berücksichtige auch keine der Forderungen, die das Europäische Parlament im Mai in einer Resolution erhoben hatte .

Darin steht unter anderem, die Verwendung der Daten müsse "den europäischen Datenschutznormen entsprechen", vor allem im Sinne einer Beschränkung des Verwendungszwecks und der Speicherdauer. Solche Daten dürften außerdem "keinesfalls" genutzt werden, um Profile zu erstellen und dürften nicht allein Basis sein, um Flugverbote zu erteilen oder Ermittlungsverfahren einzuleiten. Genau das aber ist die Absicht der Amerikaner.

Das alles ist umso absurder, da gleichzeitig Viviane Reding, die EU-Justizkommissarin und Vizepräsidentin der EU-Kommission, in Interviews predigt , es sei ihr ein ernstes Anliegen, "dass die Bürger die Kontrolle über ihre eigenen Daten zurückerlangen".

Das österreichische IT-Portal Futurezone schreibt denn auch , die EU-Kommission habe sich bei den Verhandlungen "über den Tisch ziehen lassen". Und der Datenschutzaktivist und Journalist Erich Moechel nennt das ganze Abkommen "Kosmetik" .

Als nächstes ist nun also der Ministerrat dran. Dort haben mehrere Länder, darunter Deutschland, zumindest sogenannte Prüfungsvorbehalte angemeldet. Anschließend muss das EU-Parlament darüber abstimmen.