Read the English version of this article here. You can use all photos in an editorial context.

Die PNR-Richtlinie, die die Verarbeitung von Fluggastdaten regelt, verletzt das Grundrecht auf Achtung der Privatsphäre und das Grundrecht auf Datenschutz, weil die massenhafte Verarbeitung von Daten Unschuldiger ganz grundsätzlich unverhältnismäßig ist.

Wieder einmal liegt es an der Zivilgesellschaft, die Grundrechte zu verteidigen. Wir tun dies, indem wir die PNR-Richtlinie vor den Europäischen Gerichtshof bringen wollen.

Nach der PNR-Richtlinie, die 2016 beschlossen wurde, müssen alle europäischen Mitgliedstaaten Fluglinien verpflichten, Fluggastdaten, oder sogenannte Passenger Name Records (daher die Abkürzung PNR) an eine zentrale Stelle weiterzuleiten. In Österreich ist dafür die Fluggastdatenzentralstelle im Bundeskriminalamt eingerichtet worden. Diese Daten sind sehr umfangreich: Neben Strecke und Zeit eines Fluges, werden auch Daten über Begleitpersonen, Gepäck, Sitzplatzreservierung, Essensauswahl, Zahlungsdaten und IP-Adresse gespeichtert, und viele mehr. Man kann auch “allgemeine Hinweise” speichern, was dazu führt, dass die Kategorien überhaupt keine Begrenzung darstellen. Hier ist ein Beispiel eines Datensatzes, wie es unsere Juristin Angelika Adensamer in ihrer Auskunft erhalten hat.

Es werden zwingend Daten über alle Personen verarbeitet, die in und aus der EU fliegen. In der Richtlinie gibt es außerdem eine Option für die Mitgliedstaaten, dies auch auf innereuropäische Flüge auszuweiten. 20 Mitgliedstaaten haben diese Möglichkeit genutzt, auch Österreich. Sobald du also aus oder nach Österreich fliegst, werden Daten auch von dir verarbeitet. Die Regierung hat diese EU-Richtlinie somit übererfüllt (Gold Plating). 

Die Daten werden zwei Mal an die Fluggastdatenzentralstelle weitergeleitet, einmal vor dem Abflug und einmal nach der Ankunft. Sie werden sechs Monate mit dem Klarnamen gespeichert und verarbeitet. Dann werden sie depersonalisiert und insgesamt fünf Jahre gespeichert und verarbeitet. Die Depersonalisierung ist aber keine Anonymisierung sondern eine Pseudonymisierung, das heißt, der Personenbezug ist wieder herstellbar. 

Um den Zweck der Richtlinie, die Verfolgung und Vorbeugung bestimmter schwerer Straftaten zu erfüllen, werden diese Daten nach bestimmten “Kriterien” analysiert, das heißt, sie werden durch Algorithmen gescannt. Sie können außerdem mit anderen polizeilichen Datenbanken abgeglichen werden. Im Wesentlichen entspricht das einer Rasterfahndung.

INTRANSPARENZ UND DISKRIMINIERUNG

Diese Kriterien sind für die Betroffenen nicht nachprüfbar. Sie können auf kriminologischen Erfahrungswerten basieren, müssen es aber nicht. Sie können auch aus dem großen Datenset heraus entwickelt werden, potentiell aus Korrelationen, die irreführend und zufällig sind. Diese Intransparenz birgt auch die Gefahr, dass Diskriminierung durch das System nicht als solche erkannt werden kann und so verschleiert wird.

Das für unser Rechtssystem komplett Neue an dieser Maßnahme ist, dass es hier zu kriminalpolizeilichen Ermittlungen kommt, bevor es auch nur einen Anfangsverdacht auf eine begangene oder geplante Straftat gibt. Es werden unterschiedslos alle Daten von Passagieren zum Zweck der Strafverfolgung und -verhütung verarbeitet. Das wäre nach der österreichischen Strafprozessordnung nicht möglich. Man nimmt dabei in Kauf, dass die allermeisten, die von diesen polizeilichen Ermittlungen betroffen sind, absolut nichts mit Straftaten zu tun haben.

Man nimmt auch in Kauf, dass man Verdächtige findet, ohne, dass es überhaupt eine Straftat gibt, basierend auf reinen Wahrscheinlichkeiten und Korrelationen. Das ist eine Methode, die man auch “Predictive Policing” nennt. Es ist eine Rasterfahndung auf Vorrat, also ohne Anlass. Dies geht um einiges weiter als die Vorratsdatenspeicherung, die selbst schon grundrechtswidrig ist.

UNVEREINBAR MIT UNSEREM RECHTSSTAAT

Dass ein Ermittlungsverfahren bis jetzt erst beginnen konnte, wenn es einen konkreten Anfangsverdacht auf eine begangene oder geplante Straftat gibt, ist in § 1 der Strafprozessordnung geregelt. In den parlamentarischen Erläuterung zur StPO Reform 2004, die Voraussetzung, dass es erst einen Anfangsverdacht geben muss, bevor ermittelt wird sind “Personen davor zu schützen, ohne gegebenen Anlass zum Objekt von Ermittlungen zu werden”. Das PNR-Gesetz widerspricht diesen Grundsätzen diametral. Daher ist diese Art der Fluggastdatenverarbeitung unvereinbar mit unserem Rechtsstaat und unseren Grund- und Freiheitsrechten. 

Es ist kein Zufall, dass diese Entwicklungen jetzt passieren. Es gibt immer mehr Daten über Menschen und ihr Verhalten und immer neue, schneller Analysemethoden. Algorithmen, die zur Analyse verwendet werden, beginnen, bedeutende Entscheidungen über Menschenleben zu treffen. Im Fall der PNR-Richtlinie darüber, ob weitere Ermittlungsschritte gesetzt werden, vielleicht darüber, ob man auf eine “Gefährder” oder ”No-fly Liste” kommt, ob man am Flughafen zur Seite genommen und stundenlang befragt wird. 

DEM ALGORITHMUS AUSGELIEFERT

Das System der Fluggastdatenverarbeitung stellt uns vor ganz grundsätzliche gesellschaftliche Fragen, die Entscheidung über die PNR-Richtlinie ist ein gesellschaftlicher Scheideweg. Wir müssen uns fragen: Wer trägt die Verantwortung für die Entscheidungen von Algorithmen? Wie können Betroffene, wie kann die Öffentlichkeit sich von der Gerechtigkeit der Algorithmen überzeugen? Wie kann ich mich als Betroffene Person gegenEntscheidungen von Algorithmen wehren? In der PNR-RL und im PNR-G sind diese Kontroll- und Rechtmittel unzureichend ausgestattet.

In der PNR-Richtlinie, wie auch in der EU-Datenschutzrichtlinie, die polizeiliche Datenverarbeitung regelt, ist vorgesehen, dass jede automatische Entscheidung zum Nachteil von Menschen, also in diesem Fall, ein Treffer von einem Menschen überprüft werden muss. In Deutschland sind 40 Beamtinnen und Beamten rund um die Uhr im Schichtdienst nur damit beschäftigt, diese Überprüfungen vorzunehmen. Diese Regelung ist wichtig, weil nur Menschen Verantwortung für Entscheidungen übernehmen. Computer können keine Verantwortung tragen. Wie wollen aber diese Entscheider, die algorithmische Treffer überprüfen, Verantwortung tragen, wenn nicht transparent und klar ist, was der Algorithmus tut? Es ist unmöglich. Diese Transparenz muss also gewährleistet sein, um dieser Regelung eine Bedeutung zu geben.

Der US-amerikanischen Professor für Recht Daniel J. Solove schreibt, dass die Dystopie, vor der wir uns schützen müssen, nicht so sehr der von George Orwells “1984” gleicht, wo Big Brother über alles wacht und alles beobachtet, sondern mehr Kafkas “Prozess”, in dem es um das Ausgliefertsein vor einem System geht, dass man nicht durchschaut, das Entscheidungen über einen trifft, die man nicht hinterfragen und verstehen kann, gegen die es keine Handhabe gibt, da man nicht weiß auf welcher Basis, aud welchem Grund sie getroffen wurden. Das soll nicht unsere Zukunft werden.

JEDER KANN MITMACHEN

In Österreich wurde die PNR-Richtlinie durch das PNR-G umgesetzt, das seit 17.8.2018 in Kraft ist. Anfang März 2019 hat die Fluggastdatenzentralstelle berichtet, dass sie die Arbeit aufgenommen haben. Die Systeme sind sehr aufwendig in der Implementierung, im März wurde berichtet, dass nur die Austrian Airlines Daten übermitteln, was aber 50 % des Flugverkehrs aus und nach Österreich darstellt. Die Fluggastdatenzentralstelle rechnet mit 54 Millionen Datensätzen pro Jahr. 

Nicht nur die Richtlinie hat gravierende grundrechtliche und rechtsstaatliche Mängel, auch die österreichische Umsetzung, also das PNR-Gesetz, ist für sich grundrechtswidrig. Dies betrifft: den Straftatenkatalog, das Auskunftsrecht und den Schutz vor automatisierten Entscheidungen, Rechtsschutz und Kontrolle. Wir haben auch schon bei der Einführung des Gesetzes eine Stellungnahme abgegeben, die hier nachzulesen ist.

Unser Verfahren beginnt mit Auskunftsbegehren an die Fluggastdatenzentralstelle. Das Formular ist auf der Seite nopnr.eu online und steht allen Interessierten zur Verfügung. Wir haben bisher um die zehn Auskunftsbegehren gestellt. In zwei Fällen haben wir unvollständige Auskünfte bekommen und wir haben in diesen Fällen Beschwerden erhoben.

Die eigentliche strategische Beschwerde richtet sich an die Datenschutzbehörde. Wir gehen davon aus, dass diese die Datenverarbeitung bestätigen wird, weil sie den einfachen Gesetzen gemäß erfolgt. Wir werden dagegen Beschwerde beim Bundesverwaltungsgericht erheben und erwarten, dass dieses die EU-rechtlichen Fragen dem EuGH vorlegt. 

2017 hat der EuGH ein Abkommen über den Austausch von Fluggastdaten zwischen der EU und Kanada für grundrechtswidrig erklärt, konkret stellte es eine Verletzung von Art 7 Grundrechtecharta, dem Recht auf Achtung der Privatsphäre und Art 8 Grundrechtecharta, dem Recht auf Datenschutz dar. Obwohl fast alle seine Argumente auch auf die PNR-RL zutreffen, wurde sie umgesetzt. Das die sehenden Augens passieren kann, führt dazu, dass wieder einmal die Zivilgesellschaft es in die Hand nehmen muss, unsere Grundrechte durchzusetzen. 

Unsere deutsche Partnerorganisation Gesellschaft für Freiheitsrechte geht sowohl einen privatrechtlichen als auch einen verwaltungsrechtlichen Rechtsweg. Du kannst dich auf der Seite nopnr.eu wieter darüber informieren.