Das EU-Parlament hat am Donnerstag der umstrittenen Fluggastdatenspeicherung (Passenger Name Record, PNR) zugestimmt. Aus Österreich haben die Regelung einzig die EU-Abgeordneten der ÖVP unterstützt. Die Richtlinie sieht vor, dass alle Daten, die man bei der Buchung eines Fluges aus der und in die EU angibt, automatisch von den Fluglinien und Reisebuchungssystemanbietern an staatliche Stellen weitergeleitet werden. Dort werden sie zunächst für sechs Monate gespeichert, danach unter Pseudonym bis zu fünf weitere Jahre. Dabei handelt es sich unter anderem um Name, Adresse und Kreditkartennummer – aber auch die Menüauswahl an Bord und Angaben über Mitreisende können inkludiert sein.

Freiwillige Überwachung

Bei außereuropäischen Flügen ist die Speicherung verpflichtend, innereuropäische sollen die Mitgliedsländer auf "freiwilliger Basis" überwachen. Befürworter sprechen von einem wichtigen Mittel im Kampf gegen Terrorismus, Kritiker befürchten einen massiven Eingriff in die Privatsphäre unbescholtener Bürger. Aktivisten äußern die Sorge, dass die Datenspeicherung später auf Zug- und Busreisen ausgedehnt werden könnte. Zusammen mit einer Überwachung von Autofahrern durch die elektronische Sim-Karte, die ab 2017 bei Neuwagen Pflicht ist, könnte dann theoretisch jede Reisebewegung erfasst werden.

Bereits im Jahr 2013 wurde die EU-Richtlinie diskutiert und vom Komitee für bürgerliche Freiheiten, Justiz und Inneres im EU-Parlament unter anderem wegen Datenschutzbedenken abgelehnt. Nach den Anschlägen in Paris im vergangenen Jahr sowie zuletzt den Anschlägen in Brüssel änderten sich die Lage und das Abstimmungsverhalten der Abgeordneten jedoch. Nach der Zustimmung des Parlaments muss nun noch der Rat die Richtlinie absegnen, was in Kürze geschehen dürfte. Die EU-Staaten haben anschließend zwei Jahre Zeit, um die Vorschriften in nationales Recht umzusetzen.

Regelung mit Kanada vor Gericht

Bereits vergangene Woche war die Fluggastdatenspeicherung mit Kanada, das als Vorbild für die neue EU-weite Regelung gilt, vor dem Europäischen Gerichtshof (EuGH) gelandet. Richter Thomas von Danwitz äußerte bei der Befragung von Vertretern der Kommission und von Mitgliedsstaaten heftige Zweifel. "Selbst die integerste Person – wie der Präsident des Gerichtshofs – muss sich diese Speicherung gefallen lassen. Kann das mit den EU-Grundrechten vereinbar sein?", fragte von Danwitz.

Insgesamt standen diese Woche fast alle heiklen datenschutzpolitischen Gesetze der aktuellen Legislaturperiode auf der Agenda europäischer Institutionen. Auch über die Datenschutzreform und eine Verschärfung der sogenannten Whistleblower-Richtlinie wurde abgestimmt. Die drei Themen hängen durchaus miteinander zusammen. So hatte einige sozialdemokratische EU-Abgeordnete darauf bestanden, die Fluggastdatenspeicherung nur zusammen mit der Datenschutzreform abzustimmen. Damit sollte eine Einschränkung der Bürgerrechte durch Überwachungsmethoden durch mehr Datenschutz bei kommerziellen Anwendungen gedämpft werden.

Konzerne warnen vor Bürokratisierung

Die Datenschutzreform bietet Nutzern einige Verbesserungen. So wird das sogenannte Recht auf Vergessen gesetzlich fixiert, außerdem sollen Daten leichter von einem Portal zum anderen transferiert werden können. Daten sollen nur zu "angemessenen, relevanten und auf das Nötigste begrenzten Zwecken" verarbeitet werden.

Konzerne klagten bei der Einigung im Dezember über hohe Hürden und bürokratischen Aufwand. US-Präsident Barack Obama unterstellte im Herbst sogar, die EU-Pläne zielten auf eine Schwächung von US-Diensten wie Facebook und Google ab. Laut dem Berichterstatter Jan Albrecht (Grüne) hat die nahezu einstimmige Annahme der Vorschläge in den Ausschüssen gezeigt, dass die Verhandler die "richtige Balance" getroffen hätten.

Whistleblowern wird Leben schwergemacht

Freuen dürften sich Unternehmen allerdings über eine radikale Verschärfung der sogenannten Whistleblower-Richtlinie. Firmen dürfen künftig selbst bestimmen, was für sie als Geschäftsgeheimnis gilt. Whistleblower, die Missstände aufdecken, müssen dann beweisen, dass sie eine Straftat aufgedeckt und im Schutz des öffentlichen Interesses gehandelt haben. Teilweise wäre das etwa bei den aktuell diskutierten Panama-Papers oder den Luxleaks über Steuervorteile in Luxemburg schwierig, sagt die EU-Abgeordnete Julia Reda im Gespräch mit dem STANDARD. Der Deutsche Gewerkschaftsbund hat ebenso wie zahlreiche Medien gegen die Richtlinie protestiert. Die Sozialdemokratische Fraktion im EU-Parlament hat also für ein Gesetz gestimmt, das Gewerkschaften europaweit scharf kritisieren.

Zuvor hatten die Grünen versucht, eine Abstimmung des Gesetzes zu verschieben. Sie würden erst zustimmen, wenn durch eine andere Regelung Whistleblowern mehr Schutz zugestanden würde.

Staaten könnten EuGH-Urteil missachten

Am Mittwoch stand mit der Vorratsdatenspeicherung (VDS) der nächste heikle Punkt auf der Agenda des EuGH. Der Gerichtshof hatte die Speicherlinie vor mehr als einem Jahr gekippt, woraufhin manche Mitgliedsstaaten neue Gesetze erließen. Schweden und Großbritannien wollen nun erfahren, ob ihre Gesetze mit der EU-Grundrechtecharta vereinbar sind.

Die Richter zeigten sich ebenfalls skeptisch. Fraglich ist, ob die Mitgliedsländer einem Spruch aus Luxemburg diesmal Folge leisten würden. Vertreter Frankreichs und Irlands argumentierten etwa, dass die EU und der EuGH für die Vorratsdatenspeicherung nicht zuständig seien, da dieses Thema eine Frage der nationalen Sicherheit darstelle. Urteile zu PNR und VDS werden in den kommenden Wochen erwartet.

Datenbeauftragte kritisieren Privacy Shield

Skeptisch zeigten sich auch die Datenschutzbeauftragten der Mitgliedsländer, die als Artikel-29-Gruppe mit den Nachwehen eines EuGH-Urteils zu tun hatten: dem sogenannten Privacy Shield. Er soll die Safe Harbor-Regelung zum kommerziellen Datentransfer Richtung USA ersetzen, die vom EuGH etwa wegen der NSA-Spionage gekippt worden war.

Auslöser der Klage war der österreichische Datenschützer Max Schrems. Er bezeichnet das skeptische Statement der Artikel-29-Gruppe als "sehr stark". Da sich die Vertreter der einzelnen Behörden auf ein gemeinsames Statement einigen müssten und dieses so kritisch ausgefallen sei, könne man sich vorstellen, wie stark manche Behörden gegen den Privacy Shield seien, so Schrems. (Fabian Schmid, 13.4.2016)