computerwoche.de

Security

Oberster Datenschützer kritisiert Vereinbarungen zu Flugpassagierdaten und Swift

02.07.2007
Der Bundesdatenschutzbeauftragte Peter Schaar erklärt die neuen Abmachungen zwischen der Europäischen Union und den USA zur Übermittlung von Passagierdaten bei Transatlantikflügen und von Daten zu Finanztransaktionen (Swift) für unzureichend.

Gemessen an den Vorgaben des europäischen Datenschutzrechts seien die jüngsten Vereinbarungen unzureichend, kritisierte der Bundesbeauftragte für Datenschutz und Informationsfreiheit Peter Schaar am Freitag in Bonn. Die Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten werde die Abkommen daher eingehend analysieren.

Dem obersten Datenschützer zufolge bleibt die neue Regelung zur Übermittlung von Flugpassagierdaten an die US-Behörden in vieler Hinsicht sogar hinter den bisherigen Vorgaben zurück. "Das neue Abkommen reduziert die übermittelten Daten nur unwesentlich. Die Absenkung von 34 auf 19 Datenfelder kommt dadurch zu Stande, dass verschiedene Datenelemente – etwa Identifikationsdaten – zusammengeführt werden, ohne dass sich an dem Datenumfang etwas ändert", moniert Schaar. Als besonders kritisch erachtet er, dass auch die Übermittlung sensibler Daten - wie Essenswünsche von Fluggästen - weiterhin vorgesehen ist. Die US-Behörden verpflichteten sich lediglich, diese Daten auszufiltern und (im Regelfall) nicht zu verwenden.

Weitere heikle Punkte sind dem Datenschützer zufolge die Verdoppelung der Regelspeicherungsdauer mit einem jederzeitigen Online-Zugriff von 3,5 auf sieben Jahre sowie die Möglichkeit, im Einzelfall weitere acht Jahre auf Daten zugreifen zu können.

Nach den aktuellen Vereinbarungen haben die US-Behörden weiterhin Zugriff auf die bei der Society for Worldwide Interbank Financial Telecommunication (Swift) gespeicherten Daten zum internationalen Zahlungsverkehr (siehe Datenschützer kritisieren Sammelwut der US-Behörden). Die Zusicherung der USA, diese Informationen unter Berücksichtigung der europäischen Datenschutzrichtlinien ausschließlich zur Terrorbekämpfung zu nutzen, bewertet Schaar positiv. Immerhin bedeute dies, dass das Zugriffsverfahren festgeschrieben und einer Kontrolle unterworfen werden solle. Das wesentliche Problem sei damit allerdings nicht gelöst: "US-Behörden werden weiterhin auch auf Daten zugreifen können, die bei Zahlungsvorgängen ohne US-Bezug entstanden sind, etwa bei einer Überweisung von Deutschland nach Österreich." Swift bleibe demnach aufgefordert, durch Änderung seiner IT-Infrastruktur zu gewährleisten, dass Zugriffe von Drittstaaten auf Daten des innereuropäischen Zahlungsverkehrs künftig ausgeschlossen seien.

Auch im Detail behebe die neue Swift-Regelung keine wesentlichen Defizite, kritisiert der Bundesdatenschützer. So sei etwa die Speicherung einer Vielzahl vorgefilterter Daten – darunter zahlreiche Einzelangaben ohne jeden Bezug zum internationalen Terrorismus – für einen Zeitraum von fünf Jahren unverhältnismäßig. Darüber hinaus hält Schaar die Modalitäten bei der Weiterverwendung der Daten durch US-Behörden für zu weit gefasst. (kf)