Farbmarkierungen

Die schlechten ins Kröpfchen

Wer in die USA fliegt, landet auf unabsehbare Zeit in den riesigen Fahndungs-Computern, die das Land jetzt zur Terror-Bekämpfung einsetzt. Was mit seinen persönlichen Daten dort geschieht, erfährt er nicht: Schließlich handelt es sich um die "nationale Sicherheit".
Die EU hat dem seit März 2003 praktizierten Verfahren stillschweigend und grundsätzlich zugestimmt.

Von Tim Frohschütz

Die Regierung von George W. Bush macht das ehemalige "Land der Freien" zu einen Überwachungsstaat, der manchen bereits an eine Diktatur erinnert. Zum Beispiel auch Jonathan Todd, den Sprecher der Europäischen Kommission: "Ähnlich war es woanders vor nicht allzulanger Zeit. Wenn man in die Sowjetunion reiste, war klar, dass einen dort Geheimdienste ständig begleiten und überwachen würden. Und wenn man das nicht mochte, dann fuhr man ja auch nicht in die UdSSR."

Todd übertreibt natürlich, so schlimm ist es nicht. Noch nicht.
Was allerdings jetzt schon funktioniert, ist dies: Von jedem Reisenden, der in die USA fliegt, erhält das neugeschaffene US-Ministerium für Heimatschutz (Department of Homeland Security, DHS) die bei der Buchung anfallenden PNR-Daten (Passenger Name Record), theoretisch 60 Angaben pro Person. Was das DHS damit macht, wie lange es sie speichert, welchen Behörden es sie weitergibt, was diese dann damit machen, all das kann der Betroffene, weil es dort ja um Terrorbekämpfung und die "nationale Sicherheit" geht, weder überprüfen, noch gar seine Daten löschen lassen.
Diesen offenen Rechtsbruch, einen Verstoß gegen europäische Datenschutz-Gesetze, hat die Europäische Kommission Ende Februar mit der US-Regierung vereinbart.

Auf dem Wunschzettel von George W. Bush stand solche Datenbeschaffung schon kurz nach dem 11. September. So muss man die europäischen Fluglinien für erstaunlich standfest halten, denn anderthalb Jahre lang widerstanden sie diesem Ansinnen der US-Regierung. Aber Ende Februar 2003, als das Drängen der USA offenbar unwiderstehlich wurde, traf die EU-Kommission eine Vereinbarung mit der US-Zollbehörde (Customs and Border Protection, CBP, zum DHS gehörig). Nach dieser Vereinbarung hat die CBP ungehinderten Zugang zu allen Passagier-Daten in den Reservierungssystemen der Fluglinien. Ausdrücklich und mehrfach ist die Rede von "access" bzw. "electronic access"; CBP "accesses directly" alle Daten, verspricht jedoch, nur die Daten derjenigen Passagiere zu prüfen ("view"), die Flughäfen in den USA berühren.
Zweifel, ob dieses beim notorischen Datenhunger der US-Behörden wenig honette Versprechen eingehalten wird, sind geboten.
Rechnen wir einmal nach.
Aus der EU flogen im Jahr 2002 mit den Linien Air France, British Airways, Iberia und Lufthansa 14,169 Millionen Passagiere nach Nordamerika (das sind fast alle Passagiere, die mit europäischen Carriers nach Nordamerika fliegen; andere europäische Fluglinien fallen demgegenüber kaum ins Gewicht). 90 Prozent von ihnen flogen in die USA, d.h. im Monat durchschnittlich etwas mehr als eine Million Passagiere. Die vier genannten Fluglinien wickeln ihre Flugbuchungen über das Reservierungssystem Amadeus ab. Mit andern Worten: Über Amadeus fliegen während eines Monats demnach gut eine Million Passagiere aus der EU in die USA, in drei Wochen also etwa 750.000.
Die CBP jedoch hat - nach Auskunft von Amadeus selbst - im vergangenen Frühjahr während drei Wochen 1,5 Millionen mal auf Amadeus zugegriffen. Nun muss man wissen, dass ein Zugriff auf ein solches Reservierungsystem nur über einen sogenannten Filekey möglich ist und unter einem Filekey im Schnitt zwei Passagiere abgespeichert sind (ein Einzelreisender, ein Paar, eine Familie, eine Reisegruppe erhalten immer nur je einen Filekey). Mit den 1,5 Millionen CBP-Zugriffen sind also etwa drei Millionen Passagiere erfasst worden.
Es sind aber in diesem Zeitraum insgesamt nur etwa 750.000 Passagiere aus der EU in die USA geflogen. Wozu braucht die CBP viermal so viele Passagierdaten? Welche anderen Passagiere, weit über zwei Millionen Menschen, hat sich die CBP aus Amadeus allein in jenen drei Wochen herausgeholt?
Und vor allem: Was macht die CBP mit diesen Millionen und den künftigen Millionen Daten?
Sie wertet sie aus, hebt sie auf und gibt sie weiter.

Während diese Zugriffe und Weitergaben bereits im vollem Gang sind (seit dem 5. März 2003), verhandeln die EU und die amerikanischen Behörden weiter über das Procedere - als wäre der Datentransfer noch im Entwurfsstadium. In diesen Gesprächen haben die CBP und die mit ihr zusammenarbeitende Transportation Security Administration (TSA) im Mai 2003 folgende Regeln festgelegt (sogenannte "Undertakings"):
- Zweck der Datenerfassung
Abschnitt 5 der Undertakings bestimmt, dass die Daten bei der CBP "ausschließlich zur Verhinderung und Bekämpfung von Terrorismus und schweren Verbrechen" erfasst werden, um damit "Personen [zu identifizieren], die eine terroristische Handlung begangen haben oder potenziell begehen können"; die TSA benützt die Daten, um "bekannte und bis dahin unbekannte Personen mit terroristischen Verbindungen" herauszufinden.
- Dauer der Datenspeicherung (Abschnitt 13)
Bei der CBP werden die Daten bis sieben Tage nach dem Flug online verfügbar gehalten, danach wird ihre Speicherung auf einen Zeitraum von sieben Jahren "begrenzt"; weitere acht Jahre werden die Daten sodann als "gelöschte Datei" konserviert. Nach diesen 15 Jahren werden nur diejenigen Datensätze gelöscht, die nicht im Zuge einer Strafverfolgung weiterverwendet werden. Die TSA speichert die Daten sieben Jahre lang; was danach mit ihnen geschieht, wird nicht erwähnt. Zum vermutlichen Grund s.u. zu CAPPS II.
- Weitergabe der Daten (Abschnitt 27)
CBP und TSA gelten nach der Erfassung der Daten als deren "Eigentümer" in den USA; beide Behörden können sie "nach eigenem Ermessen" (wenn auch nur fallweise) weitergeben an alle anderen Stellen in den USA, die für "Terror-Bekämpfung oder Strafverfolgung" zuständig sind. Die Verwendung der Daten ist weiterhin erlaubt "in allen Strafverfahren oder falls gesetzlich erfordert".

Nachdem also bereits Dutzende Millionen Passagierdaten rechtswidrig abgerufen waren und abgerufen wurden, stand das Thema wieder auf der Tagesordnung eines EU-US-Treffens (in Brüssel, am 24. und 25. Juni 2003). Die EU-Arbeitsgruppe Datenschutz legte dazu ein elfseitiges Papier vor (Opinion 4/2003), das die Bedenken der EU auflistet. Der Katalog liest sich wie eine Selbstanklage: Während sich die US-Behörden längst die Daten unkontrolliert aus den Reservierungssystemen holen, wird von EU-Seite höflich darüber diskutiert, dass und wie diese Daten doch bitte gegen Missbrauch geschützt werden mögen.
Die Vorhaltungen der EU gegen CBP und TSA stellen zum Beispiel fest,
- dass der seit März praktizierte Datentransfer europäisches Recht verletzt ("Die berechtigten Erfordernisse der inneren Sicherheit der USA" sollten nicht mit den "grundlegenden Prinzipien" der Europäischen Menschenrechtskonvention und der Grundrechte-Charta der EU kollidieren);
- dass die Undertakings ein zu unspezifisches Mandat schaffen "für die Verwendung und die Weitergabe der Daten 'soweit sonst gesetzlich erfordert') ... insbesondere im Hinblick auf CAPPS II und die Erfassung biometrischer Daten";
- dass der ungefilterte Datenzugriff der USA zu beenden sei: "Das 'push-System" [bei dem Daten vom Reservierungssystem in die USA geschickt werden] würde eine Reihe von Maßnahmen überflüssig machen, "die sonst notwendig würden, wenn ein pull-System eingerichtet würde [bei dem die Daten durch die USA abgerufen werden] ... Diese [push-]Lösung sollte daher anstelle des gegenwärtigen Verfahrens so bald wie möglich eingesetzt werden;"
- dass die vollständige Weitergabe sämtlicher Daten einer Flugbuchung "weit über das hinausgeht, was als angemessen, relevant und nicht-exzessiv bezeichnet werden könnte"; dass zu bezweifeln sei, ob "eine exzessiv lange Dauer der Datenspeicherung bezüglich von Millionen Menschen für Ermittlungszwecke noch effektiv ist". Die Daten sollten deshalb höchstens einige Wochen oder Monate gespeichert werden: "Ein Zeitraum von 7-8 Jahren kann nicht als gerechtfertigt angesehen werden."

Man fragt sich, was bei der EU die Hoffnung nährt, eine Diskussion all dieser Punkte könnte die US-Regierung zu einem Einschwenken auf europäische Datenschutz-Prinzipien bewegen oder gar dazu, eine schon seit Monaten durchgeführte Praxis abzustellen - eine Praxis, die den europäischen Fluglinien wenn nicht alla mafiosa, so zumindest mit einer klaren Nötigung abgetrotzt wurde: mit dem angedrohten Entzug der US-Landerechte.
Warum sich die EU zu einer Verletzung ihrer eigenen Gesetze nötigen ließ, der politische Grund also, liegt nicht klar auf der Hand. War es die Gefährdung von Arbeitsplätzen, falls die EU reziprok gehandelt, den Spieß äußerstenfalls umgedreht und den USA die Landerechte verweigert hätte? Oder war es das sehnsüchtige Verlangen, von den USA wieder als Freund geschätzt zu werden, so dass man nicht schon wieder einen transatlantischen Streit vom Zaun brechen wollte?
Fest steht jedenfalls, dass hier Macht vor Recht erging - und die EU reichte den Amerikanern dazu die Hand.

In den wenigen deutschen Zeitungsberichten, in denen von diesem Daten-Fluss die Rede war, wurden immer die "sensiblen" PNR-Daten hervorgehoben. Dazu gehören die Kreditkartennummer, aber insbesondere manche Sonderwünsche wie ein bestimmtes Essen ("MOML" für "Moslem Meal" oder "KSML" für koscheres Essen), die einen Rückschluss auf die Religionszugehörigkeit des Passagiers ermöglichen. Ganz besonders sensibel sind natürlich alle Einträge in sogenannte "offene Felder", Einträge, die sich auch auf das ungebührliche Benehmen während eines Fluges beziehen können. Mit Daten wie diesen, heißt es dann, könnten die US-Behörden extrem leicht Missbrauch betreiben. (In den "undertakings" haben CBP und TSA versprochen, von Daten dieser Art keinen Gebrauch zu machen.)
Die wirkliche Gefahr aber liegt ganz woanders:

Bis Ende Juni 2003 wurde mit den amerikanischen Passagieren der Delta Airlines auf drei Flughäfen in den USA ein Experiment angestellt, von dem sie keine Ahnung hatten. Ihre Daten, dazu Adresse, Telefonnummer und Geburtsdatum, wurden während der Buchung über Computer mit ihren früheren Flügen, ihrem Kredit-Status (einer Art Schufa-Auskunft), dem Stand ihres Bankkontos und ihrem Strafregister abgeglichen. Das Ergebnis wurde dem TSA-Computer zugeleitet. Von ihm bekam jeder Passagier eine Farbe zugeteilt, die verschlüsselt auch auf dem Flugticket vermerkt wurde: Grün bedeutete, das er unbedenklich war; Gelb, das er sich vor dem Einsteigen zusätzlichen Überprüfungen stellen musste; und Rot, dass er nicht fliegen durfte. Der ganze Vorgang dauerte nur fünf Sekunden. Der Gelb-Status sollte an alle Strafverfolgungsbehörden (lokale, staatliche und FBI) weitergegeben werden. Der Name dieser Sortierung per Computer lautete Computer Assisted Passenger Pre-Screening (CAPPS, im Unterschied zu einem älteren - längst praktizierten - Programm gleichen Namens CAPPS II genannt).
Im März dieses Jahres ging so viel Datenhunger sogar dem Senat in Washington zu weit; er verlangte von der TSA bis Juni einen Bericht an den Kongress vor allem darüber, was mit den gesammelten Daten geschieht und wie der Schutz dieser Daten gewährleistet sein soll. Nachdem der Bericht Anfang Juli noch immer nicht vorlag, legte der Senat die Geldmittel für weitere Tests auf Eis.
Die TSA ihrerseits hat schon bei früherer Kritik deutlich gemacht, dass sie nicht gewillt ist, CAPPS II aufzugeben. Im Gegenteil: Brian Turmail, ein TSA-Sprecher, ließ Mitte Juni keinen Zweifel daran, dass der Zeitplan für die Einführung von CAPPS II (Sommer 2004) eingehalten wird. Wie ernst es die er Regierung damit meint, hat der Präsident in seiner Pressekonferenz Ende Juli noch einmal detailliert offengelegt ("Was wir tun können, ist ... sicherstellen, dass alle, die in ein Flugzeug steigen, ordentlich durchleuchtet werden [screened]. Und selbstverständlich reden wir mit ausländischen Regierungen und Fluglinien, um sie auf die tatsächliche Bedrohung hinzuweisen. Uns ist bewusst, dass Leute fliegen - das Beschaffen von Listen von Leuten, die in unser Land fliegen und jetzt dann der Abgleich mit einer stark verbesserten Datenbank.").

Bis dahin soll nach den Plänen der US-Regierung auch das neue Anti-Terror-Gesetz in Kraft getreten sein, der sogenannte Domestic Security Enhancement Act (auch PATRIOT II genannt). Patriot II beseitigt im Handstreich eine ganze Reihe ziviler Freiheitsrechte, für die die USA berühmt und Vorbild waren. Nur ein Beispiel: Paragraph 201 des Entwurfs führt etwas ein, was es in der Geschichte der Vereinigten Staaten von Amerika noch nie gegeben hat: geheime Verhaftungen. Damit wären die Behörden berechtigt, über einen wegen "Terrorimus"-Verdachts Festgenommenen jede Auskunft zu verweigern, auch gegenüber Angehörigen, sogar über die Tatsache der Verhaftung selbst (theoretisch nur bis zum eventuellen Beginn einer Verhandlung; weil dafür aber keinerlei Frist gesetzt ist, praktisch unbegrenzt). Man kannte so etwas bisher nur als "lettre de cachet" vor der Französischen Revolution oder von den "Verschwundenen" in Argentinien.

Man wird diese Entwicklungen im Zusammenhang sehen müssen: die laufende Datenbeschaffung aus den Reservierungssystemen, die computerisierte Farb-Markierung von Passagieren durch CAPPS II und die drohende Geheim-Verhaftung ohne Richter und Prozess. In dieser unaufhaltsamen Synergie gewinnt der Begriff "staatliche Gewalt" einen neuen, Orwellschen Inhalt. Es ist, als wäre eine vordemokratische Junta an der Macht: Es gibt nur noch eine militarisierte Verwaltung ("America at war"), die freiheitssichernden checks und balances funktionieren nicht mehr, die Grundrechte der Bill of Rights werden abgeschafft.
So kann jeder, dem seine Freiheit lieb ist, nur eins tun: nicht mehr in die USA fliegen. Jedenfalls solange nicht, bis eine andere Regierung dieser High-Tech-Inquisition verlässlich ein Ende gemacht hat.

  BIBLIOTHECA SELECTA
Haben Sie schon unseren kostenlosen Newsletter abonniert?


Neu:
Die Gazette jetzt auch
als mobile Version für Palm OS
und Win CE.

 

Quellen:

- Die Vereinbarung zwischen der europäischen Kommission und den US-Zollbehörden ist unter http://europa.eu.int/comm/exdternal_relations/us/intro/pnr.htm nachzulesen (aus der Sicht der EU-Kommission handelt sich allerdings technisch nicht um ein "agreement").
- Die Zahl der Flugpassagiere aus der EU nach Nordamerika ist entnommen aus: AEA STAR (Association of European Airlines, Summary of Traffic and Air Results, http://www.aea.be).
- Die Zahl der Zugriffe der CBP auf Amadeus wurde der ZDF-Sendung Frontal 21 vom 15. April 2003 mitgeteilt: (http://www.zdf.de/ZDFde/inhalt/15/0,1872,2041199,00.html).
- Die "Untertakings of the United States Bureau of Customs and Border Protection and the United States Transportation Security Administration" stehen in: http://www.statewatch.org/news/2003/jun/wp78-pnrf-annex_en.pdf.
- Die Mängelliste der europäischen Datenschutz-Arbeitsgruppe: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/2003_06_23_prn_apis_en.pdf.
- Die Entstehung von CAPPS II (mit zahlreichen Links): http://hasbrouck.org/articles/travelprivacy.html.
- Die Darstellung von CAPPS II aus Sicht der TSA: http://www.europarl.eu.int/meetdocs/delegations/usam/20030515/004EN.pdf.
- Eine Analyse des geplanten Patriot II Act durch die American Civil Liberties Union (ACLU): http://www.aclu.org/SafeandFree/SafeandFree.cfm?ID=11835&c=206.

2. August 2003

Leserbrief