Monthly Archives: December 2007

24C3: Scharfe Kritik an der Fluggastdatensammlung

Eine Auseinandersetzung mit der staatlichen Datensammelwut dies- und jenseits des Atlantiks unter dem Aufhänger des Kampfs gegen den internationalen Terrorismus stand am heutigen Freitag mit auf dem Programm des 24. Chaos Communication Congress (24C3) in Berlin. Konkret bemängelte Erik Josefsson als Brüsseler Vertreter der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in Europa, dass nach der Vorratsspeicherung von Telefon- und Internetdaten die EU-Kommission nun unter anderem das Horten von Flugpassagierdaten vorantreibe. Mit ihrem Vorschlag zum Aufbau eines eigenen Systems zur Auswertung von Passenger Name Records (PNR) und dem bereits installierten vergleichbaren US-System, so die Kernkritik des Interessenvertreters, hätten Sicherheitsbehörden beider Regionen letztlich vollen Zugriff auf die kompletten Kundensysteme der Fluglinien.

Offiziell sieht das EU-Papier vor, dass die Fluggastdaten in einem dezentralen System regulär insgesamt 13 Jahre vorgehalten werden müssen. Die Fluglinien sollen die begehrten Mitteilungen, die unter anderem Namen, Geburts- und Flugdaten, Kreditkarteninformationen, besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern enthalten, spätestens 72 Stunden vor dem Start sowie direkt nach dem Abfertigen einer Maschine an sogenannte Passagier-Informationseinheiten (Passenger Information Units, PIUs) in jedem Mitgliedsstaat weiterleiten und somit für den Zugriff durch Sicherheitsbehörden öffnen. Für europäische Carrier ist ein Push-System vorgesehen, in dem sie die Fluggastdaten aktiv zur Verfügung stellen. Bei ausländischen Fluglinien mit Transporten Richtung EU ist zusätzlich geplant, dass sich die PIUs auch selbst gemäß dem sogenannten Pull-Verfahren in deren Datenbanken mit den PNR eindecken können.

Für das Push-Verfahren sind die bestehenden Datenbanken der Airlines und das dahinter stehende Sabre-Reservierungssystem aber gar nicht ausgerichtet, brachte Josefsson nun schwere Bedenken gegen den Brüsseler Plan vor. Die bestehenden Strukturen zur Verwaltung der Kundendaten und PNR müssten daher grundlegend überarbeitet werden, was teuer käme. Bis dahin hätten die Behörden letztlich in Echtzeit Zugang zu den Systemen, so wie es auch im Rahmen des Abkommens zwischen Washington und Brüssel zur Fluggastdatenweitergabe der Fall sei.

Eine Besucherin des Hackerkongresses aus den USA bestätigte, dass im Rahmen des transatlantischen Datentransfers deutlich mehr Informationen erfasst und gespeichert würden, als offiziell angegeben. So habe sie nach der Teilnahme auch am Vorjahrestreffen der Hackergemeinde in Berlin beim zuständigen US-Heimatschutzministerium, dem Department of Homeland Security (DHS), ihre aufgezeichneten PNR-Einträge abgefragt. Dabei sei herausgekommen, dass neben der Atlantiküberquerung auch Anschlussflüge etwa von Berlin nach Prag in der Datenbank verzeichnet seien. Für Josefsson besteht daher kein Zweifel daran, dass auch bereits alle innereuropäischen Flüge in den PNR-Archiven der USA mit aufbewahrt werden. EU-Datenschutzbeauftragte drängen zwar seit längerem auf die Umstellung auf die Push-Methode, doch getan hat sich in dieser Hinsicht bei den Fluggesellschaften bislang offenbar nichts.

Auch andere Datenschutzvorkehrungen im EU-Vorschlag sowie im US-PNR-System taugen laut dem EFF-Vertreter wenig bis nichts. So sichern Brüssel und Washington zu, dass besonders sensible Daten aus den Flugpassagierangaben wie etwa zu Rasse, sexueller Ausrichtung, Gewerkschaftsangehörigkeit oder Krankheiten ausgesondert werden sollen. Der Haken dabei ist Josefsson zufolge, dass zusätzlich gemäß den Vorgaben eine Aufzeichnung von Änderungen an den PNR-Beständen vorzunehmen ist. In diesen Log-Dateien würden vermutlich also auch die ausgefilterten Daten doch erfasst bleiben. Allgemein schloss sich der Bürgerrechtsanwalt der sorgenvollen Stellungnahme des europäischen Datenschutzbeauftragten Peter Hustinx an, wonach die EU mit dem Gesetzesentwurf weiter in einen Überwachungsstaat Orwellschen Ausmaßes abdrifte.

Weiter warnte Josefsson davor, dass das DHS seine Systeme zur Einreisekontrolle derart umzuprogrammieren gedenke, dass jeder Ausländer beim Flug in die USA zunächst eine individualisierte Erlaubnis zum Betreten des Staatsgebietes erhalten müsse. Dafür sollten im Anklang an Systeme zum digitalen Rechtekontrollmanagement (DRM) Verfahren zum sogenannten Personal Rights Management (PRM) zum Einsatz kommen. Da das US-PNR-System mit dem europäischen Vorschlag weitgehend abgestimmt sei, dürften entsprechende Forderungen demnächst dann auch ergänzend aus Brüssel zu hören sein. Zweifelhaft sei dagegen, ob derartige Bestimmungen mit Abkommen wie dem Internationalen Pakt über bürgerliche und politische Rechte (ICCPR) der UNO vereinbar seien.

Insgesamt hofft Josefsson, dass Bürgerrechtsvertreter den politischen Entscheidungsprozess in Brüssel noch beeinflussen können und anders als in den USA nicht immer hauptsächlich auf den Rechtsweg gegen ausufernde Überwachungsprojekte angewiesen seien. Das EU-Parlament dürfe im Fall der PNR-Sammlung aber nur eine Stellungnahme abgeben, die der federführende EU-Rat und die Kommission nicht groß beachten müssten. Generell müsste daher stärker darauf geachtet werden, dass Datenschutzregeln schon auf technischer Ebene in neuen IT-Systemen verankert werden. (Stefan Krempl) /