6593/J XXIV. GP
Eingelangt am 14.10.2010
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
ANFRAGE
der Abgeordneten Stefan, Herbert
und weiterer Abgeordneter
an den Bundeskanzler
betreffend Flugdatenspeicherung durch die US-Heimatschutzberhörden
In der Ausgabe Futurezone – ORF.at vom 30.08.2010 erschien folgender Artikel:
Alle bisher bekannt gewordenen Datensätze aus dem PNR-System zeigen, dass die US-Heimatschutzbehörden Zugang im Administratorrang zu den weltweiten Buchungssystemen haben, so der Flugdatenexperte Edward Hasbrouck im Gespräch mit ORF.at. Hasbrouck klagt seit 2006 nach US-Datenschutzrecht seine Regierung vergeblich auf Einsicht in sein Bewegungsprofil:
"Ich klage die Regierung, weil es für die Öffentlichkeit wichtig ist zu wissen, dass das Department of Homeland Security die Europäische Union angelogen hat" schrieb Edward Hasbrouck in einer Aussendung zu seiner Klage.
Die Behauptungen seitens des Ministeriums für Heimatschutz, dass alle Anfragen für Zugang zu den gespeicherten "Passenger Name Records" - also den Flugpassagierdaten (PNR) - beantwortet würden und dass es in den USA keinerlei Beschwerden über Datenmissbrauch gegeben habe, entsprächen überhaupt nicht der Wahrheit, so der bekannte Reisejournalist, Autor und Blogger.
Das EU-Parlament wird im Herbst über ein neues Abkommen mit den USA beraten. Der Ministerrat hat sich schon mehrheitlich für die Einrichtung eines europäischen Gegenstücks zum US-System ausgesprochen. Das EU-Parlament äußerte sich mehrheitlich skeptisch.
Hasbrouck, der gerade von einer einjährigen Weltreise in die USA zurückgekehrt ist, weiß, wovon er spricht. Seit 2006 versucht er nämlich, Einsicht in die über ihn gespeicherten Datensätze zu erhalten und hat dazu bereits mehrmals unter dem US-Datenschutzgesetz (Privacy Act) auf die Herausgabe einer Kopie der Datensätze geklagt. Einmal habe er eine grob unvollständige, mit Schwärzungen versehene Liste bekommen, wie auch andere Vielflieger, die - wenn überhaupt eine Antwort kam - verstümmelte Auszüge zu sehen bekamen.
Ebensowenig zu eruieren war, an welche in- oder ausländischen Behörden oder Privatfirmen welche Datensätze weitergegeben wurden. Es sei davon auszugehen, dass kein einziger US-Antragssteller seinen vollständigen Datensatz je zu Gesicht bekommen habe, sagte Hasbrouck. Für Europäer stehe nicht einmal dieser Weg offen, da das US-Datenschutzgesetz nur für US-Staatsbürger gelte.
Was aber ist in einem solchen Datensatz enthalten? Alles könnte drinnen stehen, meint Hasbrouck, auf jeden Fall sei es weitaus mehr, als der Reisende annehmen würde. Sehr häufig seien IP-Adressen von Onlinebuchungen dabei. Bis hin zur Telefonnummer von Bekannten des Reisenden habe man so ziemlich alle Arten von persönlicher Information in den meist heftig geschwärzten PNR-Datensatz-Auszügen gefunden, die Hasbrouck in jahrelanger Arbeit zusammengetragen hat.
Ob miteinander Reisende Einzel- oder Doppelbetten verlangt haben, war in einem weiteren Fall vermerkt, ein anderer Datensatz enthielt den Titel eines Buches, das der Reisende bei der Grenzkontrolle mit sich geführt hatte. Andere Datensätze haben Kurzprotokolle von Gesprächen über Grund und Ziel individueller Reisenden gegenüber US-Grenzschutzbeamten als Annex.
Sämtliche Flugdaten einer Reisenden, die mit United Airlines von San Francisco nach Berlin geflogen war, dann mit Czech Airlines weiter nach Prag, sodann nach London und von dort wieder in die USA zurück - also auch alle innereuropäischen Flüge - seien in diesem PNR-Datensatz dokumentiert gewesen, so Hasbrouck.
Weder United Airlines noch Czech Air verfügten über alle diese Daten, daher stellte sich die Frage, woher stammten sie dann?
Laut Hasbrouck kommen sie in diesem Fall eindeutig aus dem US-Flugbuchungssystem Galileo, über welches das Reisebüro sämtliche Flüge gebucht hatte. Das bestätige, dass die US-Heimatschützer "Root-Zugang zu Galileo haben". Das bedeutet Administratorenrechte für das gesamte System und damit Vollzugang zu allen Datensätzen Hunderttausender Reіsebüros weltweit, die an die Buchungssyteme von Galileo oder Worldspan angeschlossen sind.
Was immer da im Reisebüro oder auf einem Onlineformular an Sonderwünschen geäußert wurde, ist in diesem PNR-Datensatz enthalten, und betroffen sind auch die anderen Flugbuchungssysteme "außerhalb" der USA. Die Daten des europäischen Systems Amadeus holten sich die Heimatschützer aus der US-Niederlassung.
Daher könnten die USA durchaus wissen, ob ein zwischen Frankfurt und Wien pendelnder Fluggast dabei etwa koschere Mahlzeiten verlange.
Jene Daten, die Einreisenden in die USA 78 Stunden vor dem Abflug auf einem Onlineformular abgefordert werden, dienen, wie auch Datensätze, die von den Airlines vor Abflug geliefert werden müssen, in erster Linie zur Überprüfung der durch diese "Updates" angereicherten eigentlichen "Passenger Name Record".
Überprüft wird da, ob der betreffende Reisende auch tatsächlich an die angebene Destination fliegen wird und nicht etwa zwischendurch direkt bei der Fluglinie umgebucht hat. Es läuft also ein Gegencheck mit Datensätzen, die man bereits hat. Die eigentliche PNR ist in Wirklichkeit ein personenbezogenes Bewegungsdossier, das mit jeder Reise um die aktuellen Daten ergänzt wird.
Um welche Dimensionen von Datensätzen es sich dabei handle, zeigten die hohen Summen, die Airlines weltweit seit 2001 für die Umstellungen ihrer IT-Systeme ausgeben mussten, um den Datenhunger der US-Behörden zu stillen, sagt Hasbrouck. Mehrere Milliarden Dollar seien dabei in Bewegung geraten, und darum habe sich auch eine regelrechte PNR-Industrie gebildet. IT-Dienstleister, Betreiber von Datenzentren, aber auch Firmen, die diese "massiven Datensätze" zu Marketingzwecken einem Data-Mining unterziehen.
Das bedeutet: Datensätze von Reisebewegungen europäischer Bürger werden in den verschiedensten Datenzentren in den USA verarbeitet. Zahlreiche Billigfluglinien aus Europa lassen ihre gesamten Daten in den USA verarbeiten.
Als Hasbrouck im April 2010 vom EU-Parlament als Experte geladen war, versuchte er danach, seinen aktuellen PNR-Datensatz nach deutschem Datenschutzrecht von der Lufthansa abzufragen.
Weil er keine Auskünfte bekam, hatte Hasbrouck beim (regional zuständigen) Datenschutzbeauftragten für Nordrhein-Westfalen eine Beschwerde eingereicht. Das rät Hasbrouck auch Geschäftsreisenden aus Europa, denen im Zusammenhang mit dem Schutz ihrer persönlichen Daten direkte Klagen in den USA verwehrt sind.
Die Datenschutzbehörden, unter anderem auch die österreichische Datenschutzkommission, hatten ihm erklärt, dass es in der Praxis kaum Anfragen oder Einsichtbegehren von Europas Bürgern gebe. Die nationalen Datenschutzbehörden seien aber darauf angewiesen, wenn sie gegen die herrschende Praxis im Umgang mit persönlichen Daten tätig werden wollen.
"Die Europäer sollten sich also nicht auf ihre Behörden verlassen, sondern selbst aktiv werden und Beschwerden einlegen. Die gesamte PNR-Infrastruktur ist ein einziger flagranter Verstoß gegen alle europäischen Datenschutzprinzipien", so Hasbrouck.
Nachdem alle seine Klagen unter dem US-Datenschutzgesetz Privacy Act erfolglos geblieben waren, änderte der Reisejournalist seine Vorgangsweise und reichte unter dem "Freedom of Information Act" (FOIA) Beschwerde gegen die US-Grenzschutztruppe (Customs and Border Protection) des Ministeriums für Heimatschutz ein. Eine solche Klage stehe auch Europäern und ihren Datenschutzbehörden offen.
Die letzte Frage, ob es denn eine Reaktion auf seine Klage seitens der beklagten Heimatschützer gegeben habe, beantwortet er so: Die Zoll- und Grenzschutztruppe habe eine öffentliche Stellungnahme zu seiner Klage postwendend unter Berufung auf US-Datenschutzgesetze abgelehnt.
In diesem Zusammenhang stellen die unterfertigten Abgeordneten an den Bundeskanzler folgende
Anfrage
1. Ist ihnen bekannt, ob die US-Heimatschutzbehörden Zugriff auf die Daten der Flugbuchungsgesellschaften haben?
2. Wenn ja, wie ist das mit den europäischen Datenschutzrichtlinien zu vereinbaren?
3. Wo könnten Betroffene Auskunft über ihre gespeicherten Daten erlangen.
4. Kann die Republik Österreich Auskunft über die Passagierdaten österreichischer Bürger von den US-Behörden erlangen?
5. Sind ihnen Fälle solcher Anträge von Privatpersonen bekannt?
6. Wenn ja, wie wurden diese beantwortet.
7. Hat die Republik Österreich schon jemals Auskunft über Passagierdaten von den US-Behörden verlangt?
8. Wenn ja, wurde Auskunft erteilt?
9. Wie gedenkt die Republik Österreich bei Verweigerung einer Antwort vorzugehen?
10. Wo könnten Betroffene klagen?
11. Ist ein neues Abkommen zwischen der EU und den USA bezüglich der Flugpassagierdaten geplant?
12. Wenn ja, wie soll dies nach den Vorstellungen der österreichischen Regierung aussehen?
13. Welche Vorstellungen hat die EU-Kommission?
14. Wie sollen und können die Rechte der EU-Bürger gewahrt bleiben?
15. Wo sollen und können EU-Bürger ihre Rechte einfordern können?
16. Wie soll und kann eine Garantie zur Löschung von Daten von EU-Bürgern gewahrt bleiben?
17. Finden hier schon Verhandlungen statt?
18. Wenn nein, für wann sind diese geplant?
19. Wie will die EU darauf reagieren, sollte sie angelogen worden sein?
20. Wie haben sie darauf reagiert?
21. Hätte das Auswirkungen auf Verträge zwischen der EU und den USA?
22. Wenn ja, welche?
23. Wenn nein, warum nicht?
24. Wie werden Sie und Ihre Regierungskollegen und –Kolleginnen vorgehen, wenn die EU keine ausreichenden Konsequenzen zum Schutz der EU-Bürger (Abbruch aller Datenübermittlungen, Neuverhandlungen mit den USA usw.) zieht?