This article belongs to the debate » 9/11 und die Überwachung im öffentlichen Raum
21 December 2021

Der europäische PNR-Rahmen und die sich verändernde EU-Sicherheitslandschaft

1. Reiseinformationen für die Erstellung von Sicherheitsprofilen

Seit Mai 2018 werden Reisende, die einen Flug in die, aus der oder innerhalb der Europäischen Union buchen oder antreten, in Risikokategorien eingeteilt, um die Wahrscheinlichkeit ihrer Beteiligung an kriminellen oder terroristischen Aktivitäten zu bewerten. Die Rechtsgrundlage für die Bewertung bildet die Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen, kurz: PNR-Richtlinie, und wird in den Mitgliedstaaten von den nationalen Fluggastdatenstellen (PNR) durchgeführt, die in der Regel von den Strafverfolgungsbehörden (LEAs, in Deutschland das BKA) geleitet werden. Ein entscheidender Aspekt der PNR-Richtlinie ist, dass die Daten, die zur Bewertung des individuellen Risikos eines jeden Reisenden verarbeitet werden, nicht auf strafrechtlichen Informationen beruhen und auch nicht aus den Kriminalitätsdatenbanken der Strafverfolgungsbehörden stammen. Stattdessen bestehen die Rohdaten, die zur Erstellung der Risikobewertung verarbeitet werden, aus reisebezogenen Informationen, die die Reisenden den Reisebüros und Fluggesellschaften bei der Buchung eines Flugtickets oder als Teil des Check-In Verfahrens zur Verfügung stellen. Zu diesen Daten gehören Name, Adresse und Kontaktinformationen wie Telefon und E-Mail, Reiseroute, Zahlungsdetails wie Zahlungsart und Rechnungsadresse, das Reisebüro, das die Buchung vorgenommen hat, Sitzplatznummer, Gepäckinformationen, andere Begleitpersonen und ein Freitextfeld für zusätzliche und allgemeine Informationen. Die Risikobewertung richtet sich nicht an ausgewählte Reisende (die z. B. vorbestraft sind), sondern wird für alle Reisenden durchgeführt. In der Tat besteht das eigentliche Ziel des PNR-Regelwerks darin, potenzielle Verdächtige zu ermitteln, die den Behörden bisher unbekannt waren.

Die PNR-Richtlinie hat somit wichtige Änderungen in die bestehenden EU-Sicherheitskonzepte eingebracht, die sich in den kommenden Jahren ausweiten könnten. Dieser Wandel der Sicherheitskonzepte und -praktiken hat das Potenzial, zentrale gesellschaftliche Werte wie Privatsphäre, Fairness und menschliche Autonomie neu zu definieren.

2. Die Erhebung und Verarbeitung von Fluggastdaten nach dem 11. September 2001

Die Einführung der PNR-Richtlinie ist Teil der Veränderungen der Sicherheitspraktiken, die seit dem 11. September 2001 stattgefunden haben. Im Jahr 2004 schloss die EU auf Initiative der USA im Rahmen ihrer Terrorismusbekämpfungsmaßnahmen ein Abkommen mit den USA über die Übermittlung von Fluggastdatensätzen. Nachdem dieses vom EuGH wegen seiner unzulässigen gesetzlichen Grundlage für nichtig erklärt wurde, wurden zwei neue Abkommen geschlossen. Das letzte von ihnen aus dem Jahr 2011 ist immer noch in Kraft. Es regelt die Übermittlung von Fluggastdaten aus der EU an US-Behörden, aber nicht umgekehrt, so dass Behörden in EU-Ländern, die Zugriff auf die Daten haben wollen, einen Antrag an die zuständige US-Behörde stellen müssen.1) Die fehlende Gegenseitigkeit der Datenübermittlung war ein wichtiges Argument für die Einführung eines EU-eigenen PNR-Systems.

So hat die EU-Kommission bereits 2007 einen Vorschlag zur Einführung eines EU-PNR-Rahmens angenommen (COM(2007) 654 final, 06.11.2007), der 2011 überarbeitet und neu vorgelegt wurde (COM(2011) 32 final, 02.02.2011). Beide Vorschläge stießen beim EU-Parlament und anderen Vertretern von EU-Institutionen auf Kritik. Im Jahr 2013 lehnte das Parlament den Vorschlag von 2011 formell ab, so dass das Gesetzgebungsverfahren zunächst auf Eis gelegt wurde (Dok. A7-0150/2013).  Die Terroranschläge vom Januar 2015 in Paris schufen jedoch ein günstigeres politisches Klima für die Wiederaufnahme der Verhandlungen, die im April 2016 zur Annahme der PNR-Richtlinie führten.2) Seitdem haben alle EU-Mitgliedstaaten mit der einzigen Ausnahme Dänemarks sowie das Vereinigten Königreich die Richtlinie umgesetzt.

Bedenken hinsichtlich einer möglichen Unvereinbarkeit mit der Grundrechtecharte der EU sind jedoch nicht endgültig vom Tisch. Bereits 2017 hat der EuGH erklärt, dass ein damals geplantes PNR-Abkommen mit Kanada wegen der Unvereinbarkeit mehrerer Bestimmungen mit EU-Grundrechten nicht geschlossen werden kann (Opinion 1/15 vom 26.07.2017). Die Frage, ob und inwieweit die Argumentation der vorangegangenen EuGH-Entscheidung auch für den EU-PNR-Rahmen gilt, ist noch nicht abschließend geklärt, ebenso wenig wie die Frage nach möglichen Grundrechtsverletzungen, die sich speziell aus der PNR-Richtlinie ergeben. Mehrere Vorabentscheidungsersuchen zur Vereinbarkeit der PNR-Richtlinie mit Grundrechten, insbesondere dem Recht auf Achtung des Privat- und Familienlebens und dem Recht auf Datenschutz, wurden dem EuGH vorgelegt (C-817/19, C-148/20 bis C-150/20, C-215/20, C-222/20 und C486-20), dessen Entscheidung noch aussteht.

3. Die Neuheit der PNR-Richtlinie und ihre ethischen Implikationen

In der EU ist die Verbindung zwischen Mobilitätskontrolle und der Prävention und Verfolgung von Straftaten mindestens so alt wie die Schengen-Verträge. Die älteste strafrechtliche Datenbank der EU, das SIS, wurde im Anschluss an die Schengener Abkommen als “Ausgleichsmaßnahme” für den empfundenen Verlust an Sicherheit im Zusammenhang mit der Lockerung und Abschaffung der Grenzkontrollen im Schengenraum geschaffen. Seitdem haben EU-Datenbanken und der Informationsaustausch zwischen den Mitgliedstaaten stetig zugenommen.3)

Die PNR-Richtlinie stellt jedoch eine Veränderung in der EU-Sicherheitslandschaft dar. Zunächst einmal geht der PNR-Regelungsrahmen über die Herstellung einer Verbindung zwischen Mobilität und Kriminalitätsbekämpfung hinaus und macht mobilitätsbezogene Daten zur eigentlichen Quelle von Indikatoren für kriminelles oder terroristisches Verhalten oder Absichten. Diese lose Verbindung zwischen den Risikokriterien und kriminellen oder terroristischen Aktivitäten ist ein zweiter Aspekt, der den PNR-Ansatz von früheren Sicherheitsinitiativen auf EU-Ebene unterscheidet. Im Gegensatz zum SIS und anderen bestehenden Datenbanken für den Informationsaustausch zwischen EU-Länderbehörden beziehen sich die für Sicherheitszwecke als relevant erachteten Informationen nicht direkt auf strafrechtlich relevantes oder verbotenes Verhalten, sondern werden aus normalen reisebezogenen Daten extrahiert. Drittens unterscheidet sich der PNR-Regelungsrahmen auch von den bekannten nationalen risikobasierten Ansätzen, die in EU-Staaten verwendet werden, um die Wahrscheinlichkeit zu bewerten, dass bestimmte Personen in kriminelle oder terroristische Aktivitäten verwickelt sind (siehe beispielsweise das RADAR-iTE-Risikobewertungsinstrument des BKA). Im Vergleich zu diesen Instrumenten sind die PNR-Daten einzigartig, da sie unterschiedslos für alle Fluggäste gelten, die ein Flugticket buchen oder eine Flugreise in die/aus der EU und zwischen EU-Mitgliedstaaten antreten.4)

Obwohl die für die Risikobewertung verwendeten Indikatoren nicht von vornherein öffentlich bekannt sind, lassen sich aus den Unterlagen, die dem EuGH im Zusammenhang mit einem der genannten Vorabentscheidungsersuche vorgelegt wurden, sowie aus den Unterlagen, die dem von der Europäischen Kommission im Juli 2020 veröffentlichten ersten Zweijahresbericht über die PNR-Richtlinie beigefügt sind, einige Erkenntnisse über die Funktionsweise des PNR-Regelungsrahmens gewinnen.5) In ersterem wird berichtet, dass Flugziele in der Türkei als Indikatoren für die Identifizierung sogenannter “ausländischer Kämpfer” verwendet werden (S. 16). Der Kommissionsbericht nennt weitere Kriterien, die zu einer höheren Risikoeinstufung führen können, wie etwa ein Ungleichgewicht zwischen Aufenthaltsdauer und Gepäck sowie die Wahl ungewöhnlicher Reiserouten.6) Weitere vorgegebene Kriterien sind Barzahlung und Last-Minute-Buchungen.7) Diese Handlungen, die völlig legales Verhalten darstellen, werden als relevante Indikatoren betrachtet, da sie sich mit Verhaltensmustern überschneiden, die aus historischen Daten oder aus kriminalistischen Hypothesen über das Verhalten von kriminellen Subjekten oder Terroristen abgeleitet wurden.

Aus ethischer Sicht wirft die Verwendung solcher Informationen für die Erstellung von Risikoprofilen eine Reihe von Fragen auf. Zunächst einmal stellt der PNR-Regelungsrahmen tiefgreifende Herausforderungen für den zentralen Wert der Privatsphäre dar. Wie die Philosophin Helen Nissenbaum dargelegt hat, besteht dieser Kern in der Integrität der sozialen Kontexte, in denen persönliche Informationen ausgetauscht werden.8) Wir tauschen Informationen in sehr unterschiedlichen Kontexten aus, und jeder dieser Kontexte hat seine eigenen Regeln für die Art und Weise, wie Informationen zirkulieren, und für die Inhalte, die dafür angemessen sind. Der Schutz der Privatsphäre hängt von der Zuverlässigkeit und Integrität der Normen ab, die den Informationsaustausch in jedem Kontext regeln. Indem der PNR-Regelungsrahmen systematisch und wahllos auf Informationen über Reisen zurückgreift und diese im Zusammenhang mit der Sicherheit auswertet, verstößt er gegen bestehende gesellschaftliche Kontextnormen zum Schutz der Privatsphäre.

Außerdem zeigen die genannten Beispiele für Risikoindikatoren, dass die Erstellung von Risikoprofilen mit hoher Wahrscheinlichkeit zu verzerrten Ergebnissen und Diskriminierung führt. Obwohl die Erhebung und Verarbeitung “sensibler” Daten durch die PNR-Richtlinie untersagt ist, können andere Informationen als Anhaltspunkte für ethnische Zugehörigkeit, religiösen und kulturellen Hintergrund dienen und somit zu indirekter Diskriminierung führen. Ein deutliches Beispiel für derartige Risiken ist das erwähnte Kriterium des Flugziels als Risikoindikator. Es ist in der Tat offensichtlich, dass die Berücksichtigung von Flugzielen in der Türkei als Risikoindikator bedeutet, dass deutschen Staatsbürgern mit familiären oder kulturellen Verbindungen zur Türkei mehr Aufmerksamkeit geschenkt wird als deutschen Staatsbürgern ohne derartige Verbindungen.

Schließlich wirkt sich die Begründung der PNR-Richtlinie auf die Art und Weise aus, wie wir menschliche Autonomie begreifen. Im Rahmen der PNR-Richtlinie werden Personen auf der Grundlage von Profilen als relationale Identitäten klassifiziert und bewertet. Ihre Risikoeinstufung hängt in der Tat von der Überschneidung einiger ausgewählter Verhaltenselemente mit Verhaltensmustern ab, die bestimmten Personengruppen (“Kriminellen” und “Terroristen”) zugeschrieben werden. Der PNR-Regelungsrahmen lenkt die Aufmerksamkeit systematisch auf Individuen, nicht aufgrund ihrer eigenen illegalen oder “gefährlichen” Handlungen, sondern als Ergebnis ihrer Zuordnung zu einer bestimmten Klasse von Personen. Hinter dieser Vorstellung steht eine Art Determinismus, der besagt, dass Menschen ein Sicherheitsrisiko darstellen, weil sie nicht sicherheitsrelevante Merkmale mit prototypischen Profilen von “Kriminellen” oder “Terroristen” teilen.

4. Die PNR-Richtlinie: ein “trojanisches Pferd” für risikobasierte Ansätze in der EU-Sicherheitspolitik?

Die aktuellen Entwicklungen in der EU-Sicherheitspolitik deuten darauf hin, dass der mit der PNR-Richtlinie eingeführte Ansatz in Zukunft auf andere Bereiche ausgedehnt werden könnte. So könnte sich die PNR-Richtlinie als eine Art “Trojanisches Pferd” erweisen, das einen risikobasierten Ansatz in der EU-Sicherheitspolitik einführt. 2018 wurde beispielsweise mit der Verordnung (EU) 2018/1240 ein Europäisches Reiseinformations- und -genehmigungssystem (ETIAS) eingeführt, das derzeit von der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Bereich Freiheit, Sicherheit und Recht (eu-LISA) entwickelt wird und ab 2022 in Betrieb sein soll. Das ETIAS-System verfolgt einen risikobasierten Ansatz, der dem der PNR-Richtlinie ähnelt. Sobald das ETIAS-System in Kraft ist, müssen Angehörige von Drittstaaten, die derzeit von der Visumspflicht befreit sind, einen Antrag auf Reisegenehmigung stellen. Die im Rahmen des Antragsverfahrens übermittelten Daten werden dann verarbeitet, um das individuelle Sicherheitsrisiko jedes Antragstellers zu bewerten (Art. 4), was die Entscheidung über die Erteilung der Reisegenehmigung unterstützen soll (Nr. 24). Darüber hinaus wurden seit der Einführung der PNR-Richtlinie Optionen für die Ausweitung der PNR-Regelung auf den See- und Straßenverkehr erörtert (COM(2020) 305 final, 24.07.2020, S. 10). Obwohl diese Optionen, auch in Anbetracht der anstehenden Entscheidung des EuGH, vorläufig verworfen wurden, ist nicht ausgeschlossen, dass sie in Zukunft wieder in Betracht gezogen werden.

Die künftigen Entwicklungen werden entscheidend dafür sein, wie wir das Verhältnis zwischen dem Einzelnen und der öffentlichen Gewalt sehen und wie wir unsere Vorstellungen von Grundwerten wie Privatsphäre, Fairness und Autonomie (neu) auslegen. Wird der Begriff der Privatsphäre neu definiert werden, so dass die systematische Nutzung alltäglicher Informationen zu Sicherheitszwecken zu einer gängigen und allgemein akzeptierten Praxis wird? Wieviel Diskriminierungspotenzial wird im Namen der Sicherheit toleriert werden? Und wird das Menschenbild, nachdem Menschen in der Lage sind, ihr Verhalten selbst zu steuern, zu einem Relikt der Vergangenheit?

Bei diesem Text handelt es sich um eine Übersetzung des Beitrags, ‘The European PNR framework and the changing landscape of EU-security‘ , durch Felix Kröner.

References

References
1 Siehe Blasi Casagran, Cristina, The Future EU PNR System: Will Passenger Data Be Protected, in: European Journal of Crime, Criminal Law and Criminal Justice, 23, 2015, 241-257.
2 Zu den zahlreichen Initiativen, die unmittelbar nach den Anschlägen von Paris im Januar 2015 eingeleitet wurden, siehe Bigo, Didier et al., The EU Counter-Terrorism Policy Responses to the Attacks in Paris: Towards an EU Security and Liberty Agenda, CEPS Papers in Liberty and Security in Europe, Nr. 81, 2015.
3 Für einen Überblick über diese Entwicklungen und ihre philosophischen Implikationen siehe Orrù, Elisa, Legitimität, Sicherheit, Autonomie. Eine philosophische Analyse der EU-Sicherheitspolitik im Kontext der Digitalisierung: Nomos 2021.
4 Die PNR-Richtlinie schreibt die Verarbeitung von PNR-Daten nur für ein- und ausgehende Flüge in der EU vor, erlaubt den Mitgliedstaaten aber fakultativ auch die Erhebung und Verarbeitung von Fluggastdaten von Flügen innerhalb der EU. Laut dem ersten EU-Überprüfungsbericht hatten – mit einer Ausnahme – alle Staaten, die zum Zeitpunkt des Berichts (Mai 2020) die EU-Richtlinie umgesetzt hatten, dafür optiert, den PNR-Rahmen auch auf EU-interne Flüge auszuweiten. Dies ist auch die von Deutschland gewählte Option.
5 Antworten auf die Vorabentscheidungsersuche C-148/20 bis C-150/20, https://freiheitsrechte.org/home/wp-content/uploads/2020/09/GFF-Stellungnahme-an-den-EuGH-zur-FluggastdatenspeicherungPNR-Richtlinie-2020.pdf und SWD(2020) 128 final vom 24.7.2020.
6 Arbeitsdokument der Kommissionsdienststellen zum Bericht der Kommission, SWD(2020) 128 final, S. 24.
7 Ibid., S. 11.
8 Nissenbaum, Helen Fay, Privacy in context: technology, policy, and the integrity of social life. Stanford: Stanford Law Books 2010.

SUGGESTED CITATION  Orrù, Elisa: Der europäische PNR-Rahmen und die sich verändernde EU-Sicherheitslandschaft, VerfBlog, 2021/12/21, https://verfassungsblog.de/os3-pnr-rahmen/, DOI: 10.17176/20220201-060200-0.

Leave A Comment

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.




Explore posts related to this:
Fluggastdaten, PNR, Überwachung


Other posts about this region:
Europa