EuGH: Wie dürfen Fluggastdaten gespeichert werden?

Das kleine Geschwisterkind der Vorratsdatenspeicherung, die Fluggastdatenspeicherung, hat es nicht am EuGH vorbei geschafft. Zumindest nicht vollständig. Das Urteil ist ein wichtiger Etappensieg für die Grundrechte der EU-Bürger und den Datenschutz.

EuGH entscheidet zur Speicherung von Fluggast- und anderen Vorratsdaten

„Da steh‘ ich nun, ich armer Tor, Und bin so klug als wie zuvor!“

So oder so ähnlich müssen sich die EU-Staaten mit ihren verschiedenen Gesetzen zur Vorratsdatenspeicherung fühlen. Wie Dr. Heinrich Faust in Goethes Werk gieren die Staaten nach mehr Wissen und Erkenntnis und scheitern letztendlich immer wieder mit ihren Gesetzen an den Gerichten. Es scheint fast so, als lebten Regierungen und Richter in zwei völlig unterschiedlichen Welten. Schaut man sich die Urteile des EuGH in Bezug auf die Richtlinie zur Vorratsdatenspeicherung im Jahr 2014 an, in welchen diese für ungültig erklärt wurde, erscheint es absurd, dass dies im kleinen oder größeren Maßstab weiterhin versucht wird. Nicht zuletzt, nachdem der EuGH mit seiner Entscheidung (C-511/18) im Jahr 2020 dies sogar noch einmal bestätigte.

Umsetzung der PNR-Richtlinie

Dennoch führten im Jahr 2018 alle EU-Staaten aufgrund der sogenannten PNR-Richtlinie eine Art Vorratsdatenspeicherung im kleinen Maßstab ein. Namentlich: Fluggastdatenspeicherung. Aufgrund dessen werden zur Terrorismusbekämpfung und Aufdeckung schwerer Straftaten pro Passagier knapp zwanzig Datenkategorien an staatliche Stellen weitergeleitet. Der EuGH hat die gesetzliche Umsetzung der PNR-Richtlinie in Belgien bewertet und zeigt den EU-Staaten in seiner Entscheidung zur Fluggastdatenspeicherung vom 21. Juni 2022 (C-817/19) Grenzen auf.

Fluggastdatenspeicherung – Was wurde dieses Mal falsch gemacht?

Nicht nur die Menge der Daten, sondern auch die Informationen an sich sind teilweise sehr sensibel. Warum genau soll es wichtig sein, anlasslos Informationen zu Gepäckzahl, Reisebegleitung, Vielfliegernummer etc. zu speichern und mithilfe künstlicher Intelligenz auszuwerten? Diese Frage stellte sich auch der EuGH. Zwar sei die PNR-Richtlinie grundsätzlich rechtmäßig. Dennoch sei diese unter Berücksichtigung der Artikeln 8, 7 und 21 der EU-Grundrechtecharta verankerte Recht auf Schutz der personenbezogenen Daten, das Recht auf Achtung der Privatsphäre und das Recht auf Nichtdiskriminierung auszulegen. Hier ist also nicht das „Ob“, sondern das „Wie“ der Datenverarbeitung entscheidend. Die Richter des EuGH führen hierzu aus, dass die PNR-Richtlinie hinsichtlich der nationalen Regelungen eng auszulegen sei.

Was muss anders laufen?

Aufgrund der Schwere des Eingriffes sei es nicht möglich, anlasslos unbegrenzt Flüge auszuwerten. Vielmehr sei entscheidend, dass eine reale terroristische Bedrohung oder zumindest konkrete Anhaltspunkte für eine solche auf einzelnen Flügen oder an bestimmten Flughäfen vorhanden sind. Auch die Nutzung der gewonnenen Daten zur Aufdeckung von weiteren Straftaten, wie beispielsweise illegale Einreisen, sei nicht rechtmäßig. Die Daten dürfen durch die Behörden also nur zur Strafverfolgung genutzt werden, wenn die Reise eines Passagiers selbst mit kriminellem Verhalten verknüpft ist. Das wäre beispielsweise der Fall, wenn der Betroffene versucht, sich mit einem Flug abzusetzen.

Künstliche Intelligenz muss im Zaum gehalten werden

Riesige Datenberge und keiner, der sie auswerten kann. Wie bekommt man das Ganze in den Griff? Richtig – mit künstlicher Intelligenz (KI). Hinweise wie „auffällige Reisebegleitung“, „wenig Gepäck auf Langstreckenflügen“ oder „die Zahlung des Flugtickets in Bar“ – all das kann auffälliges Verhalten darstellen. Was die KI genau für auffällig hält, ist jedoch nicht immer planbar. Der EuGH verbietet in seinem Urteil nicht, nach entsprechenden Merkmalen zu suchen. Entscheidend sei jedoch, dass vorab klar festgelegt werden muss, nach welchen Merkmalen gesucht wird. Eine selbstlernende künstliche Intelligenz, die eigenhändig bestimmt, was verdächtigtes Verhalten darstellt, sei tabu.

Lohnt sich die künstliche Intelligenz?

Für die Ermittlungsbehörden dürfte das jedoch kein großer Verlust sein. Eine kleine Anfrage der Linken hat ergeben, dass die KI von 25.05.2018 bis zum 31.03.2019 insgesamt 94.098 technische Treffer und damit 94.098 verdächtige Fluggäste ausgespuckt hat. Im Rahmen der individuellen Überprüfung durch die Fluggastdatenzentralstelle ergaben sich daraus 277 tatsächlich positive Treffer. Damit belief sich die Erfolgsquote der KI im März 2019 auf 0,29 Prozent. Ein ernüchterndes und zugleich erschreckendes Ergebnis. Wer möchte schon gerne ins Visier der Ermittlungsbehörden geraten, weil irgendein Computer die Anzahl der Gepäckstücke für verdächtig hält? In Anbetracht der Ineffizienz dürfte der Verzicht auf die KI in diesem Fall kein gravierender Verlust sein. Ein automatischer Abgleich der Daten mit Datenbanken für Personen, nach denen gefahndet wird, darf natürlich weiterhin stattfinden und dürfte rechtlich beanstandungsfrei möglich sein. Wie sich die Entscheidung für die Nutzung von KI in Zukunft auswirkt, bleibt abzuwarten.

Daten aufbewahren – sicher ist sicher.

Warum sollte man Daten löschen, wenn man diese auch aufbewahren kann? Diese Frage stellen sich nicht nur zahlreiche Unternehmen, sondern scheinbar auch die Autoren der Gesetze zur Fluggastdatenspeicherung. Nach Abschluss der Flugreise dürften die Daten nur zur Terrorismusbekämpfung oder Verfolgung von schwerer Kriminalität genutzt werden. Dennoch war vorgesehen, die Daten für fünf Jahre zu speichern. Die Richter aus Luxemburg konnten nicht erkennen, dass nach einem Zeitraum von sechs Monaten noch ein Grund für die personalisierte Speicherung der Daten vorliegt. Anschließend müssen die Daten also gelöscht oder anonymisiert werden. Je länger die Daten gespeichert würden, desto höher wäre auch das Risiko der unverhältnismäßigen Nutzung der Daten und eines Missbrauchs. Nur dort, wo ein expliziter Anspruch besteht, könnten die Daten anlassbezogen auch länger aufbewahrt werden.

Am Ende (k)ein bisschen schlauer?

Ob das Urteil jetzt dazu führt, dass keiner der EU-Staaten sich erneut an der Vorratsdatenspeicherung im großen oder kleinen Rahmen versucht, lässt sich bezweifeln. Die Vergangenheit zeigt, dass die Rufe nach Vorratsdatenspeicherung in regelmäßigen Abständen in den öffentlichen Diskurs vordringen. Prominentestes Beispiel aus der jüngsten Vergangenheit ist die Vorratsdatenspeicherung im Kampf gegen Kindesmissbrauch. Bis der nächste Staat vor dem EuGH Richter steht und kundtut:

„Habe nun, ach! Philosophie, Medizin

und leider auch Theologie durchaus studiert, mit heißem Bemühn.

Die Juristerei die ließ ich außen vor;

Da steh ich nun, ich armer Tor und bin so klug als wie zuvor!“