EU-Gerichtshof konterkariert EU-Überwachungspläne

Die Auflagen des EuGH samt dem expliziten Verbot von Data-Mining in Flugpassagierdaten stellen die aktuellen Data-Mining-Pläne von Rat, Kommission und Europol in Frage.

Von Erich Moechel

Der Entscheid zur Vorratsspeicherung von Flugpassagierdaten (PNR) des Europäischen Gerichtshofs (EuGH) geht weit über die PNR-Richtlinie selbst hinaus. Er enthält auch ein explizites Verbot von Data-Mining in diesen personenbezogenen Datensätzen, die von allen ein- und ausgehenden Flügen des EU-Raums erhoben und auf Vorrat gespeichert werden.

Die Data-Mining-Pläne von Europol sind genauso davon betroffen wie die kommende Verordnung zur „Künstlichen Intelligenz“, die geplante „Chatkontrolle“ und künftige Versuche, erneut eine Art von Vorratsdatenspeicherung einzuführen. Nikolaus Forgo, Professor für Technologie- und Immaterialgüterrecht an der Universität Wien, sieht den Spruch in einer Linie mit den bisherigen Urteilen des EuGH.

Parallelen zum Urteil gegen Vorratsdatenspeicherung

Für Nikolaus Forgo ist dieser Spruch „ein weiterer Schritt auf dem Weg des EuGH, eine anlasslose Massenüberwachung durch Speicherung und Auswertung ‚auf Vorrat‘ zu begrenzen“. Die PNR-Richtlinie von 2010 sieht nämlich eine anlasslose Speicherung sämtlicher ein- und ausgehender Flugbewegungen im EU-Raum vor. Die Analogien zum EuGH-Urteil gegen Vorratsdatenspeicherung von 2014, die alle Metadaten aus Mobilfunknetzen bis hin zu den Bewegungsdaten erfasst hatte, sind nicht zu übersehen. Dazu war es den Mitgliedsstaaten bis jetzt freigestellt, auch innereuropäische Flugbewegungen zu erfassen. Wie beim PNR-Vertrag mit den USA ist auch in Europa bis dato eine Speicherdauer von fünf Jahren vorgesehen.

Der EuGH hat nun erkannt, dass diese Daten erstens längst nicht mehr in vollem Umfang gespeichert werden dürfen. All diese Datensätze enthalten nämlich jeweils viel mehr personenbezogene Daten als die bloßen Eckdaten eines Flugs. PNR-Datensätze können von Mietwagenbuchungen bis hin zur Bestellung eines koscheren Bordmenüs und sogar Anmerkungen der Airlines viele personenbezogene Zusatz-Informationen enthalten. Vor allem aber limitiert der EuGH die Speicherdauer der Datensätze, denn laut dem aktuellen Urteil sind alle Datensätze von Passagieren, bei denen sich kein konkreter Verdacht auf Terrorismus nach sechs Monaten ergeben hat, zu löschen. Da Terrorismus per se kein Allerweltsdelikt ist, werden das praktisch alle durch das europäische PNR-System erfassten Daten in diesem Zeitraum sein.

Einsatzverbot für „selbstlernende Systeme“

Passagierdaten von Flügen im EU-Raum dürfen durch die Behörden nur noch angesichts einer konkreten Bedrohung für einen Mitgliedstaat zeitlich befristet erhoben werden. „Der Spruch liegt in einer Judikaturlinie zu den Entscheidungen über die Vorratsdatenspeicherung“, so Forgo zu ORF.at. Erst im Dezember 2021 hatte der EuGH die Vorratsdatenspeicherung in Irland und Deutschland aufgehoben, es ist das sechste solche Urteil in Folge gegen nationale Umsetzungen der EU-Richtlinie von 2006. Anders als Österreich hatten Deutschland, Frankreich und andere EU-Staaten ihre nationalen Speicherpflichten nicht aufgehoben, nach dem der EuGH die EU-Richtlinie im April 2014 rückwirkend annulliert hatte.

Vorratsspeicherung bleibt denn auch weiterhin bis zu einem gewissen Grad legal, etwa bei einer konkreten Bedrohung der nationalen Sicherheit. Die Maßnahme muss allerdings befristet und zielgerichtet sein, Daten von Unbeteiligten müssen gelöscht werden. Es geht um Minimierung der Datensätze, die erhoben werden und dazu steht noch ein explizites Verbot von automatisierten Suchen mit „Technologien der künstlichen Intelligenz im Rahmen selbstlernender Systeme“. „Machine learning“ und Algorithmen, die daraus Wahrscheinlichkeiten errechnen, dass ein Datenprofil einer bestimmten Person den Verdacht auf terroristische Aktivitäten erweckt, dürfen daher nicht eingesetzt werden.

Data-Mining und Profiling nicht erlaubt

„Dass Data-Mining im Grundsatz untersagt und technisch auch noch durch die Löschverpflichtungen verstärkt wird“, passe ebenfalls nahtlos in diese Linie der Rechtssprechung des EuGH, sagte Forgo. Im Erwägungsgrund 184 geht der EuGH auch im Detail darauf ein, denn da heißt es: Es bestehe die Gefahr, dass Methoden eingesetzt würden, „die von den Sicherheits- und Nachrichtendiensten der Mitgliedstaaten in Verfolgung anderer Ziele als der der Richtlinie verwaltet und betrieben werden, und, dass solche Analysen die Form einer Datenexploration (data mining) annehmen können.“

Schon jetzt definieren Algorithmen - unter anderem auf Basis der „flight history“ einer Person - die Vorauswahl jener Personen, deren Datensätze rund um den Grenzübertritt genau analysiert werden. Auch das ist nicht statthaft, der EuGH merkt dazu an, dass eine Überprüfung dieser Methode durch die Kommission aus den Jahren 2018 und 2019 ergeben habe, dass fünf von sechs so generierten „Treffern“ völlig Unbeteiligte trafen. In Folge wurden diese Personen bei jedem neuen Flug beobachtet und nach ihrer Landung oft eingehend „befragt“. Nach diesem Urteil ist ein solcher Automatismus unzulässig, wenn diese Vorabselektion nicht durch Beamte überprüft wird.

Data-Mining der CIA in europäischen Finanztransaktionen

Die Judikatur-Linie, die sich durch alle Urteile des EuGH zum Massenabgriff von Daten zieht, ist es, die systematische Akkumulierung großer Mengen an personenbezogenen Datensätzen zu verhindern, weil die Gefahr des Missbrauchs kontinuierlich steigt, je umfassender die Datensammlung wird. Ein schlagendes Beispiel dafür, ist ein weiterer, transatlantischer Vertrag namens TFTP („Terrorist Finance Tracking Program“) von 2010, besser bekannt als SWIFT-Abkommen, in dessen Rahmen seither große Mengen europäischer Finanztransaktionsdaten an das US-Finanzministerium übermittelt werden. Dort werden sie durchsucht und mit Daten aus dem amerikanischen TFTP-Programm abgeglichen, um Geldflüsse zur Terrorfinanzierung zu entdecken.

All das passiert unter europäischer Aufsicht inklusive einem Vetorecht gegen einzelne Abgleiche und einem Verbot der Weitergabe dieser Daten an andere US-Behörden. Schon der TFTP-Vertrag verbietet nämlich automatisierte Mustersuche, denn Data-Mining wurde ja nicht erst 2022 erfunden. Anfang Februar dieses Jahres wurde nun bekannt, dass diese massiven Datensätze seit spätestens 2016 von der CIA abgegriffen, auf Vorrat gespeichert und mit einer KI-Anwendung durchforstet werden. Fünf Monate, nachdem der US-Kongress offiziell bekanntgegeben hat, dass die CIA seit 2016 Data-Mining in europäischen Finanztransaktionsdaten betreibt, hat die Kommission offiziell noch immer „keine Kenntnis“ dieses Sachverhalts.