Manchmal ist Europa doch noch weit weg. Jedenfalls schwieg die Bundesregierung erst einmal angestrengt, nachdem der Europäische Gerichtshof (EuGH) in Luxemburg Ende 2016 jede "anlasslose" Form der Vorratsspeicherung von Telefon- und Internetdaten für rechtswidrig erklärt hatte. Ganz so, als betreffe dies Deutschland mit seiner zwar zurückhaltenden, aber unzweifelhaft anlasslosen Vorratsdatenspeicherung nicht - weil es formal ja um Gesetze aus Schweden und Großbritannien ging. Erst nach einer Entscheidung des Oberverwaltungsgerichts Münster wurde die deutsche Speicherpflicht ausgesetzt.
An diesem Mittwoch steht wieder das Thema Datenschutz auf der Tagesordnung des EuGH, auch dieses Mal geht es um einen großen Speicher mit den Daten Unverdächtiger, und wieder könnte die Bundesregierung sagen: Geht uns eigentlich nichts an. Das ist einerseits richtig, denn das Gericht hat über ein vom EU-Parlament beantragtes Gutachten zu einem Abkommen zwischen Kanada und der EU zu befinden. Es geht darum, dass Fluggastdaten fünf Jahre lang gespeichert werden sollen - etwa Reisewege, Begleiter, Zahlungsmittel, Telefonnummer und Mail-Adresse sowie Sonderwünsche beim Essen. Mit Australien und den USA hat die EU vergleichbare Abkommen geschlossen.
Doch Deutschland wird sich auch dieses Mal nicht wegducken können. Denn die Grundsätze, die der EuGH für das Verhältnis zu Kanada aufstellen wird, gelten auch für die im vergangenen Jahr beschlossene EU-Richtlinie zur Speicherung von Fluggastdaten. Und dazu gibt es ein deutsches Umsetzungsgesetz, beschlossen Anfang Juni; es soll im Mai 2018 in Kraft treten.
Eingriffe in die Grundrechte auf das "absolut Notwendige" beschränken
Das Gutachten zum EU-Kanada-Abkommen wird also Präzedenzcharakter haben, vor allem hinsichtlich der sehr großzügigen Speicherfrist von fünf Jahren. Welche gigantischen Informationsmengen da zusammenkommen, illustriert die Zahl der Flugreisenden zwischen Kanada und der EU im Jahr 2014 - es waren 28 Millionen.
In den knapp zehn Jahren seiner Rechtsprechung zum Datenschutz hat der EuGH eines immer wieder betont: Eingriffe in die Grundrechte Betroffener müssen auf das "absolut Notwendige" beschränkt bleiben. Bei den Fluggastdaten, die bei der Bekämpfung von Terrorismus und Schwerkriminalität helfen sollen, läuft das auf die Frage hinaus: Gibt es wirklich keine effektive Form der Polizeiarbeit außer der flächendeckenden Massenspeicherung über einen derart langen Zeitraum hinweg? Oder existieren Alternativen - kürzere Fristen, weniger Daten? EuGH-Generalanwalt Paolo Mengozzi äußerte im September 2016 in seiner Stellungnahme jedenfalls erhebliche Zweifel: Die Beteiligten hätten nicht ausreichend begründet, dass die Fünf-Jahres-Frist erforderlich sei.
Es geht um die Verhütung bevorstehender Verbrechen
Der Hauptzweck der Sammelei ist indes - anders als bei den Telekommunikationsdaten - nicht die nachträgliche Aufklärung von Straftaten, sondern die Verhütung bevorstehender Verbrechen. Wie das funktionieren soll, lässt sich am Beispiel des deutschen Fluggastdaten-Gesetzes illustrieren, auf dessen Grundlage das Bundeskriminalamt von Mai 2018 an die Datenpools durchforsten wird. Danach sollen die Daten mit bestehenden Fahndungsdateien wie Inpol und dem Schengener Informationssystem abgeglichen werden - aber das ist nur der einfache Teil der Arbeit. Die Fahnder wollen zudem mit bestimmten Mustern arbeiten, die ungewöhnliches Verhalten erkennbar machen. Wer merkwürdige Flugrouten mit absurden Umwegen bucht und damit nicht einmal Geld spart, der könnte von einem Algorithmus identifiziert werden; gut möglich, dass die Beamten von der Sicherheit dann vor dem Boarding noch ein paar Fragen an den Passagier haben.
Es geht also um automatisierte Ermittlung künftiger Risiken. Das klingt nach der Precrime-Polizei aus "Minority Report", die durch "Präkognition" Morde verhindern soll. Man darf gespannt sein, was der EuGH dazu sagt.
Ein Einwand jedenfalls hat sich bereits im - unverbindlichen, aber oft vom Gericht beachteten - Votum des Generalanwalts angekündigt. Nach dem EU-Kanada-Abkommen ist es jedenfalls nicht ausgeschlossen, dass auch "sensible Daten" in die automatisierte Suche einbezogen werden - Religionszugehörigkeit, ethnische Herkunft, politische Positionen, Gesundheitszustand, sexuelle Orientierung, Gewerkschaftszugehörigkeit. Es ist leicht abzusehen, wozu solche Datensätze führen können - zu vielen "falschen" Treffern, zum Beispiel bei Muslimen. Der Generalanwalt hat daher für den Ausschluss dieser Kriterien plädiert; es wäre überraschend, wenn der EuGH dies anders sähe. Die EU hat diese Konsequenz übrigens an anderer Stelle bereits selbst gezogen: Anders als im Kanada-Abkommen ist in der Fluggastdaten-Richtlinie die Verarbeitung solcher sensibler Daten nicht vorgesehen.
Der EuGH wägt sorgfältig Grundrechte gegen Sicherheitsnutzen ab
Sicherheit versus Datenschutz: Letztlich prallen hier gegensätzliche Paradigmen der EU-Institutionen aufeinander. Der EuGH pocht auf seinen strengen Maßstab der "strikten Erforderlichkeit" und wägt sorgfältig die grundrechtlichen Kosten gegen den Sicherheitsnutzen ab. Die EU-Kommission dagegen sieht sich zunehmend dem Leitspruch "Viel hilft viel" verpflichtet. Erst vor Kurzem hat das Parlament einem weiteren, von der Kommission angelegten Datenpool zugestimmt. Danach werden bei der Ein- und Ausreise Fingerabdrücke und Gesichtsbilder von Nicht-EU-Bürgern gespeichert - vier Jahre lang.
Der EU-Abgeordnete Jan Philipp Albrecht (Grüne) hält das Milliardenprojekt nur für ein weiteres Instrument der Generalüberwachung ohne wirklichen Nutzen. Denn für Personen, nach denen gefahndet wird, gibt es ja schon einen Datenpool - das Schengener Informationssystem. Vergangenes Jahr gab es da europaweit knapp vier Milliarden Abfragen.
