Für die einen ist es Terrorbekämpfung, für die anderen ein Verstoß gegen Datenschutzgesetze: Die EU will nicht länger dulden, dass das US-amerikanische Department für Homeland Security (DHS) nach eigenem Ermessen in den Fluggastdaten des Rechenzentrums Amadeus in Aufhausen bei Erding herumstöbern darf.
Die USA hatten sich ihre Administratorenrechte bei Amadeus mit Druck auf die Fluglinien erzwungen: Wer nicht zustimmt, darf auf US-Flughäfen nicht mehr landen. Mitte September aber hat EU-Kommissarin Cecilia Malmström das Legislativpaket zur Verarbeitung und Weitergabe von Fluggastdatensätzen im Europäischen Parlament vorgestellt. Es enthält ein "Verhandlungsmandat": Brüssel will dem US-Datenkraken nun auf die Finger klopfen.
Das Rechenzentrum Amadeus gilt als Erdings größter Gewerbesteuerzahler und ist die Nummer eins unter den Abwicklern von Reisetransaktionen. Die Datenbank zeigt die Verfügbarkeit für weltweit mehr als 480 Fluggesellschaften, 322 Hotelketten und 47 Mietwagengesellschaften an. Wer eine Reise bucht, landet mit Name, Geburtsdatum, Heimat- und Arbeitsanschrift, Kreditkarteninformationen, IP-Adresse und sonstigen sensiblen Daten im Rechensystem in Aufhausen.
Auf dieses Computerreservierungssystem haben allerdings auch US-Behörden wie das Department for Homeland Security direkten Zugriff. Dieses Ministerium wurde als Antwort auf die Terroranschläge am 11. September 2001 geschaffen und ist mit mehr als 200.000 Beschäftigten die drittgrößte Bundesbehörde der USA. Im DHS wurden die Sicherheitskontrollen an den Flughäfen, der Zoll und die Küstenwache zusammengelegt. Die USA nutzen die Daten von europäischen Flugreisenden bereits seit 2003. Sie werden in den USA 15 Jahre lang gespeichert.
Amadeus hat im Kampf gegen den Terrorismus den USA schon früher Amtshilfe geleistet: Nach Informationen der Erdinger SZ war das Aufhausener Rechenzentrum mit Reisedaten von Mohammed Atta behilflich - einem der Attentäter des 11. September 2001. Auch der deutsche Geheimdienst ist offenbar als technisches Rückgrat in das Erdinger Rechenzentrums involviert: Beim Bundesnachrichtendienst in Pullach werden nach Informationen der Erdinger SZ Datenkopien der Aufhausener Rechner erstellt, für den Fall, dass das System in Erding durch einen terroristischen Anschlag ausfallen sollte.
Das Europäische Parlament will den Austausch der Passenger Name Records (PNR), wie die Fluggastdaten auch genannt werden, gar nicht unterbinden. Es will lediglich "den Zweck der Datenübermittlung klar auf die Bekämpfung des Terrorismus und der organisierten Kriminalität begrenzen", wie die EU-Abgeordnete Birgit Sippel (SPD) erläuterte, die Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres ist. Der Streit dreht sich um die Anwendung des Push- oder des Pull-Systems: "Pull" ist das seit Jahren praktizierte System, den Amerikanern einen andauernden Online-Zugriff auf die in Aufhausen gespeichterten Daten zu ermöglichen. "Push" steht für den von den Europäern favorisierten Weg, der US-Behörde nur jene Daten zur Verfügung zu stellen, die mit den europäischen Datenschutzgesetzen vereinbar sind. Die technischen Voraussetzungen für Push existieren längst.
Edward Hasbrouck, der im April dieses Jahres zu diesem Thema vom EU-Parlament als Experte geladen war, moniert, dass sich unter den Reservierungsdaten der Fluggesellschaften, wie sie bei Amadeus zusammenlaufen, auch sehr private Daten befänden: Beispielsweise Angaben darüber, mit wem man gereist ist, ob das ein Mann oder eine Frau war, ob sie bei einer Übernachtung zwischen zwei Langstreckenflügen ein Zimmer mit getrennten Betten oder Doppelbett gebucht haben. In der Datenbank stünde also letztlich auch, wer mit wem schläft.
Die Daten würden in den USA dazu genutzt, um Verbindungen zwischen Menschen herzustellen, sagte Hasbrouck in einem Interview mit der Zeit: "Es gibt einen individuell ermittelten Risikoindikator. Es handelt sich um eine Verdachtgenerierungsmaschine, eine Art Sippenhaftsystem. Wenn ich zum Beispiel in einem Hotel absteige und von der dortigen Telefonnummer aus eine Fluglinie anrufe und Jahre später ein Terrorverdächtiger in diesem Hotel nächtigt und diesen Telefonanschluss nutzt, gibt es in der Datenbank einen direkten Link zwischen mir und dem Terrorverdächtigen. Auf diese Weise wird jeder wie ein Verdächtiger behandelt." Wenn der Risikoindikator schlecht für den Betreffenden ausfalle, gäbe es für ihn beim Check-In kein Boarding-Ticket und er dürfe nicht fliegen - ohne, dass er oder die Fluglinie jemals erfahren würde, warum.
Das Europäische Parlament hat im Mai 2010 die Abstimmung über die Neuauflage des vorläufig in Kraft gesetzten Fluggastabkommens vertagt und auf den Herbst dieses Jahres verschoben. Kritiker hatten die verdachtslose Vorratsdatenspeicherung als schweren Eingriff in die Bürgerrechte bewertet. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, bezeichnete den "fortdauernden Online-Zugriff der US-Behörden als Verstoß gegen das Abkommen, der gegebenenfalls eine Kündigung zur Folge haben müsste". Bei Amadeus lehnt man es ab, das Thema zu kommentieren: "Wir sind in die Entscheidung über die Datenlieferung in die USA nicht eingebunden."