Homeland Security wirbt für Datenschutz

Das US-Heimatschutzministerium bemüht sich, Verständnis für seine umfangreichen Kontrollmaßnahmen im Rahmen der Terrorbekämpfung zu schaffen. ORF.at sprach mit John W. Kropf, dem Vizechef der Datenschutzabteilung im Heimatschutzministerium, über die unterschiedlichen Auffassungen von Privatsphäre in Europa und den USA.

"In Europa herrscht die falsche Auffassung, dass es in den USA keinen Datenschutz gebe", sagt Kropf. Der Jurist, der seit drei Jahren im US-Heimatschutzministerium [Department of Homeland Security, DHS] arbeitet, befindet sich zu einer Konferenz zum Thema Flughafensicherheit und Technologie in Wien und lud am Mittwoch zu einem Pressegespräch.

Seine zentrale Botschaft: "Datenschutz und Sicherheit schließen einander nicht aus. Wenn man sie gegeneinander ausspielt, wird einer der beiden Aspekte beschädigt."

Im Zeitalter der verdachtsunabhängigen Massenspeicherung von Flugpassagierdaten und des grenzüberschreitenden Austauschs von Polizeidaten nach Vorbild des Prümer Vertrags ist das keine leichte Aufgabe. Kropf gibt zu: "Manchmal müssen wir das unseren eigenen Leuten beibringen."

John W. Kropf, Vizechef der Datenschutzabteilung im US-Heimatschutzministerium

• DHS: Privacy Office

Unterschiedliche Begriffe

Kropf bemühte sich, die Unterschiede und Gemeinsamkeiten der Datenschutzsysteme in den USA und den EU-Mitgliedsländern herauszuarbeiten. "Die Unterschiede fangen schon bei den Begriffen an", sagt Kropf. "Während wir von 'Privacy' reden, sprechen unsere europäischen Gegenüber von 'Data-Protection'. Wir meinen oft dasselbe, aber die verschiedenen Begriffe führen oft zu Missverständnissen. Am Ende haben wir beide einen harten Job, weil wir die Sicherheitsleute davon überzeugen müssen, dass der Datenschutz auch für sie wichtig ist."

Während es in den EU-Staaten ein System unabhängiger Datenschützer gebe, setzten die USA auf einen dezentral-vernetzten Ansatz mit verschiedenen Kontrollebenen.

Die einzelnen Ministerien haben ihre Datenschutzabteilungen, die ihre Aufgaben aufgrund von Gesetzen wie dem Privacy Act von 1974 und dem Informationsfreiheitsgesetz Freedom of Information Act [FOIA] erfüllen. Diese Datenschützer wiederum werden vom Kongress und den Gerichten kontrolliert.

Mehr zum Thema:

• US-Heimatschutz: Neue Flughafenchecks

• DHS startet Beschwerdeprogramm

Vorschriften und Richtlinien

Die wichtigsten Instrumente der behördlichen US-Datenschützer seien die auch im Web veröffentlichten Richtlinien für Datenanwendungen. Jedes Mal, wenn ein Ministerium eine neue solche Anwendung einrichtet, ist es dazu verpflichtet, eine Mitteilung [System of Records Notice, SORN] zu verfassen, in der Zweck und Umstände der Datensammlung detailliert aufgeführt werden.

Ein verwandtes Werkzeug ist das Privacy Impact Assessment [PIA]. Kropf: "Entwickler technischer Systeme müssen genau dokumentieren, welche Auswirkungen ihre Aktivitäten auf die Privatsphäre haben. Wenn sie das unterlassen, riskieren sie, dass ihren Projekten die finanzielle Unterstützung gestrichen wird." Bisher habe die Datenschutzabteilung des DHS 128 solcher PIAs veröffentlicht.

Die Speicherfristen

In diesen Richtlinien zur Datenverarbeitung ist beispielsweise festgelegt, wie die US-Dienste mit den gesammelten Flugpassagierdaten [Passenger Name Records, PNR] umgehen. Kropf schildert, wie es seiner Abteilung gelungen sei, die Entwickler des Automated Targeting System [ATS], das für die Auswertung der Passagierdaten zuständig ist, von einer Datenspeicherfrist von ursprünglich 40 Jahren auf 15 Jahre herunterzuhandeln.

"Wir haben gefragt, wie sie diese Speicherfrist rechtfertigen. Sie sagten dann, dass sie sie brauchten, um die Muster in den Flugreisen von Terroristen zu erkennen, und wiesen darauf hin, dass am Bombenanschlag auf das World Trade Center von 1993 auch Personen beteiligt waren, die dann auch beim Anschlag vom 11. September eine Rolle spielten. Sie wollten die Verbindungen rekonstruieren, die sich im Lauf dieser acht Jahre ergeben haben, und sehen, ob sich da Muster feststellen lassen. Wir haben uns schließlich auf eine Speicherdauer von 15 Jahren geeinigt", sagt Kropf.

Die Speicherfrist der Datenanwendungen müsse auch von der National Archives and Records Administration genehmigt werden, die vom Heimatschutzministerium unabhängig sei. Wichtig sei, so Kropf, dass die gesammelten Daten, wie in den Richtlinien festgelegt, ausschließlich von den zuständigen Behörden zu den vordefinierten Zwecken verarbeitet würden. "Die Flugpassagierdaten dienen zuallererst dazu, die Reisenden daraufhin zu überprüfen, ob gegen sie wegen krimineller Aktivitäten ermittelt wird", so Kropf.

Als weiteren Erfolg der DHS-Datenschützer führt Kropf das TRIP [Traveller Redress Inquiry Program] an, das die Auskunftsrechte des Privacy Act, die ansonsten nur für US-Bürger und in den USA registrierte Ausländer gelten, auf alle Reisenden ausweitet, ihnen Einsicht in die vom DHS gespeicherten Daten gewährt und ihnen die Möglichkeit gibt, diese zu ergänzen oder richtigzustellen. Jedermann, der bei Grenzkontrollen Schwierigkeiten erlebt habe, könne sich über das Internet an TRIP wenden, sagt Kropf.

• National Archives and Records Administration

Internationale Abkommen

Der DHS-Datenschützer lässt mit der gebotenen diplomatischen Zurückhaltung durchblicken, dass es für seine Abteilung zuweilen schwierig ist, an den Verhandlungen zu internationalen Abkommen beteiligt zu werden.

"Wir legen großen Wert darauf, dass das Ministerium uns zu internationalen Verhandlungen zulässt. Es kann nicht sein, dass dort nur Leute aus dem Sicherheitsapparat sitzen. Man braucht dabei auch Datenschützer und ein breites Spektrum an anderen Experten auf beiden Seiten. So sollte es idealerweise ablaufen. Bei den Flugdatenverhandlungen mit der EU im Juni 2007 waren wir dabei", so Kropf.

Auf das jüngste Abkommen der US-Behörden mit Deutschland über den Polizeidatenaustausch nach Vorbild des Prümer Vertrags angesprochen, sagt Kropf, dass die USA auch weitere solcher Abkommen strikt auf bilateraler Ebene abhandeln würden. Das gilt auch für ein Abkommen mit Österreich, wie es im März 2008 von Innenminister Günther Platter [ÖVP] bei einem Treffen mit US-Justizminister Michael Mukasey im slowenischen Brdo angedeutet wurde. Auch bei solchen Abkommen sei es wichtig, Datenschutzexperten auf beiden Seiten hinzuzuziehen, so Kropf.

Mehr zum Thema:

• Deutsche Polizeidaten für die USA

• Platter erwägt Polizeidatentausch mit USA

Für eine Handvoll Dollar

Die kulturellen Unterschiede in Sachen Datenschutz zwischen den USA und den EU-Mitgliedsstaaten seien zuweilen groß. Aus seiner Erfahrung hätten US-Bürger überhaupt kein Problem damit, auch intimste Daten wie Sozialversicherungsnummer und die Namen ihrer Kinder ihrer Videothek mitzuteilen, wenn sie dafür fünf Dollar Rabatt bekämen. "Andererseits sind sie sehr skeptisch, wenn es darum geht, der Regierung ihre persönlichen Daten zu übermitteln. Sie wollen, dass sich die Regierung aus ihrem Leben heraushält. Sie wollen auch keine Personalausweise."

In Europa sei es genau umgekehrt. Die Bürger hätten weniger Probleme damit, wenn der Staat Daten sammle, zeigten aber umso mehr Skepsis gegenüber Privatunternehmen.

"In Österreich besteht Meldepflicht. Wenn wir die in den USA einführen wollten, gäbe es einen Volksaufstand", sagt Kropf, dem seinerseits bei Besuchen in Europa mulmig wird: "Neulich war ich zu Verhandlungen in Brüssel, bei denen es auch um Datenschutzfragen ging. Da habe ich im Konferenzraum ein Schild entdeckt, das auf das Vorhandensein einer Überwachungskamera hinwies. Dazu gab es aber keine weiteren Informationen. Darunter hing nur ein weiteres Schild mit einem grinsenden Smiley darauf."

(futurezone | Günter Hack)