Handel und Wirtschaft werden. Wenn das Unternehmen den Score-Wert nicht selbst errechnet, sondern von einem Dienstleistungsunternehmen oder einer Auskunftei erhält, ist auch für das Unternehmen selbst häufig nicht erkennbar, welche Merkmale die konkrete Bewertung maßgeblich prägen. Es erfährt nur, dass die Person zur Risikoklasse „F“ mit einem „Ausfallrisiko 34,73 %“ gehört. Das verrät nichts über die eventuell zweifelhaften Kriterien oder eine veraltete Datenbasis, die der Berechnung zugrunde liegen können. Die mangelnde Transparenz schränkt die Möglichkeit der Betroffenen ein, gegebenenfalls Mängel der dem Scoring zugrunde liegenden Daten festzu- stellen. Zugleich können sich die Betroffenen auch nicht als Ausnahme von der statistischen Regel beweisen. Das ist besonders dann verhängnisvoll, wenn der negative Score-Wert automatisiert ohne Beteiligung eines Men- schen zur Ablehnung des Vertrags führt. Beeinträchtigende Entscheidungen wie die Ablehnung eines Vertragsschlusses dürfen nach dem BDSG nicht ausschließlich auf Basis von Scoring-Verfahren getroffen werden. Scoring-Verfahren zur Bonitätsprüfung sollten neben dem gesetzlichen Ver- bot der automatisierten Einzelentscheidung die folgenden drei Eckpunkte beachten: 1. Solide Datengrundlage: Beschränkung auf branchenrelevante und zutreffende Informationen zu Zahlungsverhalten, Einkommens- und Vermögensverhältnissen. 2. Diskriminierungsverbot: Geschlecht, Herkunft, Wohnumfeld sowie sensitive Daten der Bewerteten dürfen nicht in den Score einfließen. Auch das Alter der Betroffenen ist nur bedingt bonitätsrelevant. 3. Transparenz: Die Beurteilten müssen nachvollziehen können, welche Daten zu ihrer Person in die Berechnung einfließen und welche Merkmale ihren aktuellen Score-Wert maßgeblich prägen. Damit Scoring-Verfahren zur Bonitätsbewertung nicht zu Benachteiligungen führen, müssen die Verfahren in jedem Fall auf einer soliden Datengrundlage arbeiten und Transparenz gewährleisten. 5.8     Kreditfabriken Jede zweite deutsche Bank plant, innerhalb der nächsten Zeit Teile ihres Geschäfts wie zum Beispiel den Zahlungsverkehr oder das Wertpapiergeschäft an externe Dienstleistungsbetriebe auszulagern. LDI NRW 17. Datenschutzbericht 2005                                          63

Handel und Wirtschaft Immer häufiger wird dabei auch die Auslagerung des Kreditbereichs an so genannte Kreditfabriken ins Auge gefasst. Kreditfabriken sind externe Dienstleistungsunternehmen, die sich auf die Bearbeitung und Abwicklung von Kreditprozessen spezialisieren und zum Teil auch selbst über die Vergabe von Krediten entscheiden. Sie existieren bislang vor allem im Bereich der Privatkredite und Baudarlehen. Ziele der Auslagerung in Kreditfabriken sind die industrielle Abwicklung der Kreditprozesse und die mit dem Massengeschäft verbundenen Kosten- einsparungen. Statt der bislang in der herkömmlichen Kreditsachbearbeitung jährlich bearbeiteten circa 250 Kreditanträge pro Sachbearbeitung sollen durch die industrielle Abwicklung 600 und mehr bearbeitete Anträge mög- lich werden. Dies wird erreicht über vollautomatische Abwicklungsabläufe und standardisierte Arbeitsprozesse, die zentral bei der Kreditfabrik geführt werden. Die Vorbereitung der Kreditentscheidung durch die Kreditfabrik läuft dann beispielsweise nach dem folgenden Muster ab: Die Banken, die die Kreditentscheidung über die Kreditfabrik abwickeln, schicken den Kre- ditantrag mit den dazugehörigen Unterlagen wie etwa Einkommensnachwei- sen und Grundbuchauszug per Post oder Internet an die Kreditfabrik. Dort wird eine digitale Kreditakte angelegt, automatisch die Bonitätsauskunft bei der SCHUFA eingeholt und anschließend eine Berechnung über die Ausfallwahrscheinlichkeit durchgeführt. Gegebenenfalls wird dafür auf einen extern durch die SCHUFA errechneten Wert zurückgegriffen. Der errechnete       Entscheidungsvorschlag    wird    schließlich      von       der Sachbearbeitung auf seine Plausibilität geprüft, bevor er zusammen mit der digitalen Kreditakte an die Bank zurückgeschickt wird. Die von den Kreditfabriken angebotenen Dienstleistungen können neben der Kreditprüfung und -vergabe auch die Sanierung und Abwicklung „notleidender“ Kreditengagements umfassen. In diesem Fall übernimmt die Kreditfabrik auch die Übernahme des Mahn- und Inkassogeschäfts. Unter den Kreditfabriken vertreten sind ebenso Modelle des reinen Back-Office- Betriebes innerhalb einer Tochtergesellschaft der auslagernden Bank wie unternehmensübergreifende Angebote einer externen Kreditsachbearbeitung für verschiedene Institute. Ähnlich wie in den USA, wo bei den Bankprodukten bereits seit geraumer Zeit der Trend hin zur Spezialisierung geht, sollen sich künftig auch in Deutschland Spezialbanken entwickeln, an die komplette Kreditengagements vermittelt werden. Kreditanträge von Kundinnen und Kunden, die nicht in das Angebot der Vertriebsbank passen, können dann gegen eine Provision über die Kreditfabrik an andere Banken 64                                            LDI NRW 17. Datenschutzbericht 2005

Handel und Wirtschaft als Kreditgeberin vermittelt werden. In den USA sind inzwischen beispielsweise Baufinanzierungen aus einer Hand – wie in Deutschland noch traditionell der Fall – gänzlich unbekannt. Die Kreditnehmenden wissen dort oft nicht, welches Institut hinter der Finanzierung ihrer Vorhaben steht. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hält eine Aus- lagerung des Kreditbereichs unter bestimmten im Kreditwesengesetz (KWG) geregelten Voraussetzungen grundsätzlich für möglich. Neben den Anforderungen des KWG, deren Einhaltung von der BaFin beaufsichtigt werden, sind jedoch auch datenschutzrechtliche Vorschriften zu beachten. Dabei stellt sich zunächst die Frage, ob die Auslagerung des Kreditgeschäfts in eine Kreditfabrik als Auftragsdatenverarbeitung oder im Rahmen einer so genannten Funktionsübertragung erfolgt. Bei einer Auftragsdatenverar- beitung könnte für die mit der Auslagerung verbundene Weitergabe der Kundendaten an die Kreditfabrik auf eine besondere Rechtsgrundlage ver- zichtet werden. Ist dagegen mit der Auslagerung des Kreditbereichs die Übertragung selbständiger Funktionen verbunden, ist wegen des Bankge- heimnisses in jedem Einzelfall die Einwilligung der Antragstellerinnen und Antragsteller in die Übermittlung ihrer Daten an die Kreditfabrik erforder- lich. Die Unterscheidung zwischen Auftragsdatenverarbeitung und Funkti- onsübertragung ist darüber hinaus entscheidend dafür, welche Stelle für die Einhaltung der datenschutzrechtlichen Vorgaben und die Wahrung der Rechte der Betroffenen wie zum Beispiel die Erfüllung des Auskunftsan- spruchs verantwortlich ist. Im Falle einer Auftragsdatenverarbeitung bleibt im Verhältnis zu den Kundinnen und Kunden die auslagernde Bank nach außen verpflichtet. Übernimmt dagegen die Kreditfabrik selbständige Funk- tionen, wird sie selbst zur verantwortlichen Stelle und muss in Bezug auf die bei ihr vorgenommene Datenverarbeitung Auskunfts-, Löschungs- und Berichtigungsansprüche der Betroffenen erfüllen. Eine pauschale Aussage zur Abgrenzung kann nicht getroffen werden. Ent- scheidend ist die individuelle Gestaltung der Beziehung zwischen der ausla- gernden Bank und der Kreditfabrik. Dabei spielt allerdings keine Rolle, ob die Kreditfabrik als konzernangehörige Tochtergesellschaft der Bank die Kreditbearbeitung übernimmt. Die gesellschaftsrechtlichen und wirtschaftli- chen Zusammenhänge bleiben bei der datenschutzrechtlichen Beurteilung unberücksichtigt. Die mit der Einschaltung einer Kreditfabrik verfolgten Automatisierungsef- fekte werden nicht zuletzt durch den Einsatz von Verfahren zum Credit- LDI NRW 17. Datenschutzbericht 2005                                         65

Handel und Wirtschaft Scoring bei der Bonitätsprüfung erreicht. Der Einsatz derartiger Verfahren führt aufgrund der mit ihnen verbundenen Standardisierung zu einer Redu- zierung des Aufwandes für die kostenintensive Bonitätsprüfung. Der ermit- telte Score-Wert zeigt an, wie hoch das statistische Ausfallrisiko für den be- antragten Kredit ist. Wird ein bestimmter Score-Wert erreicht, wird der Kre- ditantrag in der Regel ohne weitere Prüfung abgelehnt. Spätestens mit In- krafttreten der Eigenkapitalvereinbarung Basel II wird das Ergebnis des Credit-Scorings auch ausschlaggebend für die Höhe der aus dem Darlehens- verhältnis verlangten Zinsen sein. Der Score-Wert wird dann selbst im Falle der Kreditbewilligung direkt finanziell spürbar. Es bestehen verschiedene Möglichkeiten des Credit-Scorings. Entweder führt die Kreditfabrik ein eigenes internes Scoring-Verfahren durch oder sie bedient sich eines externen Dienstleisters wie der SCHUFA. In diesem Fall verknüpft die SCHUFA die bei ihr vorhandenen Daten zur Zahlungswilligkeit und -fähigkeit mit den bei Antragstellung erhobenen persönlichen Daten der Antragstellerin oder des Antragstellers, welche ihr von der Kreditfabrik zur Verfügung gestellt werden. Die SCHUFA errechnet daraus den Score-Wert, der dann in die anschließend von der Kreditfabrik vorgenommene Bonitätsbewertung einfließt. Soweit dabei ein negativer Score-Wert automatisch zur Ablehnung des Kreditantrags führen soll, gilt § 6a BDSG. Nach dieser Vorschrift dürfen beeinträchtigende Entscheidungen wie die Ablehnung eines Kreditantrags nicht ausschließlich auf Basis automatisierter Datenverarbeitungen getroffen werden. Ein Score-Verfahren ist nach Auffassung des Gesetzgebers ein Musterfall für eine derartige automatisierte Datenverarbeitung. Eine Ausnahme von dem Verbot der automatisierten Einzelentscheidung gilt nur dann, wenn die berechtigten Interessen der Kreditsuchenden beispielsweise dadurch gewahrt werden, dass sie ihren Standpunkt geltend machen können und die Entscheidung daraufhin noch einmal von einem Menschen überprüft wird. Die Gefahr, dass bei der Bonitätsbewertung ein schiefes Bild entsteht und die Betroffenen in ihrer Kreditfähigkeit nicht hinreichend gewürdigt werden, ist gerade beim Einsatz von softwarebasierten Verfahren zur Bonitätsbewertung groß. Den Betroffenen wird in der Regel keine Auskunft über den zu ihrer Person errechneten Score-Wert erteilt. Oftmals fehlt auch den kreditbearbeitenden Sachbearbeiterinnen und Sachbearbeitern selbst der Einblick in die Art der verwendeten Daten und die Methodik der Errechnung des Score-Wertes. Nach dem BDSG haben die betroffenen Kreditsuchenden, deren Antrag aufgrund eines negativen Score-Wertes 66                                             LDI NRW 17. Datenschutzbericht 2005

Handel und Wirtschaft abgelehnt wurde, jedoch nicht nur einen Anspruch auf Mitteilung des zu ihrer Person errechneten Score-Wertes, sondern auch zu der Methodik und der Bewertungsgrundlage des Credit-Scorings. Die Aufsichtsbehörden werden im nächsten Jahr unter Vorsitz der LDI NRW gerade mit Blick auf die Umsetzung von Basel II dem Credit-Scoring besondere Aufmerksamkeit widmen und datenschutzrechtliche Rahmenbe- dingungen des Einsatzes von Verfahren zum Credit-Scoring erarbeiten. 5.9     Kleine Gefälligkeiten – kein Kavaliersdelikt! Auch die Verpflichtung auf das Datengeheimnis scheint einige Beschäf- tigte nicht davon abzuhalten, im Rahmen einer „kleinen Gefälligkeit“ Bekannten oder Verwandten Informationen über Kundendaten zu- kommen zu lassen. Da die Beschäftigten meist mit dem Vorsatz han- deln, sich oder einen anderen zu bereichern beziehungsweise einen an- deren zu schädigen, liegt vielfach nicht nur der Tatbestand einer Ord- nungswidrigkeit, sondern sogar einer datenschutzrechtlichen Straftat vor. Oft fällt es jedoch schwer, den Verstoß nachzuweisen. Technische und organisatorische Maßnahmen könnten das ändern und sind daher datenschutzrechtlich geboten. Im Berichtszeitraum häuften sich Beschwerden von Bürgerinnen und Bür- gern, die überwiegend im Rahmen eines gerichtlichen Unterhalts- oder Scheidungsverfahrens von der Gegenseite mit Informationen zur eigenen Person konfrontiert wurden, von denen die gegnerische Partei normaler- weise keine Kenntnis haben konnte. In einem Fall legte der geschiedene Ehemann im Unterhaltsprozess die Ko- pie einer Versicherungskundenkarte vor, wonach die Exehefrau zwischen- zeitlich einen neuen Lebenspartner im eigenen Haushalt mit versichert hatte. Unabhängig davon, dass der Eintrag des angeblichen Lebenspartners fälsch- licherweise vorgenommen wurde, hätte der Exehemann nicht im Besitz der Kundenkarte sein dürfen. Wie sich herausstellte, wurde er von einem Mitar- beiter der betreffenden Versicherungsagentur wegen des Abschlusses einer Kfz-Versicherung aufgesucht. Bei den hierfür erforderlichen Unterlagen habe der Vermittler ‚versehentlich’ die Kundenkarte der geschiedenen Ehe- frau zur Hausratversicherung zum Besprechungstermin mitgenommen und beim geschiedenen Ehemann liegen gelassen. Hier steht der Verdacht im Raum, dass der Mitarbeiter des Versicherungsunternehmens unrichtige Da- ten zur Exehefrau gespeichert und diese Daten an den geschiedenen Gatten LDI NRW 17. Datenschutzbericht 2005                                        67

Handel und Wirtschaft übermittelt hat, um ihm gegebenenfalls einen Vorteil in der nachehelichen Unterhaltsklage zu verschaffen. Daher wurde die Angelegenheit zur Prüfung des entsprechenden Straftatbestandes an die zuständige Staatsanwaltschaft abgegeben. Sollte die vorsätzliche Weitergabe der Daten mit Bereicherungs- oder Schädigungsabsicht nicht nachweisbar sein, käme eine Ordnungswid- rigkeit in Betracht, die mit einer Geldbuße bis maximal 250.000,-- Euro ge- ahndet werden kann. In einem anderen Fall wurde dem Betroffenen von seiner geschiedenen Ehe- frau nahegelegt, auch das Konto „xy“ bei der Aufstellung für die Zugewinn- gemeinschaft mit anzugeben. Überraschenderweise konnte sie ihm in die- sem Gespräch des Weiteren den exakten aktuellen Kontostand benennen. Das Konto war allerdings weit nach der Trennung angelegt worden, so dass der Exehefrau hierzu keine Informationen vorliegen konnten, insbesondere auch nicht zu dem aktuellen Kontostand. Sie selbst war Mitarbeiterin eines Kreditinstitutes und befreundet mit einer Beschäftigten der Bank des Betrof- fenen. Die Umstände lassen vermuten, dass die Bankangestellte die Infor- mationsquelle war. Das betreffende Kreditinstitut hatte jedoch kein techni- sches System eingesetzt, mit dem im Nachhinein festgestellt werden kann, welche Mitarbeiterinnen und Mitarbeiter welche Kundendaten eingesehen haben. Ohne diese Protokollierung von so genannten lesenden Zugriffen auf Kundendaten kann daher letztendlich nicht mehr festgestellt werden, welche Beschäftigten an dem entsprechenden Tag das Konto des Beschwerdeführers aufgerufen und gesichtet haben. Eine solche Protokollierung hat in einem weiteren Fall den Filialleiter einer Bank veranlasst, bei der Staatsanwaltschaft eine Selbstanzeige zu erstatten. Durch die bankeigene Innenrevision war festgestellt worden, dass der Fili- alleiter die Kontodaten des geschiedenen Ehemannes seiner Schwägerin ab- gerufen hatte. Auf diesem Konto waren die Gehälter des Exehemannes ein- gegangen, welche für die Berechnung des Kindesunterhaltes von Bedeutung waren. Die vermehrte Zahl der Beschwerden zeigt, dass grundsätzlich die Gefahr besteht, dass einzelne Mitarbeiterinnen oder Mitarbeiter in der verantwortli- chen Stelle Verstöße gegen Datenschutzbestimmungen begehen, die entwe- der eine Ordnungswidrigkeit oder sogar eine Straftat darstellen, aber in kei- nem Fall zu den „Kavaliersdelikten“ zählen. Wird der Aufsichtsbehörde die Möglichkeit genommen, diese Verstöße zu ahnden, ist hierin ein Organisa- tionsmangel nach der Anlage zu § 9 BDSG zu sehen (vgl. Urteil des Verwaltungsgerichts Hamburg vom 21.11.2002, Aktenzeichen 22 VG 68                                            LDI NRW 17. Datenschutzbericht 2005

Handel und Wirtschaft 2830/99). Dieser Mangel liegt im Verantwortungsbereich des Kreditinstituts, da es als verantwortliche Stelle technische und or- ganisatorische Maßnahmen zu treffen hat, die erforderlich sind, um die Aus- führung der Vorschriften des BDSG in einem angemessenen Verhältnis zum angestrebten Schutzzweck zu gewährleisten. Es liegt somit im Interesse des Kreditinstituts selbst, zum einen präventiv Maßnahmen einzuführen, die die ‚kleinen Gefälligkeiten’ weitestgehend verhindern und zum anderen repres- siv in einem Verdachtsfall zumindest feststellen zu können, wer von den Be- schäftigten in unzulässiger Weise auf Kundendaten zugegriffen hat. Die Obersten Datenschutzaufsichtsbehörden für den nicht öffentlichen Bereich haben daher der Kreditwirtschaft empfohlen, ihre innerbetriebliche Organisation den Anforderungen des Datenschutzgesetzes anzupassen. Insbesondere wenn sehr viele Beschäftigte auf die Daten der Kundinnen und Kunden zugreifen können, ist eine generelle Protokollierungspflicht auch der Lesezugriffe datenschutzrechtlich geboten. Die insoweit vorbildliche Praxis einiger Kreditinstitute zeigt, dass dies technisch und organisatorisch durchaus möglich ist. LDI NRW 17. Datenschutzbericht 2005                                          69

Verkehr 6     Verkehr 6.1     Passagierdatenübermittlung an U.S.-Zollbehörden Seit dem 5. März 2003 sind die europäischen Fluggesellschaften aufgrund amerikanischer Antiterrorismusgesetzgebung von den US- Zollbehörden schrittweise verpflichtet worden, den Zugriff auf ihre Passagierdatenbanken zu eröffnen. Nach langen Verhandlungen zwischen den Vereinigten Staaten und der Europäischen Union wurde am 28. Mai 2004 ein Abkommen unterzeichnet, das die bis dahin fehlende Rechtsgrundlage für diesen Datentransfer bilden soll. Die Datenschutzgarantien, die dieses Abkommen bietet, werden zu Recht von den Europäischen Datenschutzbehörden und dem Europäischen Parlament als nicht ausreichend angesehen. Nach den Anschlägen vom 11. September 2001 haben die Vereinigten Staaten verständlicherweise ein erhöhtes Sicherheitsbedürfnis. Das hat unter anderem auch unmittelbare Auswirkungen auf in Europa stattfindende Datenverarbeitungen. Diese Auswirkungen gehen allerdings über das hin- aus, was sich noch als Maßnahme zur Terrorismusbekämpfung begreifen lässt. Schon lange vor den Anschlägen war es beim Flugverkehr zwischen Europa und den Vereinigten Staaten Praxis, dass mit dem Abflug in Europa die Identitätsdaten aus Reisepass und Visum oder Aufenthaltsgenehmigung der an Bord befindlichen Personen an die US-Einwanderungsbehörde übermittelt wurden. Die Zollbehörde der Vereinigten Staaten, das United States Bureau of Customs and Border Protection, verlangte auf der Grundlage der nach den Anschlägen erfolgten US-amerikanischen Gesetzgebung zur Terrorismusbekämpfung - The Aviation and Transportation Security Act vom 19.11.2001 - von den Fluggesellschaften darüber hinaus bei Flügen in und aus den USA Zugriff auf deren Passagier- datenbanken. In Nordrhein-Westfalen sind die Lufthansa und die LTU von diesem Verlangen betroffen. Die Passagierdatenbanken enthalten alle Informationen, die für die Durchführung einer Flugreise erforderlich sind. Diese Informationen werden als „passenger name record“ – kurz PNR – bezeichnet. Im PNR sind etwa alle mit dem Buchungsvorgang in Zusammenhang stehenden Auskünfte enthalten, die die reisende Person macht. So sind Angaben zur Zahlungsweise, zum Beispiel die Kreditkartennummer, oder der Name des Reisebüros, in dem gebucht wurde, im PNR zu finden. Die Sitzplatznummer beim Flug, etwaige Speisewünsche während des Fluges oder aufgrund von 70                                           LDI NRW 17. Datenschutzbericht 2005

Verkehr Erkrankungen oder Behinderungen einer reisenden Person zu treffende Vorkehrungen sind ebenfalls in der Passagierdatenbank vermerkt. Gängige Bezeichnungen im PNR für solche Vorkehrungen sind cosher, moslem, hindu oder vegetarian meal für die Speisewünsche. Hinter den Systemkürzeln WCHR, BLD, DIS verbergen sich die Begriffe wheal chair, blind passenger, disabled passenger. Die meisten Passagiersysteme enthalten auch Felder, die mit einem beliebigen so genannten Freitext ausgestattet sein können. Es sollen sich darin vereinzelt sogar Vermerke dazu finden, dass Personen auf Flugreisen durch Alkoholmissbrauch oder Randalieren aufgefallen sind. Der von den Vereinigten Staaten verlangte Zugriff auf diese Passagierdaten war nach europäischem und deutschem Datenschutzrecht unzulässig. Ein wesentliches Problem bereitete die Tatsache, dass es in den Vereinigten Staaten insbesondere für Personen, die nicht die amerikanische Staatsbürgerschaft besitzen, keine angemessenen Datenschutzrechte gibt. Die Fluggesellschaften wurden daher mit den sich widersprechenden Rechtsanforderungen der Vereinigten Staaten zum Zwecke der Terrorismus- und Kriminalitätsbekämpfung einerseits und der Europäischen Union zum Datenschutz andererseits konfrontiert. Beide Rechtssysteme belegen ihre Nichtbefolgung mit empfindlichen Geldbußen. In diesem Dilemma für die Fluggesellschaften wollte die Europäische Kommission Unterstützung leisten und hat Verhandlungen mit den Vereinigten Staaten über die Bedingungen, unter denen die Übermittlung von Passagierdaten möglich ist, aufgenommen. Die Ergebnisse dieser Verhandlungen sind in einer Verpflichtungserklärung der US-Zollbehörde vom 11.05.2004 festgehalten. Mit einer Entscheidung vom 14.05.2004 hat die Europäische Kommission daraufhin festgestellt, dass das Datenschutzniveau bei der Verarbeitung der Passagierdaten in den USA angemessen sei. Des Weiteren wurde am 28.05.2004 ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten über die Passagierdatenübermittlung unterzeichnet. Aus Sicht der Kommission sind damit die Rechtsgrundlagen geschaffen, die die Übermittlung ermöglichen. Die einzelnen Dokumente sind nachzulesen unter www.europa.eu.int. Das Europäische Parlament hat Klage vor dem Europäischen Gerichtshof erhoben, um überprüfen zu lassen, ob die Rechte der Fluggäste aufgrund der Anerkennungsentscheidung vom 14.05.2004 und des Abkommens vom 28.05.2004 verletzt werden und eine Zustimmung des Parlamentes zu dem Abkommen erforderlich gewesen wäre. Tatsächlich sind auch nach LDI NRW 17. Datenschutzbericht 2005                                       71

Verkehr Abschluss des Abkommens einige kritische Punkte im Zusammenhang mit der Passagierdatenübermittlung noch gar nicht oder nur unbefriedigend gelöst. Der Umfang der Daten, auf die ein Zugriff besteht, ist nach europäischen Maßstäben nicht verhältnismäßig, weil ein Zusammenhang zur Terrorismusbekämpfung bei vielen Datenfeldern nicht erkennbar ist. Es besteht auch nach wie vor ein Zugriff auf sensible Informationen wie Gesundheitsdaten. Weiter ist die Notwendigkeit einer Mindestspeicherdauer von 3 1/2 Jahren für alle Daten, die keine besonderen Auffälligkeiten ergeben haben, nach wie vor nicht nachvollziehbar. In einigen Fragen soll eine so genannte „Push-Lösung“ Abhilfe schaffen. Das bedeutet, dass der unmittelbare Zugriff der US-Zollbehörden auf die Datenbanken abgelöst werden soll durch eine Übermittlung der Datenpakete, die in den Verhandlungen festgelegt wurden. Unklarheiten bestehen noch bei der Frage, wie und welche Daten mit sensitivem Charakter vor einer Übermittlung herausgefiltert werden können. Der Betreiber der Reservierungsdatenbank, aus der Lufthansa und LTU den Datenzugriff ermöglichen, ist mit der Entwicklung einer „Push-Lösung“ befasst. Ein wesentlicher Punkt, der von den Europäischen Datenschutzbeauftragten immer wieder bemängelt wurde, war die fehlende Transparenz bei der Passagierdatenübermittlung. Hierzu konnte erfreulicherweise auf euro- päischer Ebene ein einheitlicher Informationstext verabschiedet werden. Er kann unter www.europa.eu.int abgerufen werden. Die Fluggesellschaften und die an der Buchung beteiligten Reisegesellschaften wurden verpflichtet, bei jeder Buchungen von Flügen in die USA auf diesen Text hinzuweisen und ihn zur Information für die Reisenden vorzuhalten. Außer den USA erheben weitere Staaten inzwischen vergleichbare Forde- rungen. Die Europäische Kommission verhandelt mit Kanada und Austra- lien über die Modalitäten einer Passagierdatenübermittlung. Auch Großbri- tannien möchte auf die Reservierungsdaten der Fluggesellschaften zugrei- fen. Im Hinblick auf diese Forderungen ist es angezeigt, die Passagierdaten- übermittlung endlich mit einer europäischen Rechtsvorschrift zu regeln, in der die Voraussetzungen für eine zulässige Übermittlung normenklar und einheitlich festgelegt sind. In der weltweiten Diskussion um die Sicherheit im Flugverkehr müssen und werden die Datenschutzbeauftragten dafür eintreten, dass die Passagierda- tenübermittlung auf ein den Sicherheitsanforderungen entsprechendes Maß 72                                           LDI NRW 17. Datenschutzbericht 2005