Seit dem 25. Mai 2018 ist die neue europäische Datenschutzgrundverordnung „DSGVO“ (EU) 2016/679 in Kraft, über die aktuell sehr viel in den Medien diskutiert wird. Sie schützt europaweit einheitlich die personenbezogenen Daten von natürlichen Personen und regelt hierzu weite Bereiche der elektronischen Datenverarbeitung. Wir sind davon überzeugt, dass sie auch eine juristische Handhabe gegen die Datensammlung zumindest auf europäischen Flugbewegungsportalen liefert, denn dort werden der Öffentlichkeit Bewegungsdaten von Privatpersonen zugängig gemacht. Ein „Stalker“ benötigt nur noch die Registrierung des Flugzeugs seines Opfers, schon kann er von überall dessen Flugaktivität nachvollziehen. Man stelle sich das im Straßenverkehr vor: Man beobachtet, wie eine Person in einen PKW einsteigt um den PKW dann online über sein Kennzeichen und ein PKW-Bewegungsportal lückenlos zu verfolgen. Der gesellschaftliche Aufschrei wäre garantiert und mit Sicherheit nicht zu überhören.
Schauen wir uns den Verordnungstext einmal näher an:
Gemäß Artikel 1 schützt die DSGVO nur Daten natürlicher Personen. Unternehmen können ihre Daten nicht schützen lassen, oder nur dann, wenn letztlich wieder natürliche Personen zu schützen sind, etwa die ihrer Kunden.
Artikel 1 – Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Spannend ist dann der Artikel über die rechtmäßige Verarbeitung von Daten. Wird keines der Kriterien erfüllt, dann ist die Datenverarbeitung unrechtmäßig.
Artikel 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a)Die betroffene Person hat ihre Einwilligung (…) gegeben;
b)… für die Erfüllung eines Vertrags,
c) … zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) … um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
Es sollte unstrittig sein, dass die Verarbeitung der Transponderdaten durch die Flugsicherung zur Wahrnehmung von Aufgaben in öffentlichem Interesse erforderlich ist, dass man sie auch in einem anderen Flugzeug empfangen darf zur Kollisionsvermeidung. Die Daten dürfen für diese Zwecke verarbeitet werden, aber nicht veröffentlicht. Die kommerziellen Website-Betreiber haben aber weder hoheitlichen Aufgaben, noch Verträge oder eine Beschützerfunktion, sie wollen nur Geld verdienen, und das dürfen sie gemäß der DSGVO mit privaten Flugzeugdaten nicht. Gemäß Artikel 83 kann der Verstoß gegen die DSGVO auch teuer werden, die Höhe der Geldbußen soll wirksam, verhältnismäßig und abschreckend sein.
Artikel 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Was der schwedische Website-Betreiber www.flightradar24.com derzeit anbietet ist, dass auf Antrag eines Flugzeugbetreibers dessen Daten nicht mehr angezeigt werden. Wir sind aber überzeugt, dass nur der andere Weg legal gangbar ist, dass man die Kennung und die Bewegungsdaten nur mit ausdrücklicher Zustimmung eines Luftfahrzeugbetreibers veröffentlichen darf.
Ein für uns denkbarer Kompromiss ist es auch, dass die Websiten weiterhin die Bewegungsdaten von Luftfahrzeugen anzeigen, aber nur in Verbindung mit einer anonymisierten Kennung, anstelle von DEABC etwa D—-.
Wir haben uns sowohl an die Anbieter der Websiten als auch an die zuständigen Aufsichtsbehörden gewandt, die auf Grund des europäischen Charakters der Verordnung auch innerhalb Europas zur Amtshilfe verpflichtet sind.
Anspruchsvoller sollte es werden, die Betreiber solcher Internetportale auf Grund europäischer Datenschutzregularien auch in den USA zu stoppen. Ein Beschluss der weltweiten Vertreter der IAOPA, der anlässlich der Weltkonferenz unseres Verbandes in Neuseeland im März dieses Jahres verabschiedet wurde, fordert ebenfalls die strikte Einhaltung der Privatsphäre bei diesen Internetportalen.
