Fluggastdaten

Wenn bisher in der EU von Fluggastdaten – genauer: von den durch die Fluggesellschaften erhobenen „Passenger Name Records“ (PNR) – die Rede war, dann ging es meist um deren Übermittlung an das Heimatschutzministerium der USA. Nachdem der Europäische Gerichtshof ein erstes Abkommen mit den USA gekippt hatte, ist eine erneuerte Version unter Dach und Fach.[1] Das gleiche gilt für die Übermittlung solcher Daten an Kanada. Mit Australien und Südkorea steht die Kommission zur Zeit in Verhandlungen.

Nach dem Rahmenbeschluss-Entwurf der Kommission vom 6. November 2007 sollen die EU-Mitgliedstaaten nun auch selbst PNR-Daten speichern und auswerten.[2] Bereits im April 2004 hatte der Rat eine Richtlinie beschlossen, die die Fluggesellschaften verpflichtete, nach Abschluss des Check-in Daten der beförderten Personen an die Grenzpolizeien der Mitgliedstaaten zu übermitteln.[3] Allerdings handelte es sich hierbei erstens im Wesentlichen um jene Daten, die auch in den maschinenlesbaren Zonen von Pässen oder Personalausweisen zu finden sind (Name, Geburtsdatum, Nummer des Dokuments) und zweitens sollten diese Daten binnen 24 Stunden nach ihrer Übermittlung gelöscht werden, sofern sie nicht für die Strafverfolgung oder für grenzpolizeiliche Zwecke gebraucht würden. Faktisch ging es bei dieser „Advance Passenger Information“ (API) um eine vorgezogene Grenzkontrolle samt Abgleich im Schengener Informationssystem.

Die nun zur Debatte stehenden PNR-Daten sind erheblich umfangreicher: Die 19 Datenkategorien umfassen neben den unmittelbaren Personalien auch Adressen und Kontaktangaben (Telefon, E-Mail), sämtliche Zahlungsinformationen (inkl. Kreditkartennummern), Viel­flieger-Einträge etc. Ausgeschlossen sind nur „sensible“ Daten über rassische und ethnische Herkunft, Religion, Gesundheit u.ä. Bei internationalen Flügen (in die EU oder aus der EU in Drittstaaten) sollen die Fluggesellschaften diese PNR-Datensätze selbst oder über ihre „Datenmittler“ an die neu einzurichtenden „PNR-Zentralstellen“ der Mitgliedstaaten übermitteln – 24 Stunden vor Abflug (gegebenenfalls auch früher) und mit den entsprechenden Änderungen nach dem Check-in.

Statt einer schnellen Löschung ist nun eine Speicherung für insgesamt dreizehn Jahre vorgesehen – fünf Jahre in einer aktuellen und acht weitere in einer „ruhenden Datenbank“. Während dieser Zeit können sie nicht nur an die jeweiligen nationalen Strafverfolgungsbehörden, sondern auch an die PNR-Zentralstellen der anderen EU- und an Strafverfolgungsbehörden von Drittstaaten weitergegeben werden.

Ziel ist auch nicht mehr nur eine vorgezogene Grenzkontrolle, sondern die Auswertung der Daten und eine „Risikoanalyse“ zur Bekämpfung von terroristischen Straftaten (nach dem Rahmenbeschluss von 2002) und solchen der „organisierten Kriminalität“ (nach einer noch gar nicht beschlossenen Definition). Worin diese Analyse bestehen soll, bleibt unklar. Die für die Auswertung zuständigen Strafverfolgungs­behörden sollen bezeichnenderweise anhand dieser Daten entsprechende „Risikoindikatoren“ entwickeln und aktualisieren.

Wenn dieser Rahmenbeschluss in Kraft tritt, müssen sich Flugreisende wohl auf eine Art permanenter Rasterfahndung einrichten. Dass „die automatisierte Verarbeitung von PNR-Daten allein keine ausreichende Grundlage für die Einleitung von Strafverfolgungsmaßnahmen“ bieten soll, kann dabei kaum beruhigen.

(Heiner Busch)

[1]      Ratsdok. 11304/07 v. 28.6.2007
[2]     KOM(2007) 654 endg. v. 6.11.2007
[3]     Amtsblatt der Europäischen Union L 261 v. 6.8.2004