Diese Daten werden gespeichert, wenn man fliegt
Die EU sammelt Daten von Flugpassagieren, um schwere Straftaten vorherzusehen. Auch von Flügen aus der Schweiz. Was bedeutet das für Fluggäste?
Veröffentlicht am 8. August 2019 - 08:58 Uhr
Pia Meier flog am 18. Juli 2019 um 7:20 Uhr von Zürich nach Berlin. Sie sass auf dem Sitzplatz 14b. Ihr Ticket bezahlte sie mit ihrer Visa-Kreditkarte – ihre Kreditkartennummer lautet 4901 1701 2345 6789. Wohnhaft ist sie an der Bachstrasse 40, 5600 Lenzburg. Ihre E-Mailadresse lautet pia.meier@hotmail.com.
All diese Informationen des fiktiven Beispiels und noch mehr – zum Beispiel das Gewicht des Gepäcks, Abflugdaten und Angaben der Mitreisenden – müssen Fluggesellschaften seit Ende Mai 2018 den zuständigen Behörden weiterleiten . Es handelt sich um sogenannte Fluggastdatensätze oder auch PNR-Daten (vom englischen «Passenger Name Record»). Gewisse Fluggastdaten werden aber bereits seit 2005 weitergegeben.
Die Weitergabe von PNR-Daten gilt für Flüge in die oder aus der EU. Somit sind auch Flüge von der Schweiz in die EU betroffen. Optional können die EU-Länder die Datenweitergabe auch für Flüge innerhalb der EU vorschreiben.
Sie landen bei den Sicherheitsbehörden. Ihr Zweck: Sie sollen helfen, terroristische Handlungen vorherzusehen. Die Sicherheitsbehörden gleichen die Daten mit anderen Fahndungsdatenbanken ab.
Fragwürdig ist jedoch, dass Sicherheitsbehörden zudem «Verhaltensmuster» erstellen wollen. Es besteht die Gefahr, dass somit auch Unschuldige verdächtigt werden, die nur zufällig einem Muster zugeordnet werden können. Ein «Treffer» kann bewirken, dass die Sicherheitsbehörden Person überwachen, überprüfen oder festnehmen.
Bestimmte Kriterien können einen Verdacht begründen, schreibt das deutsche Bundeskriminalamt. Beispielsweise sollen so Handelsrouten von Drogen -Schmugglern aufgedeckt werden. Das Bundeskriminalamt versichert aber, man würde nur diejenigen Fluggastdaten nutzen, die mit den Datenbanken der Sicherheitsbehörden übereinstimmen würden.
Doch wie schlussendlich die erstellten Muster aussehen, bleibt geheim. Die «Süddeutsche Zeitung» wies im März 2019 darauf hin, dass Reisende nicht genau wüssten, welche Kriterien ausschlaggebend seien, damit sie einem bestimmten Muster zugeordnet würden. Sie wirft die Frage auf, ob beispielsweise Jugendliche, die zum ersten Mal alleine reisen, den Flug kurzfristig buchen und bar bezahlen , bereits mit Dschihadisten in Verbindung gebracht werden können.
Was bedeutet die Sammlung von PNR-Daten konkret für Passagiere? Hier die Antworten auf die wichtigsten Fragen:
- Gibt es Einschränkungen für die Datenweitergabe?
- Wie wird die Richtlinie umgesetzt?
- Werden auch bei Zug- und Schifffahrten Daten gespeichert?
- Wie ist die Schweiz von den PNR-Richtlinien betroffen?
- Werden die Passagiere über die Datenweitergabe informiert?
- Dürfen Fluggesellschaften Daten weitergeben?
- Wertet die Schweiz auch Fluggastdaten aus?
Einzig zu folgenden Zwecken dürfen die Daten gebraucht werden:
- Um Fluggäste, die möglicherweise in eine terroristische Straftat oder schwere kriminelle Tätigkeiten verwickelt sind, zu überprüfen.
- Um weitere Risikokriterien zu evaluieren. Wie genau diese aussehen, führen die Richtlinien nicht aus. Die Prüfkriterien sollen auf «terroristische Straftaten und schwere Kriminalität beschränkt bleiben».
- Für konkrete Ermittlungen und Strafverfolgungen.
Die Richtlinien halten jedoch auch fest, dass Privatsphäre und Grundrechte der Fluggäste geschützt werden müssen. So muss die zuständige Behörde die Daten nach sechs Monaten so anonymisieren, dass man keine direkten Rückschlüsse auf die Identität der betroffenen Person ziehen kann. Doch in begründeten Fällen kann eine Justizbehörde, oder eine andere zuständige Behörde, eine Offenlegung der depersonalisierten Fluggastdaten beantragen. Nach fünf Jahren löschen die Behörden die Daten ganz.
Nicht alle EU-Länder setzten die PNR-Richtlinien gleich schnell um. Das Beispiel Deutschland zeigt, wie eine mögliche Umsetzung aussieht:
Der Deutsche Bundestag hat 2017 das Fluggastdatengesetz erlassen, um die Datenverarbeitung zu regeln. Fluggesellschaften sammeln die Daten von Fluggästen, die ab oder nach Deutschland fliegen oder zwischenlanden. Dann übermitteln sie die Daten, welche im Fluggastdaten-Informationssystem gespeichert werden. Die neu eingerichtete Fluggastdatenzentralstelle (PIU), welche dem Bundeskriminalamt angehört, unterhält das Informationssystem.
Die Datenzentralstelle untersucht, ob eine Person polizeilich gesucht wird oder ob Hinweise auf terroristische Aktivitäten bestehen, indem die Daten mit polizeilichen Fahndungsdatenbanken abgeglichen werden. Falls dem so ist, leitet sie die Daten an die Sicherheitsbehörde des jeweiligen Bundeslandes weiter.
Bis zum 25. Mai 2020 soll die Europäische Kommission einen Bericht vorlegen, in dem sie unter anderem bewertet, wie erforderlich und angemessen die Datenerhebung ist.
Nein, momentan gilt die Richtlinie nur für Flüge. In einer Arbeitsgruppe des EU-Ministerrates sind aber Diskussionen im Gange, ob man die Richtlinien auf Zug und Schiff ausweiten soll. Die Umsetzung des Vorhabens wird jedoch schwierig sein, da die Tickets häufig unpersonalisiert sind.
Die Swiss gibt noch längst nicht allen EU-Staaten Daten weiter. Denn jedes Land entscheide selber, von welchen Fluggesellschaften sie zuerst Daten anfordere, erklärt die Swiss. Zurzeit gibt sie Fluggastdaten für Flüge nach Grossbritannien, Belgien, Ungarn, Österreich, und Luxemburg weiter. Jüngst kam am 22. Juli 2019 Polen dazu.
Wann die Swiss weiteren Länder Fluggastdaten geben muss, sei noch unklar. Sie schätzt, dass es bis Ende Jahr alle EU-Staaten seien. Dass noch nicht alle Länder die Daten anfordern, liege wahrscheinlich daran, dass einige Länder die Datenverarbeitung noch nicht aufgegleist haben, vermutet das Bundesamt für Zivilluftfahrt (Bazl).
«In unseren Allgemeinen Geschäftsbedingungen weisen wir darauf hin, dass bestimmte Daten gesammelt werden», erklärt Meike Fuhlrott, Mediensprecherin der Swiss. Auch das Bazl sieht es als Aufgabe der Fluggesellschaften, die Reisenden zu informieren.
Interessiert man sich dafür, welche Daten die Behörden über einen selbst gespeichert haben , kann man beispielsweise beim deutschen Bundeskriminalamt nachfragen. Wichtig ist: Nur die betroffene Person selber kann das Gesuch an die Behörde einreichen.
«Die EU-PNR-Direktive ist Schengen-relevant und da die Schweiz Schengen-Mitglied ist, bedarf es keines spezifischen PNR-Abkommens zwischen der Schweiz und der EU», informiert die Swiss-Mediensprecherin. Dies bestätigt das Bazl: «Die Richtlinie erfolgt im Einklang mit dem schweizerischen Bundesgesetz über den Datenschutz. Alle Airlines, die aus der Schweiz in die EU fliegen, sind verpflichtet diese Daten zu liefern.»
Doch in Deutschland ist die Datenweitergabe umstritten. Bürgerrechtlerinnen und Politiker verklagen das Bundeskriminalamt sowie Fluglinien beim Europäischen Gerichtshof. Das Argument: Das Privat- und Familienleben sowie der Schutz der personenbezogenen Daten werden verletzt. Die Hoffnung: Der Gerichtshof entscheide gleich wie 2017. Damals urteilte er, dass Passagierdaten nicht ohne konkreten Grund gespeichert und genutzt werden dürfen.
Die Schweiz darf die Daten zurzeit nicht selber verwenden. Der Bundesrat will das aber ändern, um Terroranschläge und schwere Kriminalität zu bekämpfen. Deshalb hat er das Eidgenössische Justiz- und Polizeidepartement beauftragt, eine Gesetzesvorlage auszuarbeiten.
Das Gesetz soll auch den Datenschutz und die Persönlichkeitsrechte der Fluggäste sicherstellen. Personendaten, die beispielsweise auf die religiöse Überzeugung schliessen lassen, sollen deshalb weiterhin nicht ausgewertet werden dürfen.
Dass Passagierdaten weitergegeben werden, ist nichts Neues. Die Schweiz hat beispielsweise mit den USA seit 2005 ein Abkommen, das sie zur Datenübermittlung von Flugreisenden – sogenannte Advanced Passenger Information (API) – verpflichtet. Diese Daten umfassen die Angaben im Pass, also Personalien und Angaben zum Reisedokument.
Seit 2011 besteht für bestimmte Flüge ausserhalb des Schengenraums eine Meldepflicht. Das Staatssekretariat für Migration (SEM) legt fest, in welchen Fällen die Fluggesellschaften ihm die Personendaten liefern müssen. Das SEM leitet sie den Grenzbehörden sowie dem Schweizer Nachrichtendienst weiter. Die Meldepflicht dient vor allem dazu, die Grenzkontrollen zu verbessern und rechtswidrige Einreisen zu vermeiden. Erst seit Juni 2019 sollen die Daten offiziell helfen, organisiertes Verbrechen und Terrorismus zu bekämpfen.