Stapeln, schichten, rastern: Die Umsetzung der EU-Richtlinie über die Verwendung von Fluggastdaten

Gemäß der PNR-Richtlinie müssen Fluggesellschaften eine Fülle von Daten sammeln und vor jedem Flug an die Grenzbehörden weitergeben. Darunter sind Meldedaten, Sitzplatz und Flugnummer sowie Essenwünsche, Kreditkartendaten oder IP-Adressen. In PNR-Zentralstellen der Mitgliedstaaten werden die Informationen auf „verdächtige und ungewöhnliche Reisemuster“ untersucht.

Flugzeug auf dem Flughafen Düsseldorf. Foto: CC-BY-NC-ND 2.0 Daniel Mennerich

Am 27. April beschlossen das Europäische Parlament und der Rat die Richtlinie über die Verwendung von Fluggastdatensätzen (die sogenannten PNR-Daten). Bei der Buchung hinterlassene Informationen können nun von Polizeien und Geheimdiensten zur „Verhütung, Aufdeckung, Ermittlung und Verfolgung“ von terroristischen Straftaten und schwerer Kriminalität genutzt werden. Bei Flügen aus der und in die EU werden bei jeder Flugbuchung bis zu 60 Einzeldaten über die Passagiere erhoben und fünf Jahre lang gespeichert. Hierzu gehören die Meldedaten, Sitzplatz und Flugnummer sowie Essenwünsche, Kreditkartendaten oder IP-Adressen.

Die Erhebung von PNR-Daten betrifft nicht nur Airlines, sondern auch Reisebüros oder Reiseveranstalter oder andere Dienstleister, sofern diese Flugbuchungen vornehmen. Perspektivisch sollen europäische PNR-Daten auch mit Drittstaaten oder internationalen Organisationen getauscht werden.

Alle EU-Mitgliedstaaten speichern jetzt auch innereuropäische Fluggastdaten

Eigentlich sollten nur Informationen von Flügen verarbeitet werden, die von Drittstaaten starten bzw. diese ansteuern. Nach Artikel 2 der PNR-Richtlinie können die EU-Mitgliedstaaten die Richtlinie aber auch „freiwillig“ auf Flüge innerhalb der EU anwenden. Die Regelung ist eine Farce und soll das EU-Parlament beschwichtigen, das sich jahrelang gegen die Richtlinie gestemmt hatte. In einer nachgereichten Erklärung haben sämtliche Mitgliedstaaten angekündigt, „in Anbetracht der derzeitigen Sicherheitslage in Europa“ von der „freiwilligen“ Möglichkeit in vollem Umfang Gebrauch zu machen.

Nächste Woche wird der Sachstand der PNR-Richtlinie auf dem Rat für Justiz und Inneres behandelt, Ende November will die Europäische Kommission einen Umsetzungsplan für die Richtlinie vorlegen. Sie muss bis zum 25. Mai 2018 in nationales Recht überführt werden. Bis dahin sollen alle EU-Mitgliedstaaten eine PNR-Zentralstelle einrichten, die für die Verarbeitung der von den Fluggesellschaften angelieferten Fluggastdaten zuständig ist. Einige Mitgliedstaaten, darunter Schweden und die Niederlande, verarbeiten bereits PNR-Daten und verfügen über eine Zentralstelle. Laut der Richtlinie können sich Mitgliedstaaten auch koordinieren und eine gemeinsame Behörde als ihre Zentralstelle einrichten oder benennen.

Bundespolizei verarbeitet bereits abgespeckte Fluggastdaten

In Deutschland ist die PNR-Zentralstelle beim Bundeskriminalamt (BKA) angesiedelt. Von dort werden die Ergebnisse der Analyse und Verarbeitung von PNR-Daten an die einheimischen Sicherheitsbehörden weitergereicht. Sind andere Mitgliedstaaten betroffen oder werden dort relevante Informationen vermutet, werden diese über das Netzwerk der PNR-Zentralstellen ebenfalls informiert. Auch die EU-Polizeiagentur Europol ist in das Netzwerk eingebunden, nach Artikel 10 der PNR-Richtlinie soll die Agentur eine wichtige Rolle bei der Unterstützung der Zentralstellen innehaben.

Schon jetzt werden für das Grenzmanagement sogenannte „Advanced Passenger Informations“ (API-Daten) genutzt, die allerdings einen weitaus geringeren Datensatz als die PNR-Daten enthalten. In Deutschland ist die Vorab-Übermittlung solcher API-Daten an die Bundespolizei bei Flugverbindungen mit 55 Ländern verpflichtend (Stand: März 2015), darunter zu Syrien, dem Irak oder dem Jemen. Auch die API-Daten sollen zukünftig systematisch mit dem Schengener Informationssystem (SIS II) und der von Interpol geführten SLTD-Datenbank abgeglichen werden. Die Interpol-Generalversammlung unter Leitung des früheren BKA-Vizepräsidenten Jürgen Stock hat diese Woche die Ausweitung ihres „I-Checkit“-Programms zur Abfrage ihrer Datenbank für gestohlene oder vermisste Reisedokumente (SLTD) beschlossen. Auch die Schifffahrtsindustrie soll die dort hinterlegten Informationen zum Screening der Passagiere nutzen.

Ungarn leitet PNR-Pilotprojekt

Zur grenzüberschreitenden Verarbeitung müssen die Formate der übermittelten PNR- und API-Daten kompatibel sein bzw. von den nationalen PNR-Zentralstellen unterstützt werden. Ungarn führt hierzu das EU-Projekt „Pilot Programme for Data Exchange of the Passenger Information Units“ (PNRDEP) an. Zu den Teilnehmenden gehören Bulgarien, Litauen, Portugal, Rumänien, Spanien und Europol, noch in diesem Jahr soll das Projekt abgeschlossen werden, danach werden endgültige Entscheidungen zu Datenformaten und Übertragungsprotokollen getroffen. Ähnliche Verfahren zur Interoperabilität europäischer Datenbanken werden unter Leitung des BKA betrieben.

Die Europäische Kommission hat eine informelle PNR-Arbeitsgruppe eingerichtet, die alle Mitgliedstaaten bei der Einrichtung entsprechender Verfahren unterstützt. Im Fokus steht die Erhöhung „nationaler Aufdeckungsfähigkeiten“ durch die Zentralstellen. Sie sollen „verdächtige und ungewöhnliche Reisemuster“ aufspüren, etwa wenn Flüge von und nach „Risikodestinationen“ auffällige Umwege aufweisen oder in Reisebüros gebucht werden, die bereits als verdächtig gelabelt sind. Europol erarbeitet derzeit Kriterien für solche „Reisemuster“, Details hierzu sind nicht bekannt. Vermutlich werden diese wie bei der Verwendung von API-Daten nicht veröffentlicht.

Abgleich und Profiling auch mit deutschen Datenbanken

Zur Analyse werden die PNR-Daten mit einschlägigen europäischen Datenbanken gerastert, darunter das Schengener Informationssystem (SIS II) oder die Visumsdatenbank (VIS) sowie die Interpol-Datenbank für gestohlene oder vermisste Reisedokumente. Weitere Abfragen erfolgen bei Europol.

In EU-Dokumenten wird dieses Profiling von Reisenden als „Schichtung von Reisedaten mit anderen Erkenntnisquellen“ bezeichnet. Im Falle Deutschlands dürfte das Bundesamt für Verfassungsschutz hierfür sein Nachrichtendienstliches Informationssystem (NADIS) abfragen, das BKA nutzt vermutlich das INPOL-Informationssystem. Schließlich verfügt auch der Zoll über Datenbanken, mit denen die PNR-Daten abgeglichen werden.

Was alles so für fünf Jahre gespeichert wird. Foto: CC-BY-NC 2.0 Telstar Logistik. Montage: netzpolitik.org
Was alles so für fünf Jahre gespeichert wird. Foto: CC-BY-NC 2.0 Telstar Logistik. Montage: netzpolitik.org - CC-BY-NC-SA 2.0 Telstar Logistik. Montage: netzpolitik.org

5 Ergänzungen

    1. Wahrscheinlich wird zu 99% 127.0.0.1 gesichtert. Achja, disclaimer, ich esse auch haram (Essen von US-Firmen), omnomnom.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.