Vor vier Jahren hat die Europäische Union die „Richtlinie über die Verwendung von Fluggastdatensätzen“ (PNR-Daten) verabschiedet. Zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität sollen die 26 an der Richtlinie teilnehmenden EU-Mitgliedstaaten eine Fluggastdatenzentralstelle einrichten, die bei der Buchung und beim Boarding von den Fluggesellschaften umfangreiche Datensätze über die Passagiere erhält. Jetzt hat die Europäische Kommission wie vorgeschrieben einen Bericht zur Umsetzung der Maßnahmen vorgelegt.
Bis zum 25. Mai 2018 hätte die Richtlinie von jedem Mitgliedstaat in nationales Recht überführt werden müssen. Zum Ende des Überprüfungszeitraums hat Slowenien nur die teilweise Umsetzung gemeldet, während Spanien keinerlei Maßnahmen mitgeteilt hat. Vor drei Wochen hat die Kommission Klage wegen Nichtumsetzung der Richtlinie Klage vor dem Europäischen Gerichtshof (EuGH) gegen die Regierung in Madrid erhoben.
„Spürbare Ergebnisse“ können nicht überprüft werden
Die Kommission hält die Erhebung und Verarbeitung von PNR-Daten in dem Bericht für erforderlich und verhältnismäßig. Die Mitgliedstaaten hätten hierzu mitgeteilt, dass die in Echtzeit übermittelten Daten und ihre „reaktive und proaktive Verarbeitung […] spürbare Ergebnisse“ geliefert hätten. Gemeint ist die Nutzung der Informationen zur Strafverfolgung und zur Gefahrenabwehr. Die hierzu von den Mitgliedstaaten übersandten Nachweise, aus denen die Bedeutung der Verarbeitung von PNR-Daten für die Maßnahmen deutlich würde, veröffentlicht die Kommission nicht.
Ursprünglich war die Richtlinie nur für Flüge aus und nach Drittstaaten vorgesehen. Die Möglichkeit, sie „freiwillig“ auf Flüge innerhalb der Europäischen Union auszuweiten, haben die 26 Regierungen anschließend in einem Zusatzprotokoll vereinbart. Alle Mitgliedstaaten bis auf einen haben laut dem Bericht davon Gebrauch gemacht. Die Kommission will deshalb davon absehen, eine solche Ausweitung auf EU-Flüge verbindlich vorzuschreiben.
Die PNR-Zentralstellen sollen einander Daten weitergeben, etwa wenn sich ein Verdacht zu einer Person erhärtet. Die Zusammenarbeit und der Austausch auf eigene Initiative der PNR-Zentralstelle funktionieren laut dem Bericht aber ungenügend. Die Kommission führt dies auf eine unklare Formulierung über die spontane Datenübermittlung in der Richtlinie zurück.
Kommission muss Klagen vorm EuGH abwarten
Probleme ergeben sich auch bei der Datenqualität. So sei die Erfassung des Geburtsdatums der Fluggäste durch die Fluggesellschaften nicht obligatorisch, wodurch etwa die fehlerhafte Schreibweise der Namen von der PNR-Zentralstelle nicht entdeckt werden kann.
Der Kommissionsbericht hat außerdem Mängel bei der Umsetzung von Datenschutzanforderungen gefunden. Diese würden zwar „insgesamt eingehalten“, einige Mitgliedstaaten hätten aber versäumt, ihre Gesetze anzupassen. Um welche Länder es sich handelt, bleibt unklar, in dem Bericht werden sie an keiner Stelle genannt. Auch teilt die Kommission nicht mit, auf welche Weise gegen den Datenschutz verstoßen wird. Würde etwa die Zweckbindung der Datenverarbeitung ausschließlich zur Bekämpfung von Terrorismus und schwerer Kriminalität umgangen, wäre dies ein grober Verstoß.
Eine Änderung oder Erweiterung der PNR-Richtlinie lehnt die Kommission derzeit ab. Zunächst soll der Ausgang der beim Europäischen Gerichtshof anhängigen Klagen abgewartet werden. Dort gehen die österreichische Nichtregierungsorganisation epicenter.works und die deutsche Gesellschaft für Freiheitsrechte e. V. gegen die massenhafte Speicherung und intransparente Verarbeitung von Fluggastdaten vor.
Kommission prüft Erweiterung
Die Pläne zur Ausweitung sind aber nicht vom Tisch. Aus der praktischen Anwendung der PNR-Richtlinie haben sich dem Bericht zufolge Erkenntnisse ergeben, die „einer weiteren Prüfung bedürfen“. So könnte beispielsweise der Anwendungsbereich auf Zug-, Bus- oder Fährverbindungen erweitert werden. Zur Debatte steht auch eine Ausweitung der Richtlinie auf Reisebüros, die laut dem Bericht einen erheblichen Teil aller Fluggastdaten erheben, diese aber nicht an die PNR-Zentralstellen weiterleiten müssen. Die Kommission sieht darin eine „erhebliche Sicherheitslücke“. Schließlich will die Kommission Passagierdaten im Rahmen ihrer „externen PNR-Politik“ zukünftig auch an Drittstaaten übermitteln.
Ungeachtet der Klagen vor dem EuGH hat die Kommission deshalb eine „gründliche Folgenabschätzung“ angekündigt. Darin wird auch geprüft, ob die PNR-Daten zum Schutz der öffentlichen Gesundheit genutzt werden könnten. Die Bundesregierung hatte im Rahmen ihrer EU-Ratspräsidentschaft vorgeschlagen, Fluggastdaten zur Ermittlung von Personen zu nutzen, die in der Nähe eines mit Covid-19 infizierten Fluggastes gesessen haben.
spürbare Ergebnisse? Wirecard – Vorstand Marsalek – das war der mit Zugang zu Terrorinformationen wie Details zum Nervengift Novichek sowie immensen Geldbeträgen – konnte wohl trotz Passagierdatenspeicherung fliehen, ohne dass unsere Sicherheitsbehörden irgendwelche Anhaltspunkte auf seine Fluchtroute hätten. Ob er ein Terrorist vom Kaliber Bin Ladens ist, weiß man (noch) nicht. Wenn er wollte, hätte er jedenfalls die Mittel.
Was (auch) mit Details wie der Speicherung von Geburtsdaten zu tun haben könnte: fliegen man inzwischen auch innereuropäisch nur nach Eingabe der Passdaten. Damit sollten die Behörden auf alle Informationen einschließlich Biometrie und Geburtsdatum zugreifen können.
Wenn schon Vorratsdaten gespeichert werden – kann man das dann wenigstens so professionell machen, dass mit den Daten auch Terroristen und Krimenelle gefangen werden? Und nicht nur G20-Demostranten, denen man das Recht auf Meinungsäußerung beschneiden will?
PNR gilt nur für kommerzielle Anbieter. Wer selber fliegen kann oder Angebote wie die Mitflugzentrale nutzt, kommt ohne lästige Kontrollen durch die EU. Und auch rein oder raus.
Bei General Aviation Flügen gibt es kein PNR.
Man muss es sich jedoch auch leisten können.