Virtuelles Datenschutzbüro
http://www.datenschutz.de/

Schwerpunktthema:

Flugpassagierdaten-Abkommen

[Letzte Änderung 04.03.2010]
Dieses Dossier wurde zusammengestellt von Herrn Langfeldt (ULD SH):

Nach einem Abkommen der EU mit den USA, das am 23.7.2007 offiziell verabschiedet wurde und zum 01.08.2007 in Kraft trat, müssen Fluglinien, die Flüge von Europa in die USA anbieten, Daten zu ihren Passagieren an das US-Heimatschutzministerium (DHS) übermitteln. Dort werden sie standardmäßig für 15 Jahre gespeichert. Die rechtliche Grundlage in den USA ist 49 U.S.C. § 44909(c)(3). In diesen Passenger Name Records (PNR) werden vor Abflug insgesamt 19 Datenfelder übermittelt, sofern sie im Buchungssystem der Fluglinie gespeichert sind. Im Einzelnen sind dies die folgenden:

1. Ein Code zur Identifizierung des PNR
2. Datum der Reservierung und der Ausstellung des Flugscheins
3. Geplante Abflugdaten
4. Name(n) des Passagiers
5. Informationen über Vielflieger- und Bonusprogramme und gewährte Rabatte
6. Andere Namen im PNR, einschließlich Zahl der Reisenden im PNR
7. Alle verfügbaren Kontaktinformationen (einschließlich Auftraggeberinformationen)
8. Alle verfügbaren Zahlungs-/Abrechnungsinformationen (ohne weitere Transaktionsdetails für eine Kreditkarte oder ein Konto, die nicht mit der die Reise betreffenden Transaktion verknüpft sind)
9. Reiseverlauf für den jeweiligen PNR
10. Reisebüro/Sachbearbeiter des Reisebüros, bei dem das Ticket gebucht wurde
11. Code-Sharing-Informationen (gemeinsames Anbieten von Flügen durch mehrere Fluggesellschaften; ein einzelner Flug erhält hierbei verschiedene Flugnummern)
12. Informationen über Aufspaltung/Teilung einer Buchung
13. Reisestatus des Fluggastes (einschließlich Bestätigungen und Eincheckstatus)
14. Information über das Ticket, einschließlich Flugscheinnummer, Angabe, ob Flugschein für einfachen Flug, sowie Automatic Ticket Fare Quote (automatische Tarifabfrage)
15. Sämtliche Informationen zum Gepäck
16. Sitzplatzinformationen, einschließlich Sitzplatznummer
17. Allgemeine Bemerkungen einschließlich Informationen zur besonderen Behandlung des Passagiers (OSI – Other Service Information, SSI – Special Service Information, SSR – Special Service Requests; enthalten Information z.B. für Passagiere mit Behinderungen, besonderen Essenswünschen o.Ä.)
18. Etwaig erfasste APIS-Daten (Advance Passenger Information System – beinhaltet Daten zu Namen, Adressen, Passnummer sowie, falls vorhanden, biometrische Daten aus den Ausweisdokumenten)
19. Alle Änderungen der unter den Nummern 1 bis 18 aufgeführten Daten

Sensible Daten, die auf Religion oder Gesundheit schließen lassen, werden beim DHS nach der Übertragung automatisch gesperrt; in Notfällen sind Ausnahmen möglich. Das DHS kann die Daten an andere US-Behörden, die für Strafverfolgung, öffentliche Sicherheit und Terrorismusbekämpfung zuständig sind, weitergeben. Zusätzlich dürfen die Daten immer dann weitergegeben werden, wenn US-Recht dies vorsieht. Auch die Weitergabe an Drittstaaten ist möglich, wenn diese ein (nach Ansicht des DHS) ausreichendes Datenschutzniveau bieten können.

Zur Zeit läuft eine Umstellung der Datenübermittlung auf ein Push-System. Das heißt, die Daten sollen von den Fluglinien aktiv an das DHS weitergeleitet werden. Bis zur Umstellung wird wie bisher ein Pull-System verwendet, bei dem das DHS auf die Daten in den Buchungssystemen der Fluglinien zugreift. Bis zum Januar 2010 hatten weltweit 41 Fluggesellschaften ein Push-System installiert; 13 von ihnen bieten Flüge zwischen der EU und den USA an. Der US-Zoll gibt Fluggesellschaften Hilfestellung bei der Umstellung. In den Fällen, in denen ein Pull-System verwendet wird, kann das DHS ohne weiteres nur auf Flüge zugreifen, deren Informationen einen US-Flughafencode enthalten. Es gibt Ausnahmeregelungen für Flüge, die trotz fehlenden Eintrags einen Bezug zu den USA aufweisen (Beispiel: Ein Flug von Australien nach Kanada mit einem Tankstopp auf Hawaii) und für Flüge, die etwa wegen schlechten Wetters umgeleitet werden.

Die ersten sieben Jahren lagern die Informationen in der regulären Datenbank, danach werden sie für acht Jahre in eine "inaktive" Datenbank verschoben, bei der zusätzliche Zugriffsvoraussetzungen (Anknüpfung an konkreten Verdacht, Bestätigung durch Vorgesetzte) gelten. Werden die Daten in anderen Akten, etwa für Strafverfahren gespeichert, gelten die dortigen Speicherfristen.

In einem Datenschutzbericht der zuständigen amerikanischen Aufsicht wird für den Zeitraum August 2008 bis Januar 2010 eine Gesamtzahl von 216 vom DHS an ander Behörden übermittelten Datensätzen genannt. Fast 90% von ihnen gingen an das Justizministerium und seine nachgeordneten Behörden. In drei Vierteln der Fälle werden Terrorismus-Ermittlungen als Grund für die Weitergabe angegeben.

Die übermittelten Daten unterliegen dem US-Recht. Dies hat zur Folge, dass sie von Änderungen der relevanten Gesetze betroffen sind, ohne dass die EU eine Handhabe hiergegen hätte. Nach US-Recht haben betroffene Personen ein Recht auf Einsicht in die gespeicherten Daten, allerdings ist dieses Verfahren sehr bürokratisch und kann unter Anderem aus Gründen der nationalen Sicherheit verweigert werden. Diese Ausnahmebestimmung will das DHS, wie Ende August 2007 bekannt wurde, auf die PNR-Daten anwenden. Gegen eine solche Entscheidung kann beim Datenschutbeauftragten des DHS Beschwerde eingelegt werden. Eine endgültige Entscheidung des DHS kann vor amerikanischen Gerichten angefochten werden. Fehlerhafte Informationen können korrigiert werden. Das Abkommen wurde unter Anderem von der Artikel 29-Gruppe (der Arbeitsgruppe der europäischen Datenschutzbeauftragten) scharf kritisiert. Es ist nicht das erste seiner Art; bereits im Frühjahr 2003 gab es eine Übereinkunft zwischen der EU und den USA zur Übermittlung von Fluggastdaten, die Ende 2003 durch ein bindendes Abkommen ersetzt wurde. Dieses Abkommen wiederum wurde vom Europäischen Gerichtshof im Sommer 2006 aufgrund einer falschen Rechtsgrundlage für nichtig erklärt. Nachdem die Übermittlung zunächst mittels eines Interimsabkommens fortgesetzt wurde, soll das aktuelle Abkommen eine stabile rechtliche Grundlage für die Übermittlung bieten.

Zwar reduziert es gegenüber seinen Vorgängern auf den ersten Blick die Menge der übermittelten Daten, praktisch bleibt ihr Umfang aber fast gleich. Es wurden nur einige Informationen, die vorher einzelne Datenfelder bildeten, zusammengefasst. So wurden zum Beispiel die Daten zu Straße, Postleitzahl und Ort zum Punkt ?Kontaktinformationen? zusammengefasst. Die als Verhandlungserfolg beworbene Verringerung auf 19 Datenfelder ist also nur kosmetisch.

Ein zweiter Kritikpunkt ist die verlängerte Speicherdauer von 15 Jahren; das Vorgängerabkommen hatte nur eine Dauer von 3,5 Jahre vorgesehen. Die verlängerte Speicherfrist soll auch auf die nach dem Vorgängerabkommen übermittelten Daten ausgedehnt werden. Bereits die Speicherung nach dem Vorgängerabkommen war von der Artikel 29-Gruppe als unverhältnismäßig kritisiert worden.

Zusätzlich sind die Zwecke, zu denen die Daten verwendet werden dürfen, zu unbestimmt. Sie sollen neben der Verfolgung terroristischer Verbrechen auch ?im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen verwendet werden?. Die letzten beiden Bestimmungen weiten den Verwendungszweck theoretisch auch auf Bagatelldelikte und darüber hinaus aus. Auch die Befugnisse zur Weitergabe an andere Stellen sind weiter gefasst als im Vorgängerabkommen.

Ein weiterer Punkt ist die Übertragung nicht erforderlicher Daten. Dies betrifft die Informationen zu Sonderwünschen (Punkt 17 oben, z.B. Informationen über koscheres oder Diabetiker-geeignetes Essen), die unter Umständen Rückschlüsse auf Gesundheitszustand und Religion erlauben. Diese Daten sollen zwar im Normalfall nach der Übermittlung beim DHS gesperrt werden, allerdings gibt es auch hier eine Ausnahmeregelung.

Zu guter Letzt gibt es keine Kontrolle durch völlig unabhängige Datenschutzaufsichtsbehörden; die Einhaltung der Bestimmungen soll durch die Europäische Kommission und das US-Heimatschutzministerium gewährleistet werden.

Auch innerhalb der Europäischen Union gab es in den letzten Jahren wiederholt Bestrebungen, eine einheitliche Datenbank von Passagierdaten innereuropäischer Flüge zu schaffen; diese verliefen bisher aber immer im Sand.

Verloren im Abkürzungs-Dschungel? Einen kleinen Kompass finden Sie hier!

Nachfolgend haben wir zu diesem Themenkomplex die Ressourcen zusammengestellt, die dazu in der Datenbank des Web-Portals www.datenschutz.de unter den Schlagwörtern Recht / Internationale Datenflüsse / EU/US-Flugdaten-Affäre und Recht / Verkehr / EU/US-Flugdaten-Affäre vorhanden sind:

Weiterhin wurden folgenden News-Meldungen zum Thema in unserer Datenbank gefunden:


http://www.datenschutz.de/
Features

Adresshandel

Datenschutz bei Kindern

Steuer-ID

SWIFT

Vorratsdatenspeicherung

Übersicht Features

News

Kontroverse Diskussion zum Entwurf eines Beschäftigtendatenschutzgesetzes

Datenschutz aus erster Hand

Kanada: Datenschutz- und Informationsfreiheitsbeauftragte für Open Government

Kommissionsvorschläge für EU-USA-Datenschutzabkommen

Übersicht News RSS Feed

Externe Links


Home English Kontakt Login Neu
Suchen:
Ornament
Ornament
Ein gemeinsamer Service Ihrer Datenschutzinstitutionen