Virtuelles Datenschutzbüro
http://www.datenschutz.de/

Schwerpunktthema:

Flugpassagierdaten-Abkommen

[Letzte Änderung 31.08.2007]
Dieses Dossier wurde zusammengestellt von Herrn Langfeldt (ULD SH):

Nach einem Abkommen der EU mit den USA, das am 23.7.2007 offiziell verabschiedet wurde und zum 01.08.2007 vorläufig in Kraft trat, sind Fluglinien, die Flüge von Europa in die USA anbieten, verpflichtet, Daten zu ihren Passagieren an das US-Heimatschutzministerium (DHS) zu übermitteln, wo sie standardmäßig für 15 Jahre gespeichert werden. In diesen Passenger Name Records (PNR) werden insgesamt 19 Datenfelder übermittelt, sofern sie im Buchungssystem der Fluglinie gespeichert sind. Im Einzelnen sind dies die folgenden:

1. Ein Code zur Identifizierung des PNR
2. Datum der Reservierung und der Ausstellung des Flugscheins
3. Geplante Abflugdaten
4. Name(n) des Passagiers
5. Informationen über Vielflieger- und Bonusprogramme und gewährte Rabatte
6. Andere Namen im PNR, einschließlich Zahl der Reisenden im PNR
7. Alle verfügbaren Kontaktinformationen (einschließlich Auftraggeberinformationen)
8. Alle verfügbaren Zahlungs-/Abrechnungsinformationen (ohne weitere Transaktionsdetails für eine Kreditkarte oder ein Konto, die nicht mit der die Reise betreffenden Transaktion verknüpft sind)
9. Reiseverlauf für den jeweiligen PNR
10. Reisebüro/Sachbearbeiter des Reisebüros, bei dem das Ticket gebucht wurde
11. Code-Sharing-Informationen (gemeinsames Anbieten von Flügen durch mehrere Fluggesellschaften; ein einzelner Flug erhält hierbei verschiedene Flugnummern)
12. Informationen über Aufspaltung/Teilung einer Buchung
13. Reisestatus des Fluggastes (einschließlich Bestätigungen und Eincheckstatus)
14. Information über das Ticket, einschließlich Flugscheinnummer, Angabe, ob Flugschein für einfachen Flug, sowie Automatic Ticket Fare Quote (automatische Tarifabfrage)
15. Sämtliche Informationen zum Gepäck
16. Sitzplatzinformationen, einschließlich Sitzplatznummer
17. Allgemeine Bemerkungen einschließlich Informationen zur besonderen Behandlung des Passagiers (OSI – Other Service Information, SSI – Special Service Information, SSR – Special Service Requests; enthalten Information z.B. für Passagiere mit Behinderungen, besonderen Essenswünschen o.Ä.)
18. Etwaig erfasste APIS-Daten (Advance Passenger Information System – beinhaltet Daten zu Namen, Adressen, Passnummer sowie, falls vorhanden, biometrische Daten aus den Ausweisdokumenten)
19. Alle Änderungen der unter den Nummern 1 bis 18 aufgeführten Daten

Spätestens ab 2008 sollen diese Daten in einem Push-System übertragen werden, das heißt, sie sollen von den Fluglinien aktiv an das DHS weitergeleitet werden. Bis zur Umstellung wird wie bisher ein Pull-System verwendet, bei dem das DHS selbst auf die Daten zugreift. Sensible Daten, also solche, die auf Religion oder Gesundheit schließen lassen, sollen beim DHS nach der Übertragung automatisch gelöscht werden; in Notfällen sind Ausnahmen möglich. Das DHS kann die Daten an andere US-Behörden, die für Aufgaben der Strafverfolgung, der öffentlichen Sicherheit und der Terrorismusbekämpfung zuständig sind, weitergeben. Auch die Weitergabe an Drittstaaten ist möglich, wenn diese ein (nach Ansicht des DHS) ausreichendes Datenschutzniveau bieten können, wobei selbst dieses Kriterium in Notfällen ignoriert werden kann.

Die übermittelten Daten unterliegen dem US-Recht. Dies hat zur Folge, dass sie von Änderungen der relevanten Gesetze betroffen sind, ohne dass die EU eine Handhabe hiergegen hätte. Nach US-Recht haben betroffene Personen eigentlich ein Recht auf Einsicht in die gespeicherten Daten, allerdings ist dieses Verfahren sehr bürokratisch und kann unter Anderem aus Gründen der nationalen Sicherheit verweigert werden. Diese Ausnahmebestimmung will das DHS, wie Ende August 2007 bekannt wurde, auf die PNR-Daten anwenden.

Kritik am Abkommen:

Das Abkommen wurde unter Anderem von der Artikel 29-Gruppe (der Arbeitsgruppe der europäischen Datenschutzbeauftragten) scharf kritisiert.
Es ist nicht das erste seiner Art; bereits im Frühjahr 2003 gab es eine Übereinkunft zwischen der EU und den USA zur Übermittlung von Fluggastdaten, die Ende 2003 durch ein bindendes Abkommen ersetzt wurde. Dieses Abkommen wiederum wurde vom Europäischen Gerichtshof im Sommer 2006 aufgrund einer falschen Rechtsgrundlage für nichtig erklärt. Nachdem die Übermittlung zunächst mittels eines Interimsabkommens fortgesetzt wurde, soll das aktuelle Abkommen nun eine stabile rechtliche Grundlage für die Übermittlung bieten.
Zwar reduziert es gegenüber seinen Vorgängern auf den ersten Blick deutlich die Anzahl der Datensätze, praktisch aber bleibt der Umfang der übermittelten Daten fast gleich. Es wurden nur einige Informationen, die vorher einzelne Datensätze bildeten, zusammengefasst. So wurden zum Beispiel die Daten zu Straße, Postleitzahl und Ort zum Punkt „Kontaktinformationen“ zusammengefasst. Die als Verhandlungserfolg beworbene Verringerung auf 19 Datenfelder ist also nur kosmetisch.
Ein zweiter Kritikpunkt ist die verlängerte Speicherdauer von 15 Jahren; das Vorgängerabkommen hatte nur eine Dauer von 3,5 Jahre vorgesehen. Die verlängerte Speicherfrist soll auch auf die nach dem Vorgängerabkommen übermittelten Daten ausgedehnt werden. Bereits die Speicherung nach dem Vorgängerabkommen war von der Artikel 29-Gruppe als unverhältnismäßig kritisiert worden. Doch selbst nach 15 Jahren ist die Löschung der Daten nicht sicher: Das DHS sichert nur zu, dass die Daten am Ende dieser Frist gelöscht werden „sollen“, nicht, dass sie gelöscht werden müssen.
Zusätzlich sind die Zwecke, zu denen die Daten verwendet werden dürfen, zu unbestimmt. Sie sollen neben der Verfolgung terroristischer Verbrechen auch „im Zusammenhang mit Strafprozessen oder anderen gesetzlichen Erfordernissen verwendet werden.“. Die letzten beiden Bestimmungen weiten den Verwendungszweck theoretisch auch auf Bagatelldelikte und selbst darüber hinaus aus. Auch die Befugnisse zur Weitergabe an andere Stellen sind weiter gefasst als im Vorgängerabkommen.
Ein weiter Punkt ist die Übertragung nicht erforderlicher Daten, die teilweise auf sensible Information, z.B. zur Religion oder zur Gesundheit schließen lassen. Dies bezieht sich auf die Informationen zu Sonderwünschen (Punkt 17 oben), die unter Umständen solche Rückschlüsse erlauben. Diese Daten sollen zwar im Normalfall nach der Übermittlung beim DHS gelöscht werden, allerdings ist hier eine Ausnahme für Notfälle vorgesehen. In diesem Zusammenhang fällt auf, dass Abkommen über die Übertragung von PNR-Daten mit anderen Staaten, z.B. Kanada und Australien, einen deutlich geringeren Umfang der Datenübermittlung und strengere Regeln für ihre Verwendung vorsehen.
Zu guter Letzt gibt es keine Kontrolle durch unabhängige Datenschutzaufsichtsbehörden; die Einhaltung der Bestimmungen soll durch den EU-Justizkommissar und den US-Heimatschutzminister sichergestellt werden.

Verloren im Abkürzungs-Dschungel? Einen kleinen Kompass finden Sie hier!

Nachfolgend haben wir zu diesem Themenkomplex die Ressourcen zusammengestellt, die dazu in der Datenbank des Web-Portals www.datenschutz.de unter den Schlagwörtern Recht / Internationale Datenflüsse / EU/US-Flugdaten-Affäre und Recht / Verkehr / EU/US-Flugdaten-Affäre vorhanden sind:

Weiterhin wurden folgenden News-Meldungen zum Thema in unserer Datenbank gefunden:


http://www.datenschutz.de/
Features

Schüler-ID

Datenschutz bei Kindern

Anti-Terror-Datei

Flugpassagierdaten- Abkommen

Vorratsdatenspeicherung

Übersicht Features

News

Datenschutz ist Bildungsaufgabe - Safer Internet Day am 9. Februar 2010

"Meine Daten kriegt ihr nicht!"

UK: "Three strikes" in der Kritik

Kommission startet Konsultationsverfahren zur Datenübermittlung an USA

Schweden setzt Vorratsdatenspeicherung weiterhin nicht um

Übersicht News RSS Feed
Home English Kontakt Login Neu
Suchen:
Ornament
Ornament
Ein gemeinsamer Service Ihrer Datenschutzinstitutionen