Drucksache 16/12600
13.5
– 138 –
Fluggastdaten
Seit dem 11. September 2001 werten immer mehr Staaten
die von Fluggesellschaften erhobenen Fluggastdatensätze, die sog. PNR-Daten aus. Sie wollen damit Personen mit hohem kriminellem oder terroristischem Gefährdungspotenzial herausfiltern.
Die Verarbeitung dieser Daten stellt einen erheblichen
Eingriff in das Recht auf informationelle Selbstbestimmung in erster Linie unbescholtener Bürgerinnen und
Bürger dar. Den Nachweis, dass diese Daten unerlässlich
sind, um den Terrorismus oder organisiertes Verbrechen
wirksam zu bekämpfen, konnten weder die beteiligten
Regierungen noch die EU-Institutionen erbringen.
Im Berichtszeitraum hatte ich mich vor allem mit entsprechenden Vorhaben auf EU-Ebene zu befassen. Bedeutsam
waren insbesondere das zwischen den USA und der EU
ausgehandelte dritte Abkommen zur Übermittlung von
Fluggastdaten (Nr. 13.5.2) und der Vorschlag der Kommission für einen Rahmenbeschluss des Rates über die
Verwendung von Fluggastdaten zu Strafverfolgungszwecken (Nr. 13.5.3).
13.5.1 Übermittlung von Flugpassagierdaten
(PNR)
Globale Standards sind dringender denn je.
Flugreisende geben bei jeder Buchung eine Reihe von
Daten an, die die Fluggesellschaft benötigt, um die Reise
im gewünschten Umfang durchführen zu können. Dabei
handelt es sich etwa um das Datum der Reise, Essenswünsche oder die Art der Bezahlung – Daten, die dann
von den Fluggesellschaften in deren Buchungs- und Reservierungssystemen als PNR (Passenger Name Record)Daten gespeichert werden (s. Kasten a zu Nr. 13.5.1).
K a s t e n a zu Nr. 13.5.1
Unterrichtung der Fluggäste
Die Artikel-29-Gruppe hat sich in der Vergangenheit wiederholt mit der Frage beschäftigt, wie Verbraucher und
Kunden besser über ihre bestehenden Datenschutzrechte
unterrichtet werden können. In ihrem Arbeitspapier 151
vom 24. Juni 2008 gibt die Artikel-29-Gruppe den Fluggesellschaften detaillierte Informationen an die Hand, wie
sie ihre Passagiere über die Nutzung von Passagierdaten
durch staatliche Stellen zu unterrichten haben und wie
Fluggäste ihre Rechte wahrnehmen können.
Großen Wert legt die Artikel-29-Gruppe darauf, dass die
Passagiere nicht erst beim Einchecken über die Übermittlung der Daten unterrichtet werden, sondern spätestens dann, wenn die Flugbuchung erfolgt. Dabei soll genau aufgeführt werden, wer die Daten anfordernde
Stelle ist, auf welcher Rechtsgrundlage die Übermittlung der einzelnen Datenelemente erfolgt und zu welchen Zwecken. Auch soll darüber informiert werden, für
wie lange die Daten gespeichert werden, an welche Stellen sie weitergeleitet werden können und wo die Fluggäste weitergehende Auskünfte erhalten.
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
Staatliche Stellen entwickeln weltweit ein zunehmendes
Interesse an diesen Daten. Insbesondere seit den
Terroranschlägen 2001 verlangen immer mehr Staaten,
dass ihnen Fluggesellschaften Passagierinformationen
vorab zur Verfügung stellen. Sie versprechen sich davon
zusätzliche Erkenntnisse für die Bewertung des Risikos,
das von Reisenden ausgeht. Die Daten werden regelmäßig bei der Einreisekontrolle und vielfach auch für Zwecke der Strafverfolgung und Gefahrenabwehr verwendet.
Dazu werden die Daten längerfristig gespeichert und mit
anderen Informationssammlungen abgeglichen. Die Fluggesellschaften sollen vor Ankunft – vielfach sogar lange
Zeit vor dem Abflug – bestimmte Angaben über ihre
Fluggäste an die entsprechenden Behörden übermitteln.
Diese von immer mehr Staaten bereits praktizierte Datensammlung bringt vielfältige datenschutzrechtliche Probleme mit sich. So werden die Daten für Zwecke verwendet, für die sie nicht erhoben wurden. Die damit
verbundene Durchbrechung des Zweckbindungsgrundsatzes wiegt besonders schwer, weil sie generell für alle
Flugreisenden und ohne jeden konkreten Anlass erfolgt.
Ein zweiter Problemkreis ist das Datenschutzniveau im
Empfängerstaat, insbesondere wenn dort keine Regelungen existieren, die den Anforderungen an einen angemessenen Datenschutzstandard entsprechen.
Schließlich stellt sich die Frage, wie und durch wen die
praktische Umsetzung der Datenschutzanforderungen
beim Umgang mit Passagierdaten überprüft wird. Ohne
ausreichende Rechtsgrundlage ist eine solche Übermittlung
an ausländische Stellen auf keinen Fall zulässig. Deshalb
hat die EU mittlerweile mit den USA (s. u. Nr. 13.5.2), mit
Kanada und mit Australien PNR-Abkommen zur Übermittlung von Passagierdaten geschlossen. In diesen Übereinkommen ist genau geregelt, welche einzelnen Daten an
welche Behörden übermittelt werden, wie lange sie dort
gespeichert werden und welche Rechte die betroffenen
Fluggäste haben. Korea fordert inzwischen gleichfalls den
Abschluss eines solchen Abkommens. Weitere Staaten wie
Indien wollen die Fluggesellschaften in naher Zukunft auffordern, Passagierdaten zu übermitteln.
K a s t e n b zu Nr. 13.5.1
Forderung nach globalen Standards
Angesichts dieser Entwicklung hat die Internationale
Datenschutzkonferenz 2007 in Montreal globale Standards bei der Übermittlung von Passagierdaten gefordert
und in einer Resolution alle staatlichen und supranationalen Einrichtungen wie IATA und ICAO aufgefordert, sich
für den Schutz dieser personenbezogenen Daten einzusetzen. Da die Flugunternehmen die Daten für ihre eigenen Geschäftszwecke erheben, ist eine Rechtsgrundlage
für die Übermittlung von Passagierdaten an staatliche
Stellen zwingend erforderlich, die auf den Prinzipen der
Notwendigkeit, Zweckbindung und Datensparsamkeit
beruhen muss. Außerdem sind die Reisenden auf die
Datenverarbeitung und ihre Rechte hinzuweisen. Zudem verlangt die Internationale Datenschutzkonferenz,
bestehende Abmachungen regelmäßig auf ihre Wirksamkeit zu überprüfen (vgl. Anlage 6).