Was ist die EU-PNR-Richtlinie?

PNR steht für Passenger Name Records, auf Deutsch Fluggastdaten. Dabei handelt es sich um Datensätze zu einer Person, die einen Flug unternimmt. Nach der EU-PNR-Richtlinie (RL (EU) 2016/681) muss jeder Mensch, der in die oder aus der EU fliegt, in einer Datenbank erfasst werden. In Österreich werden zusätzlich sogar Daten über Flüge innerhalb der EU erfasst. Neben den Daten zum Flug kann auch der Aufenthalt im Gastland (z. B. Hotel und Adresse) oder auch das Ausleihen eines Mietwagens festgehalten werden. Auch wie lange man in einem Land bleibt und wie man die Reise bezahlt hat (Kreditkartendaten) wird gespeichert. Alle diese Daten müssen von den Fluglinien zweimal an eine staatliche Stelle weitergeleitet werden: einmal vor dem Flug und einmal nach der Ankunft. Nach sechs Monaten werden die Daten entpersonalisiert, das heißt aber nur, dass der Klarname gelöscht wird. Potentiell können sie aber auch dann immer noch auf eine bestimmte Person zurückgeführt werden, sie sind also nicht anonymisiert. Erst nach vollen fünf Jahren werden sie gänzlich gelöscht. 

Diese Daten werden automatisiert und ständig auf „Auffälligkeiten“ vom System algorithmisch gefiltert, ganz unabhängig von jeglichem Verdacht. Treffer werden an die Behörden gemeldet, wobei diese auch manuellen Zugriff darauf haben. Auch ein Abgleich mit Fahnungsdaten findet statt. Zugriff auf die Daten haben Polizeibehörden, Geheimdienste und der Verfassungsschutz des jeweiligen Landes sowie Europol. Die Informationen können innerhalb der EU mit anderen Mitgliedsstaaten ausgetauscht werden.

Zudem gibt es neben der EU auch andere Länder, die Daten von Flugreisenden speichern. In den USA sind diese Datensätze umfassender und werden beispielsweise 3,5 Jahre lang gespeichert, wobei es mittlerweile einen Ruf nach Verlängerung der Speicherdauer gibt. Manche VerfechterInnen der Fluggastdatenspeicherung wollen gar, dass diese 30 Jahre lang behalten werden.

Wozu wurde die PNR-Richtlinie eingeführt?

Nach den Anschlägen vom 11. September wurden weltweit viele Maßnahmen gesetzt, deren Ziel es sein sollte, die Sicherheit im Flugverkehr zu gewährleisten und terroristische Anschläge mit und in Flugzeugen zu verhindern. Gespeichert werden aber nicht nur Daten von Menschen, die aus einem der EU-Länder ein- und ausfliegen, sondern auch nur zwischenlanden. Wer also auf dem Weg von Südamerika über Europa nach Asien ist, dessen Daten werden in der EU ein halbes Jahr lang gespeichert – und zwar in jenem Land, in dem der Zwischenaufenthalt stattfindet. 

Warum ist die PNR-Richtlinie problematisch?

Anlasslose Vorratsrasterfahndung und verdachtsunbhängige Massenüberwachung

Die Speicherung von Fluggastdaten ist eine weitere Form der Vorratsdatenspeicherung, deren Grundrechtswidrigkeit bereits dreimal vom Europäischen Gerichtshof festgestellt wurde – zuletzt 2017, als entschieden wurde, dass der Austausch von Fluggastdaten mit Kanada das Recht auf Achtung der Privatsphäre (Art 7 GRC) und das Grundrecht auf Datenschutz (Art 8 GRC) verletzt. Deshalb halten wir auch die PNR-Richtlinie für grundrechtswidrig. Die Verarbeitung und Speicherung erfolgen anlasslos und verdachtsunabhängig. Jeder Person wird ein Misstrauen entgegengebracht und alle werden unter Generalverdacht gestellt.

In Österreich sollen im Endausbau mind. 54 Millionen Datensätze pro Jahr verarbeitet werden und in Deutschland wird mit 180 Millionen betroffenen Personen gerechnet.

In diesen Daten wird durch die Polizei eine Rasterfahndung auf Vorrat durchgeführt, also ohne jeglichen Verdacht. Das ist für die österreichische Rechtsordnung völlig neu und ein massives rechtsstaatliches Problem, weil es Tür und Tor für Polizeiermittlungen ohne jeden Anlassfall öffnet.

Massenüberwachung ist weniger effizent als angenommen

Dass Massenüberwachung geeignet ist, zur Verhütung oder Aufklärung von Straftaten beizutragen, wird oft postuliert, ist aber nicht erwiesen und wird auch selten mit Argumenten begründet. Auch in Ländern, in denen es seit vielen Jahren Massenüberwachung gibt, werden nicht mehr Terroranschläge und Verbrechen verhindert oder aufgeklärt. Im Gegenteil – hochrangige Beamte von Geheimdiensten erzählen vielmehr von der Erfahrung, dass zu viele Daten die Analyse schwieriger machen.

Diskriminierung durch intransparente Algorithmen

Der Gefahr von Diskriminierung und automatisierten Fehlinterpretationen von Daten wird nicht ausreichend begegnet. Wenn ein personenbezogener Datensatz bestimmten Kriterien entspricht, gilt das als „Treffer“. Das Gesetz schließt nicht eindeutig aus, dass Personen (zu Unrecht) nur aufgrund von Algorithmen als Verdächtige auf Listen landen, die an Polizeibehörden anderer Länder weitergegeben werden.

Diskriminierende Merkmale dürfen zwar nicht Teil der Kriterien sein, nach denen gesucht wird, Algorithmen verschleiern aber oftmals die Verwendung solcher sensibler Merkmale, indem sie stattdessen auf Platzhaltern aufbauen, wie z.B. die Essensauswahl im Flugzeug als Platzhalter für die Religion.

Wenn die verwendeten Algorithmen nicht offengelegt werden, ist es außerdem unmöglich, sie zu überprüfen. Wenn Entscheidungen (z. B. über das Setzen von Überwachungsmaßnahmen) von Algorithmen getroffen werden, ist diese Intransparenz ein schwerwiegendes demokratiepolitisches und rechtsstaatliches Problem.

Falsche Treffer

Bei Datensätzen von enormer Größe, wie es bei den Fluggastdaten der Fall ist, kommt es auch bei hoher Treffsicherheit zu einer großen Zahl an falschen Treffern („false positives“). Daran führt mathematisch kein Weg vorbei, weil man in einem sehr großen Datenset nach etwas sucht, das sehr selten ist. Alle Treffer, die algorithmisch entstehen, müssen nach der Richtlinie durch eine Person individuell überprüft werden. Dies soll z. B. durch einen Abgleich mit Daten aus anderen Datenbänken geschehen. Damit wird eine weitere Ermittlungshandlung gesetzt, die ausdrücklich auch Personen betrifft, gegen die kein begründeter Verdacht vorliegt, denn genau die sollen durch den Vorgang aussortiert werden. Man fängt also von hinten an: Alle werden überwacht, es gibt sehr viele Treffer, und von diesen müssen noch mehr händisch aussortiert werden.

Laut einer Anfragebeantwortung des Innenministeriums scheinen aktuell österreichweit pro Tag durchschnittlich etwa 490 „(vermeintliche) Treffer“ auf, die alle wiederum weitergehende Verifizierung benötigen. Hochgerechnet komme man damit auf ca. 3.340 Treffermeldungen wöchentlich. Dem gegenüber stehen lediglich 51 Treffer, die zweifelsfrei bestätigt werden konnten, nur 36 Fälle, in denen laut BMI maßgebliche Informationen über Sachverhalte aus den Bereichen „schwere Kriminalität“ und „Terrorismusbekämpfung“ übermittelt wurden und bloß 30 Fälle, in denen Exekutivbeamte direkt am betreffenden Flughafen eingriffen. Es sind also nur 0.1% der Treffer korrekt.

Welche Daten werden gespeichert?

Wir haben eine Liste zusammengestellt, die alle Daten aufzeigt, die gespeichert werden.

Wie weit ist die Umsetzung in Österreich?

(Stand 15.7.2019)

In Österreich sind aktuell zehn Luftfahrtunternehmen an das PNR-System angeschlossen, insgesamt sollen aber alle 91 gewerblichen Luftfahrunternehmen mit einer Betriebsgenehmigung in das System eingebunden werden.

Die Datenverarbeitung obliegt dabei der nationalen Fluggastdatenzentralstelle (Passenger Information Unit – PIU), bei der aktuell 21 Mitarbeiterinnen und Mitarbeiter beschäftigt sind. Für das Jahr 2019 werden dafür Personalkosten in Höhe von 1.840.570 Euro erwartet, 2020 sollen es laut Innenministerium 1,87 Millionen Euro sein. Dabei ist aber keineswegs ausgeschlossen, dass die Zahl der Beschäftigten noch weiter steigt, wenn erst einmal alle Fluglinien in das System eingebunden sind. Im Jahr 2018 gab es insgesamt 296.852 Starts und Landungen von Flugzeugen in Österreich, das waren 5,4% als im Vorjahr, womit sich die Datensätze in Zukunft noch massiv erhöhen könnten. Die Software, mit der die PNR Daten analysiert werden, wird im BMI selbst entwickelt.

Bereits bis zum 14. Mai 2019 wurden 7.633.867 Datensätze durch Fluggesellschaften übermittelt, 38.269 Flüge registriert und 7.633.867 Passagierdaten verarbeitet. Diese Datenmenge wurde in einem Zeitraum von knapp dreieinhalb Monaten seit der Anbindung der ersten Fluglinie am 1. Februar 2019 angesammelt. Gespeichert werden diese Daten auf einer Server-Architektur im Innenministerium. Zugriff haben darauf zur Zeit 20 Mitarbeiterinnen und Mitarbeiter der PIU.

Unsere Hauptkritikpunkte an der österreichischen Umsetzung der PNR-Richtlinie:

In Österreich wurde zur Umsetzung der Richtlinie das PNR-Gesetz beschlossen, das seit 16. 8. 2018 in Kraft ist. Durch das Gesetz wurde eine Fluggastdatenzentralstelle beim Bundeskriminalamt eingerichtet, die nun für die Datenverarbeitung zuständig ist. 

Wir haben bereits bei der Gestaltung des Gesetzes eine parlamentarische Stellungnahme abgegeben.

  • AUSWEITUNG AUF INNEREUROPÄISCHE FLÜGE: Der Innenminister wurde zudem ermächtigt, durch Verordnung festzulegen, dass die Daten der Fluggäste auch für innereuropäische Reisen gespeichert werden, obwohl dies nicht verpflichtend ist. Hier findet eine Übererfüllung der EU-Vorgaben statt. Das sogenannte „Gold Plating“, also die Übererfüllung von Richtlinien, ist gerade im Bereich von persönlichen Daten Fehl am Platz. 
  • MANGELHAFTER DATENSCHUTZ: Der Entwurf genügt nicht den Datenschutzbestimmungen der Richtlinie selbst und auch nicht den anderen EU-Vorgaben für den Datenschutz bei Polizeibehörden. So sind in Österreich Informationspflichten, Auskunftsrecht und der Schutz vor nicht-automatisierter Trefferüberprüfung unzureichend gestaltet.

Was wir gegen die PNR-Richtlinie unternehmen

Wir haben bereits erfolgreich die Vorratsdatenspeicherung im Zusammenhang mit Kommunikationsdaten angefochten und möchten nun auch auf juristischem Wege die Fluggastdatenverarbeitung kippen.

Unsere Projektpartnerin ist die Gesellschaft für Freiheitsrechte (GFF) in Deutschland. Die GFF erhebt sowohl eine Zivilklage gegen ausgewählte Fluglinien als auch eine Verwaltungsbeschwerde.

Wir haben eine datenschutzrechtliche Beschwerde an die Datenschutzbehörde erhoben, mit dem Ziel, vor dem Verwaltungsgericht eine Vorlage vor den EuGH zu erwirken. Das ist uns auch gelungen, denn die Datenschutzbehörde hat unsere Beschwerde abgelehnt. Unser nächstes Ziel ist das Bundesverwaltungsgericht. Die Beschwerde an das Bundesverwaltungsgericht beinhaltet zwei Hauptkritikpunkte an der PNR-Gesetzgebung: Zum einen halten wir die Richtlinie selbst für grundrechtswidrig und weiters halten wir die österreichische Umsetzung der Richtlinie, also das PNR-Gesetz, für viel zu weit gegriffen. Lies hier nach, was die Beschwerde beinhaltet.

Update Mai/Juni 2020

Das Bundesverwaltungsgericht hat uns mitgeteilt, das Verfahren zu unserer Beschwerde zu unterbrechen. Somit wird das BVwG keine Rechtsfragen an den EuGH richten und wird erstmal das EuGH-Verfahren von Deutschland und Belgien zu der Causa abwarten. Alle weiterein Infos dazu findst du hier

Dokumente

Der EuGH hat zwar schon 2022 unsere Bedenken zur Fluggastdatenspeicherung bestätigt, aber wesentliche Fragen unbeantwortet gelassen. Wir haben eine Stellungnahme an das österreichische Bundesverwaltungsgericht eingereicht. Darin machen wir deutlich, warum wir die europäische PNR-Richtlinie als…

 

Consultation Response to the Inception Impact Assessment of the upcoming Revision of the API Directive 2004/82/EC.

 

Farblich markierte netzpolitische Analyse des Regierungsprogramms 2020-2024

 

Mit diesem Formular kannst du gegen einen Bescheid der Datenschutzbehörde im PNR-Verfahren Beschwerde beim Bundesverwaltungsgericht erheben.

 

Alle Artikel zum Thema

Das war 2023 in der Netzpolitik: Wir blicken zurück auf ein ereignisreiches Jahr.

Das Jahr 2020 war vermutlich für jeden ein ungewöhnliches und besonders herausforderndes. Neben der persönlichen Ebene war dieses salopp genannte „Jahr der Pest“ für uns auch mit ungewöhnlichen und neuen Themen verbunden - und das ausgerechnet im Jahr unseres 10. Geburtstags. Niemals hätten wir uns…

Im August 2019 haben wir eine Beschwerde gegen die Fluggastdatenspeicherung bei der Datenschutzbehörde eingelegt. Diese hat im Oktober 2019 unsere Beschwerde abgewiesen und so konnten wir damit vor das Bundesverwaltungsgericht gehen.

 

Die von uns eingebrachte Beschwerde enthielt Anregungen für…

Vor zehn Jahren wurde epicenter.works - damals noch unter dem Name AKVorrat - ins Leben gerufen bzw. offiziell als Verein gegründet. Seit 2010 hat sich auf netzpolitischer Ebene sehr viel getan. Nicht nur, dass die Gesetzgebung und Regulierung des digitalen Raumes zugenommen hat, die Wichtigkeit der…

Der Innenminister hat jetzt die Chance, das Gold Plating bei der Fluggastüberwachung zu stoppen. Die Ausweitung der EU-Richtlinie auf innereuropäische Flüge widerspricht der Personenfreizügigkeit. 

 

Per Verordnung wurde 2018 die Umsetzung der EU-Richtlinie zur Fluggastdatenspeicherung mit einem…