PNR

Fluggastdatenspeicherung

cc0

Inhalt:

Was ist die EU-PNR-Richtlinie?
Warum ist die PNR-Richtlinie problematisch?
Welche Daten werden gespeichert?
Unsere Hauptkritikpunkte an der österreichischen Umsetzung der PNR-Richtlinie
Was wir gegen die PNR-Richtlinie unternehmen
Was kannst du gegen die PNR-Richtlinie tun?

Was ist die EU-PNR-Richtlinie?

PNR steht für Passenger Name Records, auf Deutsch Fluggastdaten. Dabei handelt es sich um Datensätze zu einer Person, die einen Flug unternimmt. Nach der EU-PNR-Richtlinie (RL (EU) 2016/681) muss jeder Mensch, der in die oder aus der EU fliegt, in einer Datenbank erfasst werden. In Österreich werden zusätzlich sogar Daten über Flüge innerhalb der EU erfasst. Neben den Daten zum Flug kann auch der Aufenthalt im Gastland (z. B. Hotel und Adresse) oder auch das Ausleihen eines Mietwagens festgehalten werden. Auch wie lange man in einem Land bleibt und wie man die Reise bezahlt hat (Kreditkartendaten) wird gespeichert. Alle diese Daten müssen von den Fluglinien zweimal an eine staatliche Stelle weitergeleitet werden: einmal vor dem Flug und einmal nach der Ankunft. Nach sechs Monaten werden die Daten entpersonalisiert, das heißt aber nur, dass der Klarname gelöscht wird. Potentiell können sie aber auch dann immer noch auf eine bestimmte Person zurückgeführt werden, sie sind also nicht anonymisiert. Erst nach vollen fünf Jahren werden sie gänzlich gelöscht. 

Diese Daten werden automatisiert und ständig auf „Auffälligkeiten“ vom System algorithmisch gefiltert, ganz unabhängig von jeglichem Verdacht. Treffer werden an die Behörden gemeldet, wobei diese auch manuellen Zugriff darauf haben. Auch ein Abgleich mit Fahnungsdaten findet statt. Zugriff auf die Daten haben Polizeibehörden, Geheimdienste und der Verfassungsschutz des jeweiligen Landes sowie Europol. Die Informationen können innerhalb der EU mit anderen Mitgliedsstaaten ausgetauscht werden.

Zudem gibt es neben der EU auch andere Länder, die Daten von Flugreisenden speichern. In den USA sind diese Datensätze umfassender und werden beispielsweise 3,5 Jahre lang gespeichert, wobei es mittlerweile einen Ruf nach Verlängerung der Speicherdauer gibt. Manche VerfechterInnen der Fluggastdatenspeicherung wollen gar, dass diese 30 Jahre lang behalten werden.

Wozu wurde die PNR-Richtlinie eingeführt?

Nach den Anschlägen vom 11. September wurden weltweit viele Maßnahmen gesetzt, deren Ziel es sein sollte, die Sicherheit im Flugverkehr zu gewährleisten und terroristische Anschläge mit und in Flugzeugen zu verhindern. Gespeichert werden aber nicht nur Daten von Menschen, die aus einem der EU-Länder ein- und ausfliegen, sondern auch nur zwischenlanden. Wer also auf dem Weg von Südamerika über Europa nach Asien ist, dessen Daten werden in der EU ein halbes Jahr lang gespeichert – und zwar in jenem Land, in dem der Zwischenaufenthalt stattfindet. 

Warum ist die PNR-Richtlinie problematisch?

Anlasslose Vorratsrasterfahndung und verdachtsunbhängige Massenüberwachung

Die Speicherung von Fluggastdaten ist eine weitere Form der Vorratsdatenspeicherung, deren Grundrechtswidrigkeit bereits dreimal vom Europäischen Gerichtshof festgestellt wurde – zuletzt 2017, als entschieden wurde, dass der Austausch von Fluggastdaten mit Kanada das Recht auf Achtung der Privatsphäre (Art 7 GRC) und das Grundrecht auf Datenschutz (Art 8 GRC) verletzt. Deshalb halten wir auch die PNR-Richtlinie für grundrechtswidrig. Die Verarbeitung und Speicherung erfolgen anlasslos und verdachtsunabhängig. Jeder Person wird ein Misstrauen entgegengebracht und alle werden unter Generalverdacht gestellt.

In Österreich sollen im Endausbau mind. 54 Millionen Datensätze pro Jahr verarbeitet werden und in Deutschland wird mit 180 Millionen betroffenen Personen gerechnet.

In diesen Daten wird durch die Polizei eine Rasterfahndung auf Vorrat durchgeführt, also ohne jeglichen Verdacht. Das ist für die österreichische Rechtsordnung völlig neu und ein massives rechtsstaatliches Problem, weil es Tür und Tor für Polizeiermittlungen ohne jeden Anlassfall öffnet.

Massenüberwachung ist weniger effizent als angenommen

Dass Massenüberwachung geeignet ist, zur Verhütung oder Aufklärung von Straftaten beizutragen, wird oft postuliert, ist aber nicht erwiesen und wird auch selten mit Argumenten begründet. Auch in Ländern, in denen es seit vielen Jahren Massenüberwachung gibt, werden nicht mehr Terroranschläge und Verbrechen verhindert oder aufgeklärt. Im Gegenteil – hochrangige Beamte von Geheimdiensten erzählen vielmehr von der Erfahrung, dass zu viele Daten die Analyse schwieriger machen.

Diskriminierung durch intransparente Algorithmen

Der Gefahr von Diskriminierung und automatisierten Fehlinterpretationen von Daten wird nicht ausreichend begegnet. Wenn ein personenbezogener Datensatz bestimmten Kriterien entspricht, gilt das als „Treffer“. Das Gesetz schließt nicht eindeutig aus, dass Personen (zu Unrecht) nur aufgrund von Algorithmen als Verdächtige auf Listen landen, die an Polizeibehörden anderer Länder weitergegeben werden.

Diskriminierende Merkmale dürfen zwar nicht Teil der Kriterien sein, nach denen gesucht wird, Algorithmen verschleiern aber oftmals die Verwendung solcher sensibler Merkmale, indem sie stattdessen auf Platzhaltern aufbauen, wie z. B. das die Essensauswahl im Flugzeug als Platzhalter für die Religion.

Wenn die verwendeten Algorithmen nicht offengelegt werden, ist es außerdem unmöglich, sie zu überprüfen. Wenn Entscheidungen (z. B. über das Setzen von Überwachungsmaßnahmen) von Algorithmen getroffen werden, ist diese Intransparenz ein schwerwiegendes demokratiepolitisches und rechtsstaatliches Problem.

Falsche Treffer

Bei Datensätzen von enormer Größe, wie es bei den Fluggastdaten der Fall ist, kommt es auch bei hoher Treffsicherheit zu einer großen Zahl an falschen Treffern („false positives“). Daran führt mathematisch kein Weg vorbei, weil man in einem sehr großen Datenset nach etwas sucht, das sehr selten ist. Alle Treffer, die algorithmisch entstehen, müssen nach der Richtlinie durch eine Person individuell überprüft werden. Dies soll z. B. durch einen Abgleich mit Daten aus anderen Datenbänken geschehen. Damit wird eine weitere Ermittlungshandlung gesetzt, die ausdrücklich auch Personen betrifft, gegen die kein begründeter Verdacht vorliegt, denn genau die sollen durch den Vorgang aussortiert werden. Man fängt also von hinten an: Alle werden überwacht, es gibt sehr viele Treffer, und von diesen müssen noch mehr händisch aussortiert werden. In Deutschland hat eine Anfrage an das Innenministerium ergeben, dass von 94.098 Treffern durch das PNR-System nur 277 korrekt waren

Welche Daten werden gespeichert?

Wir haben eine Liste zusammengestellt, die alle Daten aufzeigt, die gespeichert werden.

Unsere Hauptkritikpunkte an der österreichischen Umsetzung der PNR-Richtlinie:

In Österreich wurde zur Umsetzung der Richtlinie das PNR-Gesetz beschlossen, das seit 16. 8. 2018 in Kraft ist. Durch das Gesetz wurde eine Fluggastdatenzentralstelle beim Bundeskriminalamt eingerichtet, die nun für die Datenverarbeitung zuständig ist. 

Wir haben bereits bei der Gestaltung des Gesetzes eine parlamentarische Stellungnahme abgegeben.

  • AUSWEITUNG AUF INNEREUROPÄISCHE FLÜGE: Der Innenminister wurde zudem ermächtigt, durch Verordnung festzulegen, dass die Daten der Fluggäste auch für innereuropäische Reisen gespeichert werden, obwohl dies nicht verpflichtend ist. Hier findet eine Übererfüllung der EU-Vorgaben statt. Das sogenannte „Gold Plating“, also die Übererfüllung von Richtlinien, ist gerade im Bereich von persönlichen Daten Fehl am Platz. 
  • MANGELHAFTER DATENSCHUTZ: Der Entwurf genügt nicht den Datenschutzbestimmungen der Richtlinie selbst und auch nicht den anderen EU-Vorgaben für den Datenschutz bei Polizeibehörden. So sind in Österreich Informationspflichten, Auskunftsrecht und der Schutz vor nicht-automatisierter Trefferüberprüfung unzureichend gestaltet.

Was wir gegen die PNR-Richtlinie unternehmen

Wir haben bereits erfolgreich die Vorratsdatenspeicherung im Zusammenhang mit Kommunikationsdaten angefochten und möchten nun auch auf juristischem Wege die Fluggastdatenverarbeitung kippen.

Unsere Projektpartnerin ist die Gesellschaft für Freiheitsrechte (GFF) in Deutschland. Die GFF erhebt sowohl eine Zivilklage gegen ausgewählte Fluglinien als auch eine Verwaltungsbeschwerde.

Wir erheben eine datenschutzrechtliche Beschwerde an die Datenschutzbehörde, mit dem Ziel, vor dem Verwaltungsgericht eine Vorlage vor den EuGH zu erwirken.

Was kannst du gegen die PNR-Richtlinie tun?

Selbst Beschwerde erheben!

Du kannst selbst Beschwerde gegen die PNR-Richtlinie erheben. Die einzige Voraussetzung ist, dass du in den letzten 6 Monaten mit den Austrian Airlines aus oder nach Österreich geflogen bist. Alle anderen Fluglinien werden erst nach und nach im System angebunden.

Dazu musst du folgende Schritte durchlaufen:

  1. Sag uns Bescheid, dass du mitmachen willst. Wir beantworten gern alle Fragen dazu.
  2. Stelle ein Auskunftsbegehren. So siehst du vorab welche Daten gespeichert werden. Hier ist eine Vorlage.
  3. Wir veröffentlichen unsere Beschwerde in Kürze hier, zusammen mit einer Anleitung, was du tun musst, um selbst eine Beschwerde zu führen.

Es entstehen weder Kosten noch zeitlicher Aufwand, außer für das Ausfüllen diverser Formulare (Auskunftsbegehren etc.). Leider kann jeder einzelne Schritt etwas dauern, Geduld ist also eine Voraussetzung. ;)

Unsere Kampagne unterstützen!

Unterstütze unsere europäische Kampagne auf nopnr.eu, in dem du unsere Postings teilst, darüber mit FreundInnen, Bekannten und Verwandten sprichst und diskutierst, usw.!