Rat stimmt zu: Neue EU-Vorschriften zum Sammeln von Fluggastdaten stehen

Der EU-Ministerrat hat am Donnerstag zwei Verordnungsentwürfe final gebilligt, um Lücken beim Erheben und Auswerten von Advance Passenger Information (API) zu schließen. Dabei handelt es sich um Informationen zur Identität von Fluggästen, die in den Reisedokumenten zu finden sind und beim Check-in mit Angaben zu den Reiserouten ergänzt werden. Eingeschlossen sind etwa Namen, Geburtsdaten, Staatsangehörigkeit und weitere Daten etwa aus dem elektronischen Reisepass. Sie müssen laut der bisherigen API-Richtlinie von 2004 vor und nach dem Abflug an die Behörden am Ankunftsort übermittelt werden. Bislang können Mitgliedstaaten aber selbst entscheiden, ob sie die API von den Fluggesellschaften anfordern und an Ermittler weitergeben.

Mit den zwei neuen Gesetzen sollen die Vorgaben harmonisiert werden, um die Grenzsicherheit der EU zu erhöhen und den Kampf gegen Terrorismus und schwere Kriminalität zu verstärken, erklärt der Rat. Eines der beiden angenommenen Gesetze regelt das automatisierte Sammeln durch Scans maschinenlesbarer Ausweisdokumente und den Transfer von API. Fluggesellschaften müssen diese Passagierdaten künftig zusammen etwa mit Gepäckinformationen an die Behörden übermitteln, bevor die Passagiere die EU-Außengrenzen erreichen. Dadurch soll sichergestellt werden, dass die zuständigen Beamten im Vorfeld Kontrollen durchführen, potenzielle Sicherheitsrisiken bewerten und möglichst wirksam bewältigen können.

API und PNR sollen zusammen ausgewertet werden

Die zweite Verordnung über die Nutzung von API für Strafverfolgungszwecke soll die Prävention, Aufdeckung und Verfolgung von Terrorismus und schwerer Straftaten unterstützen. Die Basisdaten über Fluggäste werden demnach mit den umfangreicheren Passenger Name Records (PNR) kombiniert, die ebenfalls die Airlines erheben. Darunter sind auch Sitznummern, Gepäck- und Kontaktangaben, E-Mail-Adressen, Zahlungsarten sowie ein nicht näher definiertes Freitextfeld. Nach der PNR-Richtlinie von 2016 müssen die Fluggesellschaften diese Daten an spezielle Sammelstellen des Ziellandes übermitteln – hierzulande ans Bundeskriminalamt (BKA). Der Europäische Gerichtshof (EuGH) legte mit einem Grundsatzurteil 2022 die Hürden für die PNR-Vorratsspeicherung aber höher. Das Verwaltungsgericht Wiesbaden stufte die darauf basierende BKA-Himmelsrasterfahndung in Folge als rechtswidrig ein, sodass hier Anpassungsbedarf besteht.

Laut den neuen API-Verordnungen richtet die EU einen zentralen Router für die Datenübertragung ein, um einen genaueren Austausch zu gewährleisten und den Verwaltungsaufwand zu verringern. Fluggesellschaften müssen ihre automatisierten Systeme daran anschließen, wobei bei Bedarf noch eine Übergangszeit für die manuelle Datenerfassung vorgesehen ist. Die EU-Staaten wollen die Informationsdrehscheibe prioritär zusammen mit der Kommission und der für das Management von IT-Großsystemen zuständigen Agentur EU-Lisa an den Start bringen. In Kraft treten die Verordnungen nun 20 Tage nach ihrer Veröffentlichung im EU-Amtsblatt. Der ungarische Innenminister Sándor Pintér begrüßte die Zustimmung im Namen der Ratspräsidentschaft: "Wir können es uns nicht leisten, dass es hinsichtlich der in der EU ankommenden Fluggäste blinde Flecken gibt."

(mki)