Heikle Hilfestellung zur Weitergabe von Fluggastdaten

Am 1. August ist das neue Abkommen zur Weitergabe der Fluggastdaten zu Reisen in die USA an das dortige Ministerium für innere Sicherheit (DHS) in Kraft getreten. Es enthält eine entscheidende Neuerung gegenüber dem bisherigen Interimsabkommen: EU-Bürger sollen künftig ebenso wie US-Bürger Rechte auf Informationsfreiheit (Freedom of Information Act, FOIA) und nach dem Privacy Act (PA) in Anspruch nehmen können. Auf entsprechende Anfragen an das FOIA/PA-Büro des US Customs Border Protection Office beim DHS soll der Fluggast aus Europa erfahren dürfen, was die Ämter so über ihn gespeichert haben. Hilfestellungen für die Bürger bei den Anfragen gibt es bislang aber nicht.

Das DHS reagiert schriftlich und mit dem dürren Verweis auf die entsprechende Webseite für weitere Informationen zu FOIA/PA-Anfragen. Diese sind an US-Bürger gerichtet oder an diejenigen, die sich im US-amerikanischen Recht etwas besser auskennen. Zum Beispiel bleibt offen, ob man mit der Anfrage an das Customs and Border Protection Office auch erfahren kann, an wie viele andere US-Behörden die Daten weitergegeben wurde.

Die EU-Kommission fühlt sich nicht zuständig, was eine Hilfestellung für EU-Bürger bei möglichen Anfragen anbelangt. Man werde die FOIA-Regeln nicht in alle EU-Sprachen übersetzen, so die Antwort aus Brüssel auf eine Anfrage von heise online. "Die EU ist nicht verpflichtet, US-Gesetze in alle offiziellen EU-Sprachen zu übersetzen. Wir denken, diejenigen, die in die USA reisen, können Englisch", teilte eine Sprecherin von Justizkommissar Franco Frattini lapidar mit.

Der Bundesbeauftragte für den Datenschutz Peter Schaar und der europäische Datenschutzbeauftragte Peter Hustinx halten die Frage nach Unterstützung für die Bürger bei der Ausübung der FOIA-Ansprüche zwar für berechtigt. Allerdings gibt es bislang nirgends Pläne, Modellanfragen zu formulieren, auch wenn man das für eine gute Idee hält. Die Fluggesellschaften, die auch im Sinne der Kunden aktiv werden könnten, wie es aus Schaars Büro heißt, reichen den schwarzen Peter weiter und weisen auf die Verantwortung der EU hin.

Tipps und Modellbriefe bieten US-Bürgerrechtsorganisationen in den USA, natürlich vorerst für US-Bürger an. Die Electronic Frontier Foundation (EFF) hält etwa Tipps für FOIA-Anfragen von Bloggern bereit, auch verwendbar für den US-amerikanischen Otto-Normalverbraucher und im Prinzip, so meint EFF-Juristin Gwen Hinze, auch eine erste Hilfe für Europäer, die nach ihren eigenen Daten fragen wollen. Die EFF, die seit einiger Zeit auch ein Europa-Büro betreibt, will die gesammelten juristischen Erfahrungen auch für europäische PNR-FOIA/PA-Anfragen einsetzen.

Textvorschläge für Anfragen an die Fluggesellschaften, Reisebüros und die Anbieter von Computerreservierungssystemen hat der "Berufsnomade" Edward Hasbrouck auf seiner Webseite veröffentlicht. Hasbrouck und die EFF machen auch auf den Umstand aufmerksam, dass die Daten von Fluggästen und Reiselustigen abgesehen von der offiziellen Weitergabe auch durch die Vernetzung der großen Computerreservierungssysteme (CRS) in nicht von den Reisenden gewollte Hände gelangen können. Hinze teilte auf Anfrage von heise online mit, man gehe davon aus, dass in der Praxis die Datenweitergabe über die CRS praktiziert werde, von denen drei in den USA (Sabre, Galileo und Worldspan) ihren Hauptsitz haben und nur eine, nämlich Amadeus, in Europa.

"Soweit wir wissen, geben die CRS-Unternehmen in den USA routinemäßig Daten an andere kommerzielle Unternehmen und in andere Länder weiter", berichtet Hinze. Private Datenweitergaben seien aber nicht geregelt durch das neue Abkommen. Schließlich, so fürchtet die EFF, könnten sich US-Behörden aus diesen Quellen ebenfalls bedienen. Die EU-Kommission spricht von einem Mißverständnis. "PNR-Daten, die über Amadeus, Sabre und andere weitergegeben werden, sind sehr wohl vom Abkommen erfaßt", sagte die Sprecherin von Frattini. Es sei unerheblich, ob die Daten direkt von den Fluggesellschaften oder via Amadeus an das DHS gesandt werden. Genau das haben die Aktivisten auch bei der von der Öffentlichkeit fast unbemerkten Konsultation zum EU-Code of Conduct für CRS-Anbieter in ihrer Stellungnahme bemängelt. Für den einzelnen Passagier sei mitnichten klar, wer eigentlich die Kontrolle über seine Daten habe, warnt das Identity Project in seiner ausführlichen Stellungnahme zur Konsultation. Hauptforderung des Identity Project: Anders als bisher muss hart durchgesetzt werden, dass Datenweitergaben ins Nicht-EU-Ausland nur mit ausdrücklicher Zustimmng der Kunden erfolgen dürfen. Doch denen sind die Weitergaben, sei es im Rahmen des PNR oder sei es im Rahmen des Austausch über CRS-Netze, kaum bewußt.

Die Vertreter der 27 EU-Mitgliedsländer hatten bei ihrer Ratstagung Ende Juli das bis zuletzt heftig diskutierte  Abkommen zur Weiterleitung von Fluggastdaten an das US-Department of Homeland Security (DHS) verabschiedet (PDF-Datei). Danach werden die Passenger Name Records (PNR) künftig standardmäßig 15 statt bislang dreieinhalb Jahre in den USA vorgehalten. Weitergeleitet als PNR werden 19 Datenfelder statt wie zuvor 34 Datenfelder :

1. Ein Code zur Identifizierung des PNR
2. Datum von Reservierung und Ausgabe des Flugtickets
3. Die vorgesehenen Reisedaten
4. Passagiernamen
5. Verfügbare Informationen über Vielflieger- und andere Bonusprogramme sowie weitere Rabatte
6. Andere Namen innerhalb des PNR, einschließlich der Anzahl der Reisenden, die der PNR betrifft
7. Alle verfügbaren Kontaktinformationen
8. Alle verfügbaren Rechnungs- und Zahlungsinformationen, mit Ausnahme anderer Transaktionsdetails, die eine Kreditkarte betreffen und nicht mit den Reisetransaktionen zu tun haben
9. Reiseablauf für den jeweiligen PNR
10. Reisebüro, bei dem die Reise für den jeweiligen PNR gebucht wurde
11. Informatione zu eventuellem Code-Sharing
12. Informationen über die Splittung/Teilung einer Buchung
13. Reisestatus des Passagiers, einschließlich von Buchungsbestätigungen und Informationen über den Check-in
14. Ticket-Informationen einschließlich Flugscheinnummer, Infos über One-Way-Tickets und zur automatischen Tarifabfrage
15. Alle Informationen über das aufgegebene Gepäck
16. Informationen zum Sitzplatz einschließlich Sitzplatznummer
17. Allgemeine Informationen, einschließlich aller Angaben zu Service-Anforderungen wie OSI (Special Service Requests) und SSI/SSR (Sensitive Security Information/Special Service Requests)
18. Alle über APIS (Advance Passenger Information System) gesammelte Informationen
19. Alle vergangenen Änderungen an den PNR-Datenfeldern 1 bis 18

Die Absenkung des übermittelten Datenumfangs kommt allerdings dadurch zustande, dass "verschiedene Datenelemente wie etwa Identifikationsdaten zusammengeführt werden, ohne dass sich am Datenumfang etwas ändert", monierte bereits im Juni der Bundesdatenschutzbeauftragte Peter Schaar.

Siehe zum Abkommen über den Transfer der Passenger Name Records auch:

• EU-Ratsvertreter verabschieden Fluggastdaten-Abkommen mit den USA
• EU-Parlament bemängelt Abkommen zum Fluggastdatentransfer
• EU bei Fluggastdaten "über den Tisch gezogen"
• EU-Diplomaten segnen Flugdaten-Abkommen mit den USA ab
• Schäuble verteidigt Einigung bei Fluggastdaten-Transfer in die USA
• EU und USA erzielen Vereinbarungen über Flugpassagier- und Finanzdaten
• Speicherdauer der Flugpassagierdaten soll deutlich ausgeweitet werden
• US-Minister bestreitet Datenhunger der USA

(Monika Ermert) / (anw)