© Daniel Roland, ap

Edward Hasbrouck

Fluggastdaten: „Sie dürfen nicht mitfliegen“

Barbara Wimmer

Mit den Passenger Name Record (PNR)-Daten können die Reisebewegungen von EU-Bürgern überwacht werden. Die EU verhandelt gerade über Abkommen, die ermöglichen sollen, dass auch die USA legal Zugriff auf die europäischen Fluggastdaten bekommt. Laut dem US-Aktivisten Edward Hasbrouck haben die USA aber bereits jetzt Zugriff auf die Buchungssysteme, da die Daten in der Cloud gespeichert werden. Einigen Bürgern wurde deswegen bereits der Flug verweigert.

Dieser Artikel ist älter als ein Jahr!

Datenschützer und Bürgerrechtsaktivisten machen seit Jahren gegen die von der EU-Kommission geplanten Fluggastdaten-Abkommen mobil. Die Passagierdaten können für Profiling-Zwecke heranzogen werden und wenn Menschen beispielsweise in anderen polizeilichen US-Datenbanken aufscheinen, könnte ihnen der Flug verweigert werden. Dass dies bereits jetzt - illegalerweise - schon Realität ist, ist vielen nicht bekannt.

Hasbrouck nannte bei einer Pressekonferenz am Freitag in Wien mehrere Beispiele von Menschen, die aufgrund ihrer PNR-Daten auf sogenannten "No Fly"-Listen der USA landeten. So wurde etwa ein Flug von Paris nach Mexiko umgeleitet, weil der Berater der Linksfraktion des Europaparlaments, Paul-Emile Dupret, an Bord war. Dupret wurde nie wegen eines Vergehens angeklagt und weiß nicht, warum es dazu gekommen war.

Auch einem kanadischen Bürger, der in Deutschland lebt, wurde im März 2011 die Einreise in sein Heimatland verweigert. Damit liegt ein deutlicher Verstoß gegen den Artikel 12 des "International Convenant on Civil and Political Rights" (ICCPR) vor, einem internationalen Abkommen über Zivil- und Politikrechte, das ein Recht auf Reisefreiheit vorsieht. Anfragen bei der Kommission deswegen seien am Laufen, so Hasbrouck.

© Barbara Wimmer

Eingabefeld für Notizen
In den PNR-Dateien, die von den Fluggesellschaften während des Buchungsvorgangs erfasst werden, befindet sich neben umfassenden Kontaktinformationen und Angaben über die Person (Adresse, Mobiltelefonnummer, Geburtstag, Kreditkartendaten, Passinformationen usw.), besonderen Reisevorlieben (etwa eine koschere Mahlzeit) oder Beziehungen zu Mitreisenden (etwa ob ein gemeinsames Bett bestellt wurde), auch ein leeres Eingabefeld. Darin können zusätzliche Informationen vermerkt werden.

Unter Hasbroucks persönlichen PNR-Daten, die der Reisejournalist 2007 zum ersten Mal bei den US-Behörden angefordert hatte und 2010 endlich einige Ausschnitte davon zu Gesicht bekam, befand sich beispielsweise auch eine gespeicherte Zugverbindung zwischen Brüssel und Paris. Es war zudem ein Vermerk zu finden, dass vor einem bestimmten Flug seine Schuhe gewaschen wurden, oder dass er einmal einen Apfel und ein Stück Brot mitgenommen hatte und ihm der Apfel abgenommen wurde, er das Brot aber behalten durfte. "Bei einer anderen Personen war in den PNR-Daten gespeichert, dass sie ein Buch über "Drogen und Ihre Rechte" mitgeführt hatte", erzählte Hasbrouck.

Warum will die USA das Abkommen?
Wenn es nach den USA geht, sollen die US-Behörden künftig durch das PNR-Abkommen mit der EU all diese Daten legal abrufen können. Lediglich "sensible Informationen" sollen direkt von den Behörden - nach der Übermittlung - gelöscht werden müssen. Der EU verkauft man dies als "wichtiges Instrument bei der Bekämpfung der schweren grenzüberschreitenden Kriminalität und des Terrorismus". Gegenüber dem US-Kongress argumentierte die US-Regierung jedoch im Oktober 2011, dass das Abkommen vor allem deshalb gebraucht werde, "um U.S. Industrie-Partner vor unangemessenen Klagen zu schützen", berichtete Hasbrouck.

Das macht stutzig, lässt sich jedoch rasch erklären. Das US-Heimatschutzministerium hat nämlich bereits jetzt Zugang zu sämtlichen PNR-Daten, die es haben möchte und zwar über "Computerized Reservation Systems" (CRS). Die PNR-Daten liegen nämlich nicht bei den Fluggesellschaften, sondern landen über die Reservierungssysteme direkt in der globalen Cloud. Insgesamt gebe es vier große CRS-Systeme, eines davon ist EU-basiert und heißt Amadeus, erklärte Hasbrouck. Die anderen drei liegen in den USA. Die meisten Reisebüros in der EU würden zudem die Buchungen über CRS-Systeme in den USA abwickeln, so Hasbrouck.

Voller Zugriff via Buchungssystem
Das US-Heimatschutzministerium könne darauf über einen "Rootkit-Zugang" zugreifen. Doch auch über das Amadeus-Büro in den USA könne das Ministerium auf EU-PNR-Daten zugreifen, ohne dass die Fluggesellschaft, das Reisebüro oder der Fluggast etwas davon merkt, meint Hasbrouck. Das verstoße aber gegen das europäische Datenschutzrecht. Die USA weiß das, und möchte die Weitergabe der Passagierdaten über die Buchungssysteme mit dem PNR-Abkommen nun "legalisieren". Das angestrebte Abkommen sei eine Art Immunitätsgesetz, um die Unternehmen vor Klagen und dann eventuell folgenden Sanktionen zu schützen.

"In den USA gibt es nämlich keine Datenschutzgesetze für CRS-Systeme. Wenn die PNR-Daten übers CRS in die USA gelangen, können sie dort legal benutzt, transferiert, oder für Data-Mining-Zwecke geteilt werden", so Hasbrouck.

Die größte Datenbank über PNR-Daten habe die Amadeus Revenue Integrity. Besonders heikel ist es, dass die Buchungssysteme keine Log-Dateien darüber speichern müssen, wer die Daten abgerufen hat. "Keiner weiß, wer deine PNR-Daten abgerufen hat", so Hasbrouck. Ein Player am Markt könnte das jedoch künftig ändern: Google. Der Suchmaschinenkonzern kaufte mit ITA einen CRS-Anbieter für 700 Millionen Dollar, der PNR-Informationen auswertet.

Ändert sich durch Google etwas?
Durch ITA würden auch die anderen Buchungssystem-Anbieter gezwungen, ihre Systeme zu modernisieren. Es sei allerdings kritisch, dass es keine Bestrebungen gebe, die Standards, die es durch das europäische Datenschutzgesetz gibt, in die neuen Systeme verpflichtend einzubauen. "Es ist daher wichtig, dass es solche Standards früher als später gibt", fordert Hasbrouck.

Laut Hasbrouck haben die Reisegesellschaften und CRS-Betreiber bisher PNR-Daten der Polizei immer bereitwillig ausgehändigt. Das habe ohne legale Anordnung immer funktioniert, sei eine Tradtion. "Google hat so eine Tradition nicht", erklärte Hasbrouck gegenüber der futurezone. "Es wäre daher löblich, wenn Google wenigstens einen Gerichtsbeschluss verlangen würde."

"Gefahr für die Reisefreiheit"
Hasbrouck sieht in dem PNR-Abkommen - das übrigens auch mit den Ländern Kanada und

abgeschlossen werden soll und dessen Anwendung auch innerhalb Europas geplant ist - eine Gefahr für die Reisefreiheit der europäischen Bürger. „Das PNR-Abkommen stellt keinen internationalen Vertrag dar und im Falle von Streitigkeiten wäre es für die USA nicht verpflichtend.“ Damit hätte ein Bürger, der auf einer „No Fly“-Liste landet, keine Möglichkeit, Auskunft über seine Daten zu erlangen. Hasbrouck wird auch der einzige US-Amerikaner bleiben, der diese jemals offiziell bekommen hat. Die USA hat nach seiner Anfrage kurzerhand das Gesetz geändert.

Zur Person:
Anlässlich einer europaweiten Aktionswoche gegen das Abkommen zwischen EU und USA zur Weitergabe von Passenger Name Record (PNR)-Daten bereiste der US-Aktivist Edward Hasbrouck im Oktober Brüssel, Wien und Berlin. Er bereitete dafür auch ein PDF mit seinen Folien vor.

Edward Hasbrouck ist unter Bürgerrechtsaktivisten und Datenschützern kein Unbekannter. Er kämpft seit mehreren Jahren gegen das PNR-Abkommen. Seit 2006 klagt der Aktivist nach dem US-Datenschutzrecht die US-Regierung auf Einsicht in und Auskunft über sein Bewegungsprofil. Er befasst sich zudem seit Jahren damit, wie Fluggastdaten in sogenannten CRSs (“Computerized Reservation Systems”) erfasst und gespeichert werden und gilt auf dem Gebiet als anerkannter Experte.

Hat dir der Artikel gefallen? Jetzt teilen!

Stand: 15.06.2020, 13:44 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Kommentare