Passenger Name Record

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

In einem Passenger Name Record (PNR), zu deutsch Fluggastdatensatz, werden alle Daten und Vorgänge rund um eine Flugbuchung (auch Hotel- oder Mietwagenbuchung) elektronisch aufgezeichnet und über einen gewissen Zeitraum auch nach Ende der Flugreise noch in den jeweiligen Computerreservierungssystemen gespeichert.

Allgemeines[Bearbeiten]

Nach Abschluss der erstmaligen Eingabe von Daten vergibt das jeweilige Computerreservierungssystem einen eindeutigen Reservierungscode, den Record-Locator. Unter diesem Reservierungscode kann jeder an das entsprechende Reservierungssystem angeschlossene Bearbeiter diese Flugreservierung wieder öffnen und bearbeiten.

Als Passagier kann man mit diesem Reservierungscode im Internet auf speziell eingerichteten Seiten seine persönliche Flugbuchung (vgl. Hotel- oder Mietwagenbuchung) ansehen und auch ausdrucken. Allerdings sind bei diesen Möglichkeiten nicht alle Daten für den Passagier sichtbar.

Je nach Reservierungssystem werden unterschiedliche Daten gespeichert. Seit den Anschlägen vom 11. September verlangen viele Staaten vermehrt auch persönliche Daten, die in einem PNR gespeichert werden müssen, vor allem die Vereinigten Staaten von Amerika,[1] aber auch das Vereinigte Königreich.[2] Im September 2010 legte die Europäische Kommission einen Vorschlag für die EU-Außenstrategie zur Übermittlung von Fluggastdaten (PNR) vor. Darin werden die Grundsätze für einen Datenaustausch von PNR-Daten mit Drittstaaten definiert.[3] Einem Bericht der FTD zufolge hat der juristische Dienst des Rates der Mitgliedsstaaten in einem Gutachten davor gewarnt, dass die Richtlinie in der geplanten Form anfechtbar sei, weil sie das Recht auf Achtung des Privatlebens und das Recht auf Schutz der personenbezogenen Daten zu sehr einschränken würde.[4]

Daten in einem PNR[Bearbeiten]

Generell finden sich in einer PNR-History (Aufzeichnung) folgende Daten:[5]

  • Datum, an dem der PNR erstmals angelegt wurde sowie nachfolgende Änderungen
  • flugspezifische Daten:
    • Flugtag(e) und -strecke(n), so genannte Segmente
    • Flugnummer(n)
    • Flugzeiten (Angaben jeweils in Ortszeiten)
    • Flugdauer
    • Fluggerät (Typenbezeichnung des zum Einsatz kommenden Flugzeugs)
    • Buchungsklasse (jedem Flugtarif ordnet die Fluglinie eine Bezeichnung zu, um später auch den richtigen Tarif berechnen zu können)
  • Vor- und Zuname des oder der Passagiere (es können mehrere Personen auf einem PNR gespeichert werden, sofern sie die gleichen Flugtage und -strecken fliegen)
  • Wohnadresse und Telefonnummer eines oder mehrere Passagiere
  • Adresse und Telefonnummer am Zielort, um bei Änderungen des Flugplans einen Passagier erreichen zu können
  • Zahlungsart, z. B. eine Kreditkartennummer und Ablaufdatum der Kreditkarte
  • Rechnungsanschrift
  • Vielflieger-Eintrag (beschränkt auf abgeflogene Meilen und Anschrift(en))
  • Name der Buchungsagentur (Reisebüro, IATA-Ausgabestelle, Firmenbuchungsstelle u. ä.)
  • Sachbearbeiter der Buchung
  • Codeshare-Information: wenn eine andere Fluggesellschaft als die durch die Flugnummer angeführte den Flug ausführt
  • Reisestatus des Passagiers: welche Strecken bereits abgeflogen sind und welche er noch vor sich hat
  • Informationen über die Splittung/Teilung einer Buchung: wird nach dem erstmaligen Abschluss eines PNR ein oder mehrere Passagiere wieder davon getrennt, weil sie beispielsweise nun eine andere Strecke fliegen möchten, müssen nicht alle Daten neu eingegeben werden, sondern man „splittet“ (teilt) den PNR in einen Original-PNR und einen Split-PNR
  • E-Mail-Adresse
  • allgemeine Bemerkungen
  • Informationen über Flugscheinausstellung (Ticketing)
  • Daten über den Flugtarif
  • Daten der Flugscheinausstellung
  • Sitzplatzinformationen: welcher Status (auf Anfrage, bestätigt usw.) und dann die Sitzplatznummer
  • Nummern der Gepäckanhänger (baggage tags)
  • Historie über nicht angetretene Flüge (no show)
  • Fluggäste mit Flugschein, aber ohne Reservierung (go show)
  • spezielle Serviceanforderungen z. B. bezüglich Essen (koscher, vegetarisch u. a.), so genannte OSI- und SSI/SSR– (Sensitive Security Information/Special Service Requests) Elemente
  • Information über den Auftraggeber (received from)
  • alle Änderungen des PNR mit Datum, Uhrzeit und Aktion (PNR-History)
  • Zahl der Reisenden im PNR
  • etwaige APIS-Informationen (Advance Passenger Information System)
  • ATFQ-Felder (automatische Tarifabfrage)
  • ggf. alle zu einer Mietwagen- oder Hotelbuchung gehörenden Daten (Bonuskonten einzelner Hotel- oder Mietwagenketten etc.)

Hintergrund und Kritik[Bearbeiten]

Es ist völlig offen, inwieweit die USA die gesammelten Daten weiterverwerten und aufbewahren. Nach EU-Parlamentariern kritisierten vor kurzem EU-Datenschützer das PNR-Abkommen scharf als reinen Rückschritt. Prinzipiell zu bemängeln sei, dass die Garantien zum Schutz personenbezogener Daten „erheblich niedriger sind als die der vorherigen Vereinbarung und dass auf wichtige Fragen und Defizite nicht eingegangen wird“. [6]

Fluggesellschaften in den EU-Staaten gaben den US-Behörden bis 2007 34 Detailinformationen pro Passagier frei, die offiziell zunächst dreieinhalb Jahre gespeichert werden dürfen. Die Angaben enthielten nicht nur Namen, Geburts- und Flugdaten, sondern auch Kreditkarteninformationen, besondere Verpflegungswünsche, weitere Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern. Der Bundesdatenschutzbeauftragte Peter Schaar bemängelte anlässlich der Berliner Runde im ARD Morgenmagazin: „Diese 34 Datenfelder sind zu viele“. Er verwies auf Bestrebungen in den USA, die Daten künftig nicht dreieinhalb, sondern bis zu 30 Jahre zu speichern. Die biometrischen Daten, die mit einem Fingerabdruck und einem Gesichtsfoto direkt bei der Einreise im Rahmen des US-VISIT-Programms erhoben werden, würden schon jetzt für 99 Jahre archiviert. Schaar beklagte auch, dass die US-Behörden direkten Zugriff auf die Buchungssysteme der Fluggesellschaften hätten. Dies müsse sich ändern. Weiter bemängelte Schaar, dass eigentlich jedes Jahr eine Überprüfung der von den USA erhobenen Daten stattfinden sollte, aber dies bisher erst einmal gelungen sei.[7] Der parlamentarische Geschäftsführer der FDP Ernst Burgbacher äußerte sich zu dem Thema folgendermaßen: „Der jetzige Zustand ohne eine klare gesetzliche Regelung kann nicht länger hingenommen werden“; bei einem Abkommen müssten die europäischen Datenschutzstandards gelten.

Der Europäische Gerichtshof hatte bereits 2006 entschieden, dass es für die Weitergabe von Flugpassagierdaten durch EU-Mitgliedsstaaten an die USA keine geeignete Rechtsgrundlage gibt und dass die Datenweitergabe gegen EU-Recht verstoße. Das EU-Parlament war zuvor im Jahr 2004 gegen ein am 28. Mai 2004 geschlossenes Abkommen zur Freigabe der Daten zwischen der EU-Kommission und den USA vor Gericht gegangen.[8][9]

Aus diesem Grund einigten sich die EU-Kommission und die USA auf ein Interimsabkommen beim Passagierdatentransfer. Dieses Interimsabkommen baut auf dem vom EuGH aufgehobenen Abkommen auf und enthält im Wesentlichen nur die Änderung, dass Passagierdaten zukünftig nicht automatisch abgefragt werden ("Pull-Verfahren"), sondern erst nach Anfrage freigegeben werden ("Push-Verfahren").[10]

Das EU-Parlament befürchtete außerdem, dass die Fluggastdaten für Wirtschaftsspionage unter dem Deckmantel der Terrorbekämpfung missbraucht werden könnten. Auch im Bundestag forderten Oppositionspolitiker vor kurzem eine strikte Zweckbindung der Informationsübertragung und möglichst eng begrenzte Speicherfristen. Alle Fraktionen im Parlament riefen die Regierung auf, bei einem neuen Abkommen ein angemessenes Datenschutzniveau sicherzustellen, "insbesondere bei der Begrenzung der Datenübermittlung und der Zweckbindung".[11]

2007 wurde ein neues Abkommen geschaffen, das zwar die übertragenen Datensätze auf 19, statt bisher 34 verringert, ihre Speicherdauer allerdings von 3 auf 15 Jahre verlängert. Mit weniger Daten wird die USA aber trotzdem nicht auskommen müssen: "Es handelt sich um einen kleinen Mummenschanz", räumte ein EU-Diplomat ein. "Die Absenkung von 34 auf 19 Datenfelder kommt dadurch zu Stande, dass verschiedene Datenelemente wie etwa Identifikationsdaten zusammengeführt werden, ohne dass sich am Datenumfang etwas ändert", monierte auch der Bundesdatenschutzbeauftragte Peter Schaar. Laut Schaar sind die Abmachungen über die PNR genauso wie die Absprachen zum Zugriff von US-Behörden auf Überweisungsdaten des SWIFT-Netzwerks "gemessen an den Vorgaben des europäischen Datenschutzrechts unzureichend". Sie würden auch vielfach hinter den bisherigen Regelungen zurückbleiben. Kritisch zu prüfen sei jenseits der Ausweitung der Speicherdauer mit teilweisem Online-Zugriff, ob die Herleitung irgendwelcher Rechtsansprüche bei vertragswidriger Nutzung der Daten gewährleistet werde. Bedauerlich sei auch, dass keine unabhängige Datenschutzaufsicht vereinbart worden sei. Alexander Alvaro, innenpolitischer Sprecher der Liberalen im EU-Parlament, kritisierte, dass die Verhandlungen gänzlich an den Volksvertretern vorbeigeführt worden seien und die USA der EU mit angedrohten Landeverboten für europäische Fluglinien „die Pistole auf die Brust“ gesetzt hätten. US-Diplomaten drängten ihre EU-Verhandlungspartner auch immer wieder mit dem Hinweis, dass bei einer Anreise von Terroristen über Europa der transatlantische Partner eine Mitschuld zu tragen habe. Der grüne Bundestagsabgeordnete Omid Nouripour appellierte an die Mitgliedsstaaten, die vorliegende Vereinbarung zur Weitergabe der PNR zu stoppen. Andernfalls müsse erneut der Europäische Gerichtshof eingeschaltet werden.[12]

Im März 2012 stimmte das Europäische Parlament für das transatlantische Abkommen zum Transfer von Flugpassagierdaten. Die USA dürfen damit PNRs weiterhin zunächst 15 Jahre speichern. Anonymisiert können die Informationen der Fluggesellschaften unbegrenzt aufbewahrt werden. Die Berichterstatterin des EU-Innenausschusses Sophie in't Veld äußerte sich dazu folgendermaßen: Nicht nur sei die Speicherdauer der Daten, zu denen auch Kreditkarten- und Telefonnummern, IP-Adressen oder besondere Speisewünsche zählen, faktisch auf „unendlich“ hochgeschraubt worden. Zudem könne das Department of Homeland Security (DHS) weiterhin automatisch abgleichen sowie Rasterfahndungen durchführen und personenbezogene Profile erstellen. Auch sei der Rechtsschutz für EU-Bürger unzureichend. Sowohl der EU-Datenschutzbeauftragte Peter Hustinx als auch die "Artikel-29-Gruppe" der europäischen Datenschützer hätten deutlich gemacht, dass das Verhandlungsergebnis nicht den hiesigen Grundrechten gerecht werde. Die vorgesehene Kontrolle durch Brüssel sei "ein Witz", befand in't Veld. Schon derzeit zögen US-Behörden täglich bis zu 82.000-mal am Tag Daten aus den Reservierungssystemen der Fluglinien ab. Daran werde sich mit der Übereinkunft wenig ändern. Zudem würden künftig viele andere Länder einschließlich China oder Saudi-Arabien nach denselben Zugriffsrechten fragen. Jan Philipp Albrecht, Innenexperte der Grünen, warnte vor einem "offenen Rechtsbruch". Der Vertrag erlaube einen automatisierten Datenabgleich mit Gefahrenprofilen. Die vorgesehene "Vorratsdatenspeicherung von bis zu 15 Jahren" sei nicht verhältnismäßig. Cornelia Ernst von den Linken sieht das "elementare Recht auf den Schutz personenbezogener Daten ausgehebelt". Es gebe keinen ernstzunehmenden Rechtsbehelf, vielmehr werde eine "Rechtsbehinderung" daraus.[13]

Zur selben Zeit wurde bekannt, dass die EU zukünftig auch die Passagierdaten auf innereuropäischen Flügen sammeln und speichern will.[14] Die Daten der Fluggäste sollen zwei Jahre lang komplett gespeichert werden. Danach werden sie für weitere drei Jahre "anonymisiert" aufbewahrt und nach insgesamt fünf Jahren vernichtet. Allerdings können auch anonymisierte Daten unter bestimmten Bedingungen rekonstruiert werden. Bundesdatenschutzbeauftragter Peter Schaar sagte dazu: "Bei allen diesen Initiativen geht es darum, Reisende immer lückenloser und umfassender zu registrieren, die dabei anfallenden Daten längere Zeit aufzubewahren und zu verknüpfen, ohne dass der einzelne hierfür irgendeinen Anlass geboten hätte"[15]

Siehe auch[Bearbeiten]

Weblinks[Bearbeiten]

Quellen[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Frequently Asked Questions Regarding Customs and Border Protection Receipt of Passenger Name Records Related to Flights between the European Union and the United States (PDF; 20 kB), Privacy Statement For PNR Data Received in Connection with Flights Between the U.S. and the European Union (PDF; 16 kB)
  2. Government to move slowly on e-Borders database“ - ZDNet vom 10 Feb. 2010
  3. "Europäische Kommission schlägt EU-Außenstrategie zur Übermittlung von Fluggastdaten (PNR) vor" Pressemittlung der Europäischen Kommission
  4. Claus Hecking: EU-Datenpläne mit Verfassung nicht vereinbar (Version vom 30. Juli 2012 im Webarchiv Archive.today) - ftd 24. Mai 2011
  5. Welche Daten werden von der Fluggesellschaft an die amerikanischen Behörden weitergegeben? FAQ Auswärtiges Amt. Archivierte Version vom 6. September 2010
  6. heise.de: USA wollen Details zu Fluggastdaten-Absprache geheim halten, abgerufen am 14. Mai 2012
  7. heise.de: Neues Abkommen zum Transfer von Flugpassagierdaten nimmt Gestalt an
  8. heise.de: Urteil: Keine Rechtsgrundlage für Fluggastdatenweitergabe an USA, abgerufen am 14. Mai 2012
  9. Urteil des Gerichtshofes (Große Kammer) vom 30. Mai 2006 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, abgerufen am 14. Mai 2012
  10. heise.de: EU und USA einigen sich auf Interimsabkommen beim Passagierdatentransfer, abgerufen am 14. Mai 2012
  11. heise.de: Bundestag tritt für ein modernes Datenschutzrecht ein, abgerufen am 14. Mai 2012
  12. heise.de: EU-Diplomaten segnen Flugdaten-Abkommen mit den USA ab, abgerufen am 14. Mai 2012
  13. heise.de: EU-Parlament segnet Fluggastdaten-Transfer in die USA ab, abgerufen am 14. Mai 2012
  14. sueddeutsche.de: EU will Fluggastdaten speichern, abgerufen am 14. Mai 2012
  15. Rede des Bundesdatenschutzbeauftragten Peter Schaar am 30. Januar 2009 anlässlich des Europäischen Datenschutztags in Wien, abgerufen am 14. Mai 2012