Unterschiede zwischen den Revisionen 1 und 11 (über 10 Versionen hinweg)
Revision 1 vom 2011-02-02 11:07:18
Größe: 268
Autor: anonym
Kommentar:
Revision 11 vom 2011-06-01 08:54:53
Größe: 6076
Autor: anonym
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
= API = = Vorabinformation über Flugreisende =
Zeile 3: Zeile 3:
Advance Passenger Information (Informationen aus dem maschinenlesbaren Bereich von Pässen) bei Flügen in die [[Datenbanken EU|EU]] aus Drittstaaten. Unter Advance Passenger Information (API) firmiert ein relativ schmaler Datensatz, der Flugpassagieren in viele Zielstaaten vorausgeht.
Zeile 5: Zeile 5:
In der BRD bekommt die [[Datenbanken der Bundespolizei|Bundepolizei]] die Daten (siehe auch [[PNR]]). Auf EU-Ebene wurde das API-Verfahren 2004 durch die
<<Doclink(2004-eu-api.pdf,Ratsrichtline 2004/82/EG)>> (im Windschatten der Zuganschläge von Madrid von Spanien gepusht) eingeführt. Die Richtline
verpflichtet die Mitgliedsstaaten, Beförderungsunternehmen (also Fluglinien
oder Fährbetreiber) zu verpflichten, Daten über
Menschen, die eine Schengen-Außengrenze überschreiten, an die Grenzbehörden
weiterzugeben. Der vorgesehene Datensatz entspricht ziemlich genau
dem, [[#Umfang_der_Daten|was in der BRD vorgesehen ist]].

Artikel 1 der Richtlinie legt fest, Zweck der Übermittlung sei "die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen." Versteckt am Ende von Artikel 6.1 genehmigen sich die Mitgliedsstaaten außerdem,
"die personenbezogenen Daten gemäß Artikel 3
Absatz 1 [das ist der komplette Datensatz] auch zu Strafverfolgungszwecken verwenden."
Bemerkenswert ist, dass hier nicht explizit mit "Terrorismus" operiert wird, obwohl die Präambel der Richtlinie sie explizit mit einer Ratserklärung begründet, in der API zur Terrorismusbekämpfung gefordert wird und der Grundrechtsabbau
weitgehend ohne Widerspruch ablief, weil alle noch Betroffenheit wegen
der Zuganschläge vom 11.3.2004 markieren konnten. Dies könnte auch daran liegen, dass API-Informationen schon vorher gegen [[Terrorlisten]] abgeglichen wurden.

Die Daten sollen beim Check-In übertragen und dürfen bis zu 24 Stunden gespeichert werden; merken die Grenzbehörden, dass sie die Daten zur Wahrnehmung ihrer gesetzmäßigen Aufgaben oder zur Strafverfolgung (Artikel 6.1, gegen Ende) brauchen, dürfen sie sie auch länger speichern.

Beförderungsunternehmen, die API nicht oder noch teilweise übertragen, sollen mit nicht unter 3000 Euro pro fehlendem Datensatz bestraft werden.

In der BRD bekommt die [[Datenbanken der Bundespolizei|Bundespolizei]] die Daten.

Der <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>> weiß zu API (S. 8):

{{{#!blockquote
Auf die Initiative Spaniens hin erließ der Rat im Jahr 2004 die Richtlinie über
die Verpflichtung von Luftfahrtunternehmen, Grenzkontrollbehörden erweiterte
Fluggastdaten (Advance Passenger Information – API) zu übermitteln. Zweck
dieses Instruments ist die Verbesserung der Grenzkontrollen und die Bekämpfung
der illegalen Migration. Auf Anfrage müssen die Luftfahrtunternehmen diesen
Behörden Namen, Geburtsdatum, Staatsangehörigkeit, Abflugort und die
Grenzübergangsstelle von Fluggästen mitteilen, die aus Drittländern in die EU
einreisen. Diese personenbezogenen Daten werden üblicherweise dem
maschinenlesbaren Teil der Pässe der Fluggäste entnommen und den Behörden nach
der Abfertigung übermittelt. Nach Ankunft des Fluges dürfen die Behörden und
die Luftfahrtgesellschaften die API-Daten 24 Stunden aufbewahren. Das
API-System arbeitet dezentral im Wege des Informationsaustauschs zwischen den
privaten Unternehmen und den staatlichen Behörden. Im Rahmen dieses Instruments
können keine Fluggastdaten zwischen Mitgliedstaaten ausgetauscht werden.
Allerdings können Strafverfolgungsbehörden, sofern es sich nicht um den
Grenzschutz handelt, zum Zweck der Strafverfolgung Zugang zu diesen
Informationen beantragen. Die personenbezogenen Daten dürften lediglich von
staatlichen Behörden zum Zweck der Grenzkontrolle und der Bekämpfung der
illegalen Migration verwendet werden und sind nach Maßgabe der Richtlinie
95/46/EG zu verarbeiten. Dieses Instrument ist zwar EU-weit in Kraft, wird
jedoch nur von wenigen Mitgliedstaaten angewendet. Die Kommission wird die
Richtlinie 2011 überarbeiten.
}}}

== Umfang der Daten ==

In der BRD wird API geregelt von [[http://www.gesetze-im-internet.de/bgsg_1994/__31a.html|§31 a BPolG]]; es sieht vor, folgende Daten zu übertragen:

 * Name, Geburtsdatum, Geschlecht
 * Staatsangehörigkeit
 * die Nummer und die Art des mitgeführten Reisedokuments
 * die Nummer und der ausstellende Staat des erforderlichen Aufenthaltstitels oder Flughafentransitvisums
 * die für die Einreise in das Bundesgebiet vorgesehene Grenzübergangsstelle
 * die Flugnummer, die planmäßige Abflug- und Ankunftszeit und die Flugroute.

== Skandale ==

=== Spanien untersucht auch EU-Flüge ===

Gemäß einer [[http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2007-4788+0+DOC+XML+V0//EN|Anfrage der britischen EU-Abgeordneten Sarah Ludford von 2007]] hat Spanien -- dessen Regierungen die EU-API-Direktive eingebracht hatten -- unter Hinweis auf das EU-Recht auch von Passagieren aus UK API-Daten gefordert. Die [[http://www.europarl.europa.eu/sides/getAllAnswers.do?reference=P-2007-4788&language=EN|Antwort der Kommission]] dementiert zumindest nicht das grundsätzliche Vorgehen und wieselt ansonsten herum.

=== Praktisch nicht genutzt ===

Nach Aussage der Kommission (<<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>>, S.8) wird API "nur von wenigen Mitgliedstaaten angewendet".
Dies wirft natürlich ein besonderes Licht auf die gewohnten Phrasen des Typs
"...ist es von grundlegender Bedeutung, dass sich alle Mitgliedstaaten einen
Regelungsrahmen..." oder "Es ist wichtig, ein Vakuum bei den Maßnahmen der
Gemeinschaft zur Bekämpfung der illegalen Einwanderung zu vermeiden".

Eine konkrete Evaluation der Anwendung von API (als solcher) ist jedenfalls
für die EU nicht zu finden.



== Siehe auch ==

 * [[PNR]] -- umfangreichere Datensätze, die z.B. an die USA in einem API-ähnlichen Verfahren übertragen werden
 * [[Entry-Exit-System]] -- eine Groß-Datenbank zur längeren Vorhaltung API-ähnlicher Daten
 * [[Terrorlisten]] -- die Prüfung gegen Terrorlisten baut schon lange auf API-ähnlichen Verfahren auf
 * [[https://www.eff.org/issues/foia/automated-targeting-system-report|Kurzstudie der EFF zum US-APIS]]

Vorabinformation über Flugreisende

Unter Advance Passenger Information (API) firmiert ein relativ schmaler Datensatz, der Flugpassagieren in viele Zielstaaten vorausgeht.

Auf EU-Ebene wurde das API-Verfahren 2004 durch die Ratsrichtline 2004/82/EG (im Windschatten der Zuganschläge von Madrid von Spanien gepusht) eingeführt. Die Richtline verpflichtet die Mitgliedsstaaten, Beförderungsunternehmen (also Fluglinien oder Fährbetreiber) zu verpflichten, Daten über Menschen, die eine Schengen-Außengrenze überschreiten, an die Grenzbehörden weiterzugeben. Der vorgesehene Datensatz entspricht ziemlich genau dem, was in der BRD vorgesehen ist.

Artikel 1 der Richtlinie legt fest, Zweck der Übermittlung sei "die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen." Versteckt am Ende von Artikel 6.1 genehmigen sich die Mitgliedsstaaten außerdem, "die personenbezogenen Daten gemäß Artikel 3 Absatz 1 [das ist der komplette Datensatz] auch zu Strafverfolgungszwecken verwenden." Bemerkenswert ist, dass hier nicht explizit mit "Terrorismus" operiert wird, obwohl die Präambel der Richtlinie sie explizit mit einer Ratserklärung begründet, in der API zur Terrorismusbekämpfung gefordert wird und der Grundrechtsabbau weitgehend ohne Widerspruch ablief, weil alle noch Betroffenheit wegen der Zuganschläge vom 11.3.2004 markieren konnten. Dies könnte auch daran liegen, dass API-Informationen schon vorher gegen Terrorlisten abgeglichen wurden.

Die Daten sollen beim Check-In übertragen und dürfen bis zu 24 Stunden gespeichert werden; merken die Grenzbehörden, dass sie die Daten zur Wahrnehmung ihrer gesetzmäßigen Aufgaben oder zur Strafverfolgung (Artikel 6.1, gegen Ende) brauchen, dürfen sie sie auch länger speichern.

Beförderungsunternehmen, die API nicht oder noch teilweise übertragen, sollen mit nicht unter 3000 Euro pro fehlendem Datensatz bestraft werden.

In der BRD bekommt die Bundespolizei die Daten.

Der EU-Überblick von 2010 weiß zu API (S. 8):

Auf die Initiative Spaniens hin erließ der Rat im Jahr 2004 die Richtlinie über die Verpflichtung von Luftfahrtunternehmen, Grenzkontrollbehörden erweiterte Fluggastdaten (Advance Passenger Information – API) zu übermitteln. Zweck dieses Instruments ist die Verbesserung der Grenzkontrollen und die Bekämpfung der illegalen Migration. Auf Anfrage müssen die Luftfahrtunternehmen diesen Behörden Namen, Geburtsdatum, Staatsangehörigkeit, Abflugort und die Grenzübergangsstelle von Fluggästen mitteilen, die aus Drittländern in die EU einreisen. Diese personenbezogenen Daten werden üblicherweise dem maschinenlesbaren Teil der Pässe der Fluggäste entnommen und den Behörden nach der Abfertigung übermittelt. Nach Ankunft des Fluges dürfen die Behörden und die Luftfahrtgesellschaften die API-Daten 24 Stunden aufbewahren. Das API-System arbeitet dezentral im Wege des Informationsaustauschs zwischen den privaten Unternehmen und den staatlichen Behörden. Im Rahmen dieses Instruments können keine Fluggastdaten zwischen Mitgliedstaaten ausgetauscht werden. Allerdings können Strafverfolgungsbehörden, sofern es sich nicht um den Grenzschutz handelt, zum Zweck der Strafverfolgung Zugang zu diesen Informationen beantragen. Die personenbezogenen Daten dürften lediglich von staatlichen Behörden zum Zweck der Grenzkontrolle und der Bekämpfung der illegalen Migration verwendet werden und sind nach Maßgabe der Richtlinie 95/46/EG zu verarbeiten. Dieses Instrument ist zwar EU-weit in Kraft, wird jedoch nur von wenigen Mitgliedstaaten angewendet. Die Kommission wird die Richtlinie 2011 überarbeiten.

Umfang der Daten

In der BRD wird API geregelt von §31 a BPolG; es sieht vor, folgende Daten zu übertragen:

  • Name, Geburtsdatum, Geschlecht
  • Staatsangehörigkeit
  • die Nummer und die Art des mitgeführten Reisedokuments
  • die Nummer und der ausstellende Staat des erforderlichen Aufenthaltstitels oder Flughafentransitvisums
  • die für die Einreise in das Bundesgebiet vorgesehene Grenzübergangsstelle
  • die Flugnummer, die planmäßige Abflug- und Ankunftszeit und die Flugroute.

Skandale

Spanien untersucht auch EU-Flüge

Gemäß einer Anfrage der britischen EU-Abgeordneten Sarah Ludford von 2007 hat Spanien -- dessen Regierungen die EU-API-Direktive eingebracht hatten -- unter Hinweis auf das EU-Recht auch von Passagieren aus UK API-Daten gefordert. Die Antwort der Kommission dementiert zumindest nicht das grundsätzliche Vorgehen und wieselt ansonsten herum.

Praktisch nicht genutzt

Nach Aussage der Kommission (EU-Überblick von 2010, S.8) wird API "nur von wenigen Mitgliedstaaten angewendet". Dies wirft natürlich ein besonderes Licht auf die gewohnten Phrasen des Typs "...ist es von grundlegender Bedeutung, dass sich alle Mitgliedstaaten einen Regelungsrahmen..." oder "Es ist wichtig, ein Vakuum bei den Maßnahmen der Gemeinschaft zur Bekämpfung der illegalen Einwanderung zu vermeiden".

Eine konkrete Evaluation der Anwendung von API (als solcher) ist jedenfalls für die EU nicht zu finden.

Siehe auch

  • PNR -- umfangreichere Datensätze, die z.B. an die USA in einem API-ähnlichen Verfahren übertragen werden

  • Entry-Exit-System -- eine Groß-Datenbank zur längeren Vorhaltung API-ähnlicher Daten

  • Terrorlisten -- die Prüfung gegen Terrorlisten baut schon lange auf API-ähnlichen Verfahren auf

  • Kurzstudie der EFF zum US-APIS