Die Anschläge von Paris 2015 und Brüssel Anfang 2016 hatten insoweit Erfolg, als das EU-Parlament seinen unter #Geschichte diskutierten langjährigen Widerstand gegen die von verschiedenen LIBE-Mitgliedern immer wieder als menschenrechtsverletzend und unnötig bezeichneten Pläne zu einem eigenen EU-PNR-System aufgab.

Ziel des Systems ist, von Fluggesellschaften erhobene Daten („Passenger Name Records”, z.B. Diätpräferenzen, Zahlungsmodalitäten usf) für viele Jahre zu speichern und durch Geheimdienste und Polizeien auszuwerten. Es folgt damit PNR-Systemen in USA und weiteren Staaten, die schon seit den frühen 2000er Jahren aus der EU mit solchen Daten beliefert wurden.

Rechtsgrundlage

Die Richtlinie 2016/681 war von den Mitgliedsstaaten in nationales Recht umzusetzen.

Dies ist im Frühjahr 2017 durch das Fluggastdatengesetz passiert; die Bundestagsabgeordneten hatten offenbar keine verfassungsrechtlichen Bedenken, obwohl das strukturell verwandte Abkommen mit Kanada laut EuGH die Grundrechte der Bürger_innen recht weitgehend verletzt.

Bis jemand Zeit hat, sich das neue Gesetz anzusehen, dürfte die folgende Übersicht über einen früheren Entwurf das beschreiben, was das Parlament dann schließlich abgesegnet hat.

  • Mitgliedsstaaten richten (gemeinsame oder getrennte) "Passenger Information Units" (PIU) ein, die die Daten von den Fluglinien über Flüge in oder aus nicht-AFSJ-Staaten von oder aus den nationalen Flughäfen sammelt, speichert, analyisert und die Analyseergebnisse an andere PIUs weitergibt. Auch pure Zwischenlandungen werden verarbeitet.
  • Die Fluglinien "pushen" ihren kompletten Datensatz an die PIUs, jeweils 24 bis 48 Stunden vor dem Start und nochmal nachdem das Gate geschlossen wurde. Wenn sie wollen, können PIUs auch Bedrohungen erfinden und dann zu beliebigen Zeiten von ein Fluglinien "pullen".
  • Die PIUs sollen die Daten beackern und mit nationalen Datenbanken abgleichen, um Menschen zu finden, die von den Repressionsorganen genauer untersucht werden sollen, weil sie irgendetwas ("involved in") zu tun haben könnten mit "Terrorismus" oder "serious crime" sowie im Kriterien zu erarbeiten, die die Identifikation solcher Menschen erlauben.

  • Die PIUs dürfen in überschaubarer Menge ("duly reasoned") PNR-Daten von anderen PIUs anfordern. Sie dürfen Analyseergebnisse fallweise an nationale Behörden übertragen und sollen PNR-Daten an andere PIUs weitergeben, wenn sie meinen, sie gingen diese etwas an.
  • Die PIUs dürfen PNR-Daten fallweise ins Ausland weitergeben.
  • Die Speicherfirst für die vollen PNR-Daten ist fünf Jahre, wobei aber bei Menschen, bei denen die PIU nichts findet, nach 30 Tagen Daten, die für die Kommission eine Identifkation ermöglichen (Namen, Adressen, Kontaktinformationen, Freitext, API-Daten), "maskiert" werden sollen. Diese "maskierten" Daten sollen nur einer "beschränkten Zahl" von MitarbeiterInnen zugänglich sein, deanonymisieren können soll nur der Chef der PIU. Personenbezogene Daten können drei Jahre gespeichert werden, um falsch positive Fälle bei späterem Antreffen schneller zu erkennen.

Der PNR selbst sieht nach 2011/0023 so aus (entspricht weitgehend dem in die USA übertragenen Datensatz):

  1. PNR record locator
  2. Date of reservation/issue of ticket
  3. Date(s) of intended travel
  4. Name(s)
  5. Address and contact information (telephone number, e-mail address)
  6. All forms of payment information, including billing address
  7. Complete travel itinerary for specific PNR
  8. Frequent flyer information
  9. Travel agency/travel agent
  10. Travel status of passenger, including confirmations, check-in status, no show or go show information
  11. Split/divided PNR information
  12. General remarks (including all available information on unaccompanied minors under 18 years, such as name and gender of the minor, age, language(s) spoken, name and contact details of guardian on departure and relationship to the minor, name and contact details of guardian on arrival and relationship to the minor, departure and arrival agent)
  13. Ticketing field information, including ticket number, date of ticket issuance and one-way tickets, Automated Ticket Fare Quote fields
  14. Seat number and other seat information
  15. Code share information
  16. All baggage information
  17. Number and other names of travellers on PNR
  18. Any Advance Passenger Information (API) data collected
  19. All historical changes to the PNR listed in numbers 1 to 18

Die Kommission sieht das als "fully in line with the overall objective of creating a European area of freedom, security and justice" (S. 8) -- dabei ist ihr kaum zu widersprechen.

Daneben gibt es Pläne für ein Entry-Exit-System für (biometrische) Flugastdaten in und aus Drittländer, welches die EU-Komission ganz offen als Mittel zur Detektion von illegaler Migration vorschlägt. Diese würde allerdings EU-BürgerInnen nach gegenwärtigem Planungsstand nicht betreffen.

Drei Nutzungsarten

Der global approach to transfers of Passenger Name Record (PNR) data to third countries der EU-Kommission (COM(2010 492 final) ist recht offen bezüglich der geheimpolizeilichen Ausrichtung der PNR-Auswertung. Er unterscheidet folgende Nutzungsarten:

  • re-active -- Gespeicherte Daten werden zur Aufklärung oder Verfolgung geschehener Verbrechen oder zum "unravelling of networks" (also: Wer sind die KlimaaktivistInnen, die nach Kopenhagen unterwegs waren?) verwendet

  • real time -- PNR-Daten werden mit anderen Datenbanken abgeglichen oder nach "predetermined fact-based risk indicators" durchsucht in der Hoffnung, Bösewichter zu finden, während diese unterwegs sind.
  • pro-acitve -- "use for trend analysis and creation of fact-based travel and general behaviour patterns, which can then be used in real time use", also zur Ableitung von Regeln, die unerwünschte Menschen charakterisieren.

Kurz: Man könnte es sich nicht ausdenken.

Die EU hat 2019 auch mal eine Liste der Behörden veröffentlicht, die in den Mitgliedsstaaten auf die PNR-Daten zugreifen dürfen.

Geheimdienste

Nach Regelungen aus dem Ottokatalog dürfen die Geheimdienste Fluglinien und Reeder nach ihren Passagieren befragen, was letztlich auch eine Art PNR-Verfahren (allerdings auf kleiner Flamme) ist. Laut Heise-Newsticker bekam das PKGr die Information über vier Anfragen des BfV an Fluglinien im Jahre 2009.

Geschichte

Die „gemeinsame” Vorgeschichte von PNR-Austausch und EU-PNR findet sich unter PNR#Geschichte. Hier geht es ab 2017 mit PNR-Verarbeitung in der EU weiter, Neues kommt unten dran.

Anfang 2017 schickt das BMI einen Gesetzentwurf zur Umsetzung von Richtlinie 2016/681 auf den parlamentarischen Weg (heise online dazu). Die Ansage ist, dass die Systeme ab Mai 2018 laufen sollen.

„Ergebnisse”/Skandale

Solange (2017) es noch kein EU-weites PNR-System gibt, bezieht sich dieser Abschnitt auf Folgen von PNR-Systemen, in die EU-Daten geflossen sind.

"Düsseldorfer Zelle"

Drei Personen (zwei aus Marokko, eine Iranischstämmiger), die 2011 in Düsseldorf festgenommen wurden, weil sie mit Grillanzünder, Wasserstoffperoxid und Zitronensäure hantierten und dafür zur "Düsseldorfer Zelle" erklärt wurden (NZZ dazu), sollen laut Innenminister Friedrich aufgrund von PNR-Auswertungen in den USA "identifiziert" worden sein (NZZ dazu). Angesichts dieser mindestens dreifach verschachtelten Propagandaaktion kommentierte Fefe auf seinem Blog:

Mich ärgert ja nicht so sehr, dass die uns zu manipulieren versuchen, sondern dass sie es so offensichtlich und platt tun. Haben die kein Selbstwertgefühl, dass die solchen Pfusch abliefern?

Chinesen ohne Pass und andere Superverbrecher

Untersuchungsbericht des britischen House of Lords von 2008 (PDF-Seite 37) werden, wenn auch wie üblich extrem wolkig, ein paar "Fälle" beschrieben, in denen PNR-Daten angeblich eine wichtige Rolle gespielt haben sollen:

  • Chinesen ohne Papiere: "einige" von denen wurden mit gefälschten Papieren verhaftet
  • Bei einem Versuch auf einer Fährlinie nach Frankreich wurden zwei Tabakschmuggler, ein bereits verurteilter Sexualstraftäter, ein von der Polizei von Kent Verdächtigter sowie drei Menschen, die vielleicht Menschen schmuggeln gewollt haben könnten, "identifiziert"
  • Ein Passagier wurde als möglicher Drogenschmuggler gedatamint, und siehe da, er hatte 25 kg Dope dabei
  • Ein Mordverdächtiger konnte durch Verbindung von PNR-Daten eines bekannten Komplizen im Ausland lokalisiert werden
  • Irgendwie sollen auch Leute aufgespürt worden sein, die geschluckte Drogen schmuggeln wollten
  • Irgendwie soll auch eine "significant number" von Fluchthelfern/Menschenschmugglern identifiziert worden sein.

Die Chutzpe der Sicherheitsmafia, mit solchen Nummern (die zudem meist auch mit normalen Grenzkontrollen funktioniert hätten und ohnehin als kleineres Über durchgehen würden) eine Monstrosität wie PNR-Verarbeitung begründen zu wollen (bei der es ja angeblich um Terror und Schwerkriminalität geht), ist schon fast beeindruckend.

Weiteres