Unterschiede zwischen den Revisionen 21 und 39 (über 18 Versionen hinweg)
Revision 21 vom 2011-02-05 19:12:51
Größe: 6397
Autor: anonym
Kommentar:
Revision 39 vom 2011-06-02 06:17:16
Größe: 13771
Autor: anonym
Kommentar: + Erwähnung der Begleitbriefe zu PNR-Abkommen
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 5: Zeile 5:
Passenger Name Records sind umfangreiche Datensätze über Flugpassagiere.  Verschiedene Represseionsorgane haben in verschiedener Weise auf diese [[Privat-Öffentliche Datenbanken|Privat-Öffentlichen Daten]] Zugriff. Direkt geliefert werden sie momentan an die USA, die [[Datenbanken EU|EU]] wird im Zeifelfalle darüber informiert, plant aber auch einen eigenen Zugriff.
Direkt und nur für 24 Stunden hat momentan die [[Datenbanken der Bundespolizei|Bundespolizei]] Zugriff auf die Fluggastdaten im Rahmen von [[API]].
Passenger Name Records sind umfangreiche Datensätze über Flugpassagiere.
Verschiedene Repressionsorgane haben in verschiedener Weise auf diese
[[Privat-Öffentliche Datenbanken|Privat-Öffentlichen Daten]] Zugriff. Direkt
geliefert werden sie momentan an die USA und verschiedene weitere Staaten
zur "Terrorismusbekämpfung". Sofern sich bei der Analyse dort "Ergebnisse"
finden
, wird Europol informiert. Die EU arbeitet aber einem eigenen
Analysesystem
.
Zeile 8: Zeile 13:
== Begriffserkärung == Direkt und nur für 24 Stunden hat momentan die [[Datenbanken der Bundespolizei|Bundespolizei]] Zugriff auf einen schmaleren Satz von Fluggastdaten im Rahmen von [[API]].
Zeile 10: Zeile 15:
Der Begriff PNR kam auf im Zusammenhang mit Übertragungen umfangreicher Datensätze in die USA (inzwischen auch anch Australien und Kannada). Im "Gegenzug" bekommen [[Europol]] und [[Eurojust]] Informationen aus den Erkenntnissen, welche die USA aus den PNR-Daten bekommen haben. EU-Behörden sollen im Zweifelsfall auch Informationen aus den PNR-Daten der USA und Kannada (siehe <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>>) bekommen. Die PNR-Daten werden von den Empfängerländern unter Umständen über viele Jahre gespeichert, in den USA etwa beim Department of Homeland Services. == Geschichte ==

''In inverser chronologischer Reihenfolge''

Im April 2011
[[http://www.datenschutz.de/news/detail/?nid=4886|stocken die Verhandlungen über die PNR-Übertragung in die USA]],
weil diese sich die Nutzung der PNR-Daten im Zusammenhang mit fast allen
Verbrechen genehmigen wollen (statt bisher nur "Terrorismus") und dazu eine
Speicherfrist von 22 Jahren vorsehen (statt bisher 15). Im Wissen, dass
solche Maßnahmen in der EU kaum durchsetzbar sein werden, verweigert selbst
die kaum als datenschutzfreundlich bekannte EU-Innenkommissarin "Zensilia"
Malmström die Zustimmung.

Die Kommission hat am 2.2.2011
[[http://www.statewatch.org/news/2011/feb/eu-com-eu-pnr-com-32-11.pdf|Kommissionsdokument 2011/0023]] vorgelegt, in dem vorgeschlagen wird,
zur Bekämpfung aller
möglichen Sorten von Kriminalität (neben politischer auch Drogen u.ä)
PNR-Daten von Flügen in die EU auszuwerten; das ist quasi das
Gegenstück zu den PNR-Geschichten, die sonst auf dieser Seite stehen.

Nicht faul, hat die UK-Delegation [[http://www.statewatch.org/news/2011/feb/eu-pnr-uk-proposals-6359-11.pdf|Ratsdokument 6359/11]]
nachgelegt, in dem PNR-Daten "for the prevention, detection, investigation and
prosecution of terrorist offences and serious crime"
auch dann verwendet werden sollen, wenn die Flüge innerhalb der EU
stattfinden -- das würde dann bedeuten, dass sämtliche Flug-Bewegungsdaten
an irgendeinem Polizeicomputer vorbeilaufen würden.


== USA, Kanada, Australien ==

Der Begriff PNR kam auf im Zusammenhang mit Übertragungen umfangreicher Datensätze in die USA (inzwischen auch anch Australien und Kanada). Im "Gegenzug" bekommen [[Europol]] und [[Eurojust]] Informationen aus den Erkenntnissen, welche die USA aus den PNR-Daten bekommen haben (siehe <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>>). Die PNR-Daten werden von den Empfängerländern unter Umständen über viele Jahre gespeichert, in den USA etwa beim Department of Homeland Services.
Zeile 13: Zeile 48:

=== Datensatz ===
Zeile 36: Zeile 73:
Aus einer [[http://www.statewatch.org/news/2010/apr/eu-usa-pnr-joint-review-com.pdf|gemeinsamen Auswertung der PNR-Transfers in die USA]] geht offenbar hervor, dass das DHS "Pull-Zugriff" auf die PNR-Bestände hat; damit müssen sie wohl immerhin grob sagen, was sie gern hätten.

== Rechtsgrundlage ==

Rechtsgrundlage für die Übermittlung an Drittstaaten sind EU-Maßnahmen.


== EU-Pläne ==
Die [[Datenbanken EU|EU]]-Komission möchte, dass die Fluggastdaten von Inlandsflügen den Europäischen Sicherheitsbehörden in einer Datenbank ("[[PNR EU]]") automatisch zur Verfügung gestellt werden (siehe [[http://mygully.com/thread/390-eu-kommission-legt-plaene-vor-mehr-fluggastdaten-fuer-die-terrorfahnder-2221623/|mygully.com]]).

Daneben gibt es Pläne für ein [[Entry-Exit-System]] für (biometrische) Flugastdaten in und aus Drittländer, welches die [[Datenbanken EU|EU]]-Komission ganz offen als Mittel zur Detektion von illegaler [[Datenbanken gegen MigrantInnen|Migration]] vorschlägt. Diese würde allerdings EU-Bürger``Innen (im Gegensatz zu PNR und API) nicht betreffen.
Zeile 51: Zeile 77:
Die Daten werden in den USA generell 15 Jahre gespeichert, wobei nach einer
sieben Jahre nur durch eine komplizierte Prozedur auf die Daten zugeriffen
Nach Darstellung im <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>> (S.
18) werden die Dat
en in den USA generell 15 Jahre gespeichert, wobei nach
sieben Jahre nur durch eine komplizierte Prozedur auf die Daten zugegriffen
Zeile 54: Zeile 81:
wurden. Dieses wird passiver Zugang genannt. In Kannada werden die Daten
dagegen nur 3,5 Jahre aktiv und passiv nur 72 Stunden gespeichert. In
Australien werden die Daten 3,5 Jahre aktiv und zwei Jahre passiv gespeichert.
(siehe <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>>) TODO: passiv<aktiv??
wurden (d.h. WikiPedia:Pseudonymization; dieser Teil wird "schlafende
Datenbank" genannt). In Kanada werden die Daten dagegen nur 72 Stunden aktiv
und 3.5 Jahre schlafend, in Australien 3,5 Jahre aktiv und zwei Jahre schlafend
gespeichert.
Zeile 59: Zeile 86:
== Übermittlung von Fluggastdaten an die Bundespolizei == Bei all dem muss gesagt werden, dass die Verträge zu diesen Verfahren nichts
sagen. Die Zahlen kommen bestenfalls aus Briefen der Kommission an
die Vertragspartner, die konkretisieren sollen, was ein "ausreichendes Datenschutzniveau" sein soll. Das "Understanding", der Datenzugriff werde nicht mehr
erlaubt, wenn die Regeln verletzt werden, ist indes hinfällig, wie
das im <<Doclink(2010-eu-overview.pdf,EU-Überblick von 2010)>> (S. 17) erwähnte
Faktum illustriert, das PNR-Abkommen mit Kanada bleibe in Kraft, obwohl
die Kommission seit September 2009 nicht mehr von einem ausreichenden
Datenschutzniveau in Kanada überzeugt sei.
Zeile 61: Zeile 95:
Fluggastdaten von Reisenden, welche aus der BRD in Länder außerhalb der EU reisen, werden nach [[http://www.gesetze-im-internet.de/bgsg_1994/__31a.html|§31 a BPolG]] im Rahmen einer [[Datenbanken EU|EU-Abmachung]] an die Bundespolizei weiter geleitet (siehe auch [[API]]). Hier beträgt die Speicherdauer allerdings nur 24 Stunden.
=== Rechtsgrundlage ===

Rechtsgrundlage für die Übermittlung an Drittstaaten sind EU-Maßnahmen und das entsprechende BRD-Gesetz mit dem schönen Titel
"Gesetz zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)", abgedruckt in
<<Doclink(2007-bt-pnr.pdf,Bundestagsdrucksache 16/6750)>>.

Auf EU-Ebene gibt es einen (ausgerechnet vom schillernden Tom Ridge mitunterschriebenen) [[http://eur-lex.europa.eu/Notice.do?val=340489:cs&lang=en&list=340546:cs,340545:cs,340489:cs,340544:cs,402655:cs,340690:cs,340689:cs,340688:cs,340687:cs,340686:cs,&pos=3&page=1&nbl=24&pgs=10|Vertrag mit den USA]] und analoge Dokumente für Kanada und Australien. Diese Verträge sind allerdings so dünn, dass sie kaum wirksam definieren, worum es eigentlich geht.

Die datenschutzrechtlich interessanten Vereinbarungen sind in Begleitbriefen
der Kommission enthalten; für die USA ist dieser in
<<Doclink(2007-bt-pnr.pdf,Bundestagsdrucksache 16/6750)>> gegen Ende enthalten.


== EU-Pläne ==

Im Stockholm-Programm von 2009 (vgl. [[Datenbanken EU#Fünfjahrespläne]] fordert der EU-Rat die Kommission auf, ein eigenes PNR-System aufzubauen und gleichzeitig die Übertragungen ins Ausland neu zu verhandeln. Mitte 2011 ist das noch heiß umkämpft, vlg. oben unter "Geschichte".

Der aktuelle Vorschlag ([[http://www.statewatch.org/news/2011/feb/eu-com-eu-pnr-com-32-11.pdf|Kommissionsdokument 2011/0023]]) sieht in etwa vor:

 * Mitgliedsstaaten richten (gemeinsame oder getrennte) "Passenger Information Units" (PIU) ein, die die Daten von den Fluglinien über Flüge in oder aus nicht-AFSJ-Staaten von oder aus den nationalen Flughäfen sammelt, speichert, analyisert und die Analyseergebnisse an andere PIUs weitergibt. Auch pure Zwischenlandungen werden verarbeitet.
 * Die Fluglinien "pushen" ihren kompletten Datensatz an die PIUs, jeweils 24 bis 48 Stunden vor dem Start und nochmal nachdem das Gate geschlossen wurde. Wenn sie wollen, können PIUs auch Bedrohungen erfinden und dann zu beliebigen Zeiten von ein Fluglinien "pullen".
 * Die PIUs sollen die Daten beackern und mit nationalen Datenbanken abgleichen, um Menschen zu finden, die von den Repressionsorganen genauer untersucht werden sollen, weil sie ''irgendetwas'' ("involved in") zu tun haben könnten mit "Terrorismus" oder "serious crime" sowie im Kriterien zu erarbeiten, die die Identifikation solcher Menschen erlauben.
 * Die PIUs dürfen in überschaubarer Menge ("duly reasoned") PNR-Daten von anderen PIUs anfordern. Sie dürfen Analyseergebnisse fallweise an nationale Behörden übertragen und sollen PNR-Daten an andere PIUs weitergeben, wenn sie meinen, sie gingen diese etwas an.
 * Die PIUs dürfen PNR-Daten fallweise ins Ausland weitergeben.
 * Die Speicherfirst für die vollen PNR-Daten ist fünf Jahre, wobei aber bei Menschen, bei denen die PIU nichts findet, nach 30 Tagen Daten, die für die Kommission eine Identifkation ermöglichen (Namen, Adressen, Kontaktinformationen, Freitext, API-Daten), "maskiert" werden sollen. Diese "maskierten" Daten sollen nur einer "beschränkten Zahl" von MitarbeiterInnen zugänglich sein, deanonymisieren können soll nur der Chef der PIU. Personenbezogene Daten können drei Jahre gespeichert werden, um falsch positive Fälle bei späterem Antreffen schneller zu erkennen.

Der PNR selbst sieht nach 2011/0023 so aus:

 1. PNR record locator
 2. Date of reservation/issue of ticket
 3. Date(s) of intended travel
 4. Name(s)
 5. Address and contact information (telephone number, e-mail address)
 6. All forms of payment information, including billing address
 7. Complete travel itinerary for specific PNR
 8. Frequent flyer information
 9. Travel agency/travel agent
 10. Travel status of passenger, including confirmations, check-in status, no show or go show information
 11. Split/divided PNR information
 12. General remarks (including all available information on unaccompanied minors under 18 years, such as name and gender of the minor, age, language(s) spoken, name and contact details of guardian on departure and relationship to the minor, name and contact details of guardian on arrival and relationship to the minor, departure and arrival agent)
 13. Ticketing field information, including ticket number, date of ticket issuance and one-way tickets, Automated Ticket Fare Quote fields
 14. Seat number and other seat information
 15. Code share information
 16. All baggage information
 17. Number and other names of travellers on PNR
 18. Any Advance Passenger Information (API) data collected
 19. All historical changes to the PNR listed in numbers 1 to 18

Die Kommission sieht das als "fully in line with the overall objective of
creating a European area of freedom, security and justice" (S. 8) -- dabei ist
ihr kaum zu widersprechen.

Daneben gibt es Pläne für ein [[Entry-Exit-System]] für (biometrische) Flugastdaten in und aus Drittländer, welches die [[Datenbanken EU|EU]]-Komission ganz offen als Mittel zur Detektion von illegaler [[Datenbanken gegen MigrantInnen|Migration]] vorschlägt. Diese würde allerdings EU-Bürger``Innen (im Gegensatz zu [[PNR EU]] und [[API]]) nicht betreffen.
Zeile 66: Zeile 154:
[[http://www.heise.de/newsticker/meldung/Deutsche-Nachrichtendienste-hoerten-2009-mehr-ab-1156145.html|Laut PKGr]]: 2009 vier Anfragen des VS an Fluglinien (02-09 insgesamt neun). Laut [[http://www.heise.de/newsticker/meldung/Deutsche-Nachrichtendienste-hoerten-2009-mehr-ab-1156145.html|Heise-Newsticker]] bekam das [[Datenbanken der Dienste#PKGr|PKGr]] die Information über vier Anfragen des [[Datenbanken der Dienste#Bundesamt_f.2BAPw-r_Verfassungsschutz_.28BfV.29|BfV]] an Fluglinien im Jahre 2009.
Zeile 73: Zeile 161:
 * [[http://www.studiosus.com/allereisen/informationen/serviceleistungen/datenschutzhinweise_usa/index.php#abschnitt_faq|FAQ zu Flugastdaten von Studiosus-Reisen]]  * [[http://www.statewatch.org/news/2010/apr/eu-usa-pnr-joint-review-com.pdf|Gemeinsame Auswertung der PNR-Transfers in die USA]]
 * Weblog gegen PNR in Staatshand: http://www.nopnr.org/

== "Ergebnisse" ==

=== "Düsseldorfer Zelle" ===

Drei Personen (zwei aus Marokko, eine Iranischstämmiger), die 2011
in Düsseldorf festgenommen wurden, weil sie mit Grillanzünder,
Wasserstoffperoxid und Zitronensäure hantierten und dafür zur "Düsseldorfer
Zelle" erklärt wurden (<a href="http://www.nzz.ch/nachrichten/politik/international/deutschland_einmal_mehr_im_visier_der_kaida_1.10444890.html">NZZ dazu</a>),
sollen laut Innenminister Friedrich aufgrund von PNR-Auswertungen in
den USA "identifiziert" worden sein (<a href="http://www.nzz.ch/nachrichten/politik/international/friedrich_passagierdaten_duesseldorfer_terrorzelle_1.10492454.html">NZZ dazu</a>).
Angesichts dieser mindestens dreifach verschachtelten Propagandaaktion
<a href="http://blog.fefe.de/?ts=b33d165b">kommentierte Fefes Blog</a>:
{{{#!blockquote
Mich ärgert ja nicht so sehr, dass die uns zu manipulieren versuchen, sondern dass sie es so offensichtlich und platt tun. Haben die kein Selbstwertgefühl, dass die solchen Pfusch abliefern?
}}}

Passenger Name Records (PNR)

Passenger Name Records sind umfangreiche Datensätze über Flugpassagiere. Verschiedene Repressionsorgane haben in verschiedener Weise auf diese Privat-Öffentlichen Daten Zugriff. Direkt geliefert werden sie momentan an die USA und verschiedene weitere Staaten zur "Terrorismusbekämpfung". Sofern sich bei der Analyse dort "Ergebnisse" finden, wird Europol informiert. Die EU arbeitet aber einem eigenen Analysesystem.

Direkt und nur für 24 Stunden hat momentan die Bundespolizei Zugriff auf einen schmaleren Satz von Fluggastdaten im Rahmen von API.

Geschichte

In inverser chronologischer Reihenfolge

Im April 2011 stocken die Verhandlungen über die PNR-Übertragung in die USA, weil diese sich die Nutzung der PNR-Daten im Zusammenhang mit fast allen Verbrechen genehmigen wollen (statt bisher nur "Terrorismus") und dazu eine Speicherfrist von 22 Jahren vorsehen (statt bisher 15). Im Wissen, dass solche Maßnahmen in der EU kaum durchsetzbar sein werden, verweigert selbst die kaum als datenschutzfreundlich bekannte EU-Innenkommissarin "Zensilia" Malmström die Zustimmung.

Die Kommission hat am 2.2.2011 Kommissionsdokument 2011/0023 vorgelegt, in dem vorgeschlagen wird, zur Bekämpfung aller möglichen Sorten von Kriminalität (neben politischer auch Drogen u.ä) PNR-Daten von Flügen in die EU auszuwerten; das ist quasi das Gegenstück zu den PNR-Geschichten, die sonst auf dieser Seite stehen.

Nicht faul, hat die UK-Delegation Ratsdokument 6359/11 nachgelegt, in dem PNR-Daten "for the prevention, detection, investigation and prosecution of terrorist offences and serious crime" auch dann verwendet werden sollen, wenn die Flüge innerhalb der EU stattfinden -- das würde dann bedeuten, dass sämtliche Flug-Bewegungsdaten an irgendeinem Polizeicomputer vorbeilaufen würden.

USA, Kanada, Australien

Der Begriff PNR kam auf im Zusammenhang mit Übertragungen umfangreicher Datensätze in die USA (inzwischen auch anch Australien und Kanada). Im "Gegenzug" bekommen Europol und Eurojust Informationen aus den Erkenntnissen, welche die USA aus den PNR-Daten bekommen haben (siehe EU-Überblick von 2010). Die PNR-Daten werden von den Empfängerländern unter Umständen über viele Jahre gespeichert, in den USA etwa beim Department of Homeland Services.

API ("Advance Passenger Information") ist die Übertragung vergleichbarer Daten an Polizeien und Grenzbehörden beim Einchecken. Diese Daten sollten in der Regel binnen 24 Stunden nach der Landung gelöscht werden.

Datensatz

Für die USA umfasst der PNR-Datensatz (bei Flügen nach Kanada und Australien unterscheidet sich das ein wenig):

  • Ein Code zur Identifizierung des PNR
  • Datum von Reservierung und Ausgabe des Flugtickets
  • Die vorgesehenen Reisedaten
  • Passagiernamen
  • Verfügbare Informationen über Vielflieger- und andere Bonusprogramme sowie weitere Rabatte
  • Andere Namen innerhalb des PNR, einschließlich der Anzahl der Reisenden, die der PNR betrifft
  • Alle verfügbaren Kontaktinformationen
  • Alle verfügbaren Rechnungs- und Zahlungsinformationen, mit Ausnahme anderer Transaktionsdetails, die eine Kreditkarte betreffen und nicht mit den Reisetransaktionen zu tun haben
  • Reiseablauf für den jeweiligen PNR
  • Reisebüro, bei dem die Reise für den jeweiligen PNR gebucht wurde
  • Informatione zu eventuellem Code-Sharing
  • Informationen über die Splittung/Teilung einer Buchung
  • Reisestatus des Passagiers, einschließlich von Buchungsbestätigungen und Informationen über den Check-in
  • Ticket-Informationen einschließlich Flugscheinnummer, Infos über One-Way-Tickets und zur automatischen Tarifabfrage
  • Alle Informationen über das aufgegebene Gepäck
  • Informationen zum Sitzplatz einschließlich Sitzplatznummer
  • Allgemeine Informationen, einschließlich aller Angaben zu Service-Anforderungen wie OSI (Special Service Requests) und SSI/SSR (Sensitive Security Information/Special Service Requests)
  • Alle über API (Advance Passenger Information System) gesammelte Informationen

  • Alle vergangenen Änderungen an den PNR-Datenfeldern 1 bis 18

Speicherdauer

Nach Darstellung im EU-Überblick von 2010 (S. 18) werden die Daten in den USA generell 15 Jahre gespeichert, wobei nach sieben Jahre nur durch eine komplizierte Prozedur auf die Daten zugegriffen werden kann, da sie mit der Möglichket der Wiederherstellung anonymisiert wurden (d.h. Pseudonymization; dieser Teil wird "schlafende Datenbank" genannt). In Kanada werden die Daten dagegen nur 72 Stunden aktiv und 3.5 Jahre schlafend, in Australien 3,5 Jahre aktiv und zwei Jahre schlafend gespeichert.

Bei all dem muss gesagt werden, dass die Verträge zu diesen Verfahren nichts sagen. Die Zahlen kommen bestenfalls aus Briefen der Kommission an die Vertragspartner, die konkretisieren sollen, was ein "ausreichendes Datenschutzniveau" sein soll. Das "Understanding", der Datenzugriff werde nicht mehr erlaubt, wenn die Regeln verletzt werden, ist indes hinfällig, wie das im EU-Überblick von 2010 (S. 17) erwähnte Faktum illustriert, das PNR-Abkommen mit Kanada bleibe in Kraft, obwohl die Kommission seit September 2009 nicht mehr von einem ausreichenden Datenschutzniveau in Kanada überzeugt sei.

Rechtsgrundlage

Rechtsgrundlage für die Übermittlung an Drittstaaten sind EU-Maßnahmen und das entsprechende BRD-Gesetz mit dem schönen Titel "Gesetz zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS)", abgedruckt in Bundestagsdrucksache 16/6750.

Auf EU-Ebene gibt es einen (ausgerechnet vom schillernden Tom Ridge mitunterschriebenen) Vertrag mit den USA und analoge Dokumente für Kanada und Australien. Diese Verträge sind allerdings so dünn, dass sie kaum wirksam definieren, worum es eigentlich geht.

Die datenschutzrechtlich interessanten Vereinbarungen sind in Begleitbriefen der Kommission enthalten; für die USA ist dieser in Bundestagsdrucksache 16/6750 gegen Ende enthalten.

EU-Pläne

Im Stockholm-Programm von 2009 (vgl. Datenbanken EU#Fünfjahrespläne fordert der EU-Rat die Kommission auf, ein eigenes PNR-System aufzubauen und gleichzeitig die Übertragungen ins Ausland neu zu verhandeln. Mitte 2011 ist das noch heiß umkämpft, vlg. oben unter "Geschichte".

Der aktuelle Vorschlag (Kommissionsdokument 2011/0023) sieht in etwa vor:

  • Mitgliedsstaaten richten (gemeinsame oder getrennte) "Passenger Information Units" (PIU) ein, die die Daten von den Fluglinien über Flüge in oder aus nicht-AFSJ-Staaten von oder aus den nationalen Flughäfen sammelt, speichert, analyisert und die Analyseergebnisse an andere PIUs weitergibt. Auch pure Zwischenlandungen werden verarbeitet.
  • Die Fluglinien "pushen" ihren kompletten Datensatz an die PIUs, jeweils 24 bis 48 Stunden vor dem Start und nochmal nachdem das Gate geschlossen wurde. Wenn sie wollen, können PIUs auch Bedrohungen erfinden und dann zu beliebigen Zeiten von ein Fluglinien "pullen".
  • Die PIUs sollen die Daten beackern und mit nationalen Datenbanken abgleichen, um Menschen zu finden, die von den Repressionsorganen genauer untersucht werden sollen, weil sie irgendetwas ("involved in") zu tun haben könnten mit "Terrorismus" oder "serious crime" sowie im Kriterien zu erarbeiten, die die Identifikation solcher Menschen erlauben.

  • Die PIUs dürfen in überschaubarer Menge ("duly reasoned") PNR-Daten von anderen PIUs anfordern. Sie dürfen Analyseergebnisse fallweise an nationale Behörden übertragen und sollen PNR-Daten an andere PIUs weitergeben, wenn sie meinen, sie gingen diese etwas an.
  • Die PIUs dürfen PNR-Daten fallweise ins Ausland weitergeben.
  • Die Speicherfirst für die vollen PNR-Daten ist fünf Jahre, wobei aber bei Menschen, bei denen die PIU nichts findet, nach 30 Tagen Daten, die für die Kommission eine Identifkation ermöglichen (Namen, Adressen, Kontaktinformationen, Freitext, API-Daten), "maskiert" werden sollen. Diese "maskierten" Daten sollen nur einer "beschränkten Zahl" von MitarbeiterInnen zugänglich sein, deanonymisieren können soll nur der Chef der PIU. Personenbezogene Daten können drei Jahre gespeichert werden, um falsch positive Fälle bei späterem Antreffen schneller zu erkennen.

Der PNR selbst sieht nach 2011/0023 so aus:

  1. PNR record locator
  2. Date of reservation/issue of ticket
  3. Date(s) of intended travel
  4. Name(s)
  5. Address and contact information (telephone number, e-mail address)
  6. All forms of payment information, including billing address
  7. Complete travel itinerary for specific PNR
  8. Frequent flyer information
  9. Travel agency/travel agent
  10. Travel status of passenger, including confirmations, check-in status, no show or go show information
  11. Split/divided PNR information
  12. General remarks (including all available information on unaccompanied minors under 18 years, such as name and gender of the minor, age, language(s) spoken, name and contact details of guardian on departure and relationship to the minor, name and contact details of guardian on arrival and relationship to the minor, departure and arrival agent)
  13. Ticketing field information, including ticket number, date of ticket issuance and one-way tickets, Automated Ticket Fare Quote fields
  14. Seat number and other seat information
  15. Code share information
  16. All baggage information
  17. Number and other names of travellers on PNR
  18. Any Advance Passenger Information (API) data collected
  19. All historical changes to the PNR listed in numbers 1 to 18

Die Kommission sieht das als "fully in line with the overall objective of creating a European area of freedom, security and justice" (S. 8) -- dabei ist ihr kaum zu widersprechen.

Daneben gibt es Pläne für ein Entry-Exit-System für (biometrische) Flugastdaten in und aus Drittländer, welches die EU-Komission ganz offen als Mittel zur Detektion von illegaler Migration vorschlägt. Diese würde allerdings EU-BürgerInnen (im Gegensatz zu PNR EU und API) nicht betreffen.

Geheimdienste

Nach Regelungen aus dem Ottokatalog dürfen die Geheimdienste Fluglinien und Reeder nach ihren Passagieren befragen, was letztlich auch eine Art PNR-Verfahren (allerdings auf kleiner Flamme) ist. Laut Heise-Newsticker bekam das PKGr die Information über vier Anfragen des BfV an Fluglinien im Jahre 2009.

Weitere Infos

"Ergebnisse"

"Düsseldorfer Zelle"

Drei Personen (zwei aus Marokko, eine Iranischstämmiger), die 2011 in Düsseldorf festgenommen wurden, weil sie mit Grillanzünder, Wasserstoffperoxid und Zitronensäure hantierten und dafür zur "Düsseldorfer Zelle" erklärt wurden (<a href="http://www.nzz.ch/nachrichten/politik/international/deutschland_einmal_mehr_im_visier_der_kaida_1.10444890.html">NZZ dazu</a>), sollen laut Innenminister Friedrich aufgrund von PNR-Auswertungen in den USA "identifiziert" worden sein (<a href="http://www.nzz.ch/nachrichten/politik/international/friedrich_passagierdaten_duesseldorfer_terrorzelle_1.10492454.html">NZZ dazu</a>). Angesichts dieser mindestens dreifach verschachtelten Propagandaaktion <a href="http://blog.fefe.de/?ts=b33d165b">kommentierte Fefes Blog</a>:

Mich ärgert ja nicht so sehr, dass die uns zu manipulieren versuchen, sondern dass sie es so offensichtlich und platt tun. Haben die kein Selbstwertgefühl, dass die solchen Pfusch abliefern?