Vorabinformation über Flugreisende

Unter Advance Passenger Information (API) firmiert ein relativ schmaler Datensatz (das, was maschinenlesbar auf dem Ausweisdokument steht), der Flugpassagieren in viele Zielstaaten vorausgeht.

Auf EU-Ebene wurde das API-Verfahren 2004 durch die Ratsrichtline 2004/82/EG (im Windschatten der Zuganschläge von Madrid von Spanien gepusht) eingeführt. Die Richtline verpflichtet die Mitgliedsstaaten, Beförderungsunternehmen (also Fluglinien oder Fährbetreiber) zu verpflichten, Daten über Menschen, die eine Schengen-Außengrenze überschreiten, an die Grenzbehörden weiterzugeben. Der vorgesehene Datensatz entspricht ziemlich genau dem, was in der BRD vorgesehen ist.

Artikel 1 der Richtlinie legt fest, Zweck der Übermittlung sei "die Grenzkontrollen zu verbessern und die illegale Einwanderung zu bekämpfen." Versteckt am Ende von Artikel 6.1 genehmigen sich die Mitgliedsstaaten außerdem, "die personenbezogenen Daten gemäß Artikel 3 Absatz 1 [das ist der komplette Datensatz] auch zu Strafverfolgungszwecken verwenden." Bemerkenswert ist, dass hier nicht explizit mit "Terrorismus" operiert wird, obwohl die Präambel der Richtlinie sie explizit mit einer Ratserklärung begründet, in der API zur Terrorismusbekämpfung gefordert wird und der Grundrechtsabbau weitgehend ohne Widerspruch ablief, weil alle noch Betroffenheit wegen der Zuganschläge vom 11.3.2004 markieren konnten. Dies könnte auch daran liegen, dass API-Informationen schon vorher gegen Terrorlisten abgeglichen wurden.

Die Daten sollen beim Check-In übertragen und dürfen bis zu 24 Stunden gespeichert werden; merken die Grenzbehörden, dass sie die Daten zur Wahrnehmung ihrer gesetzmäßigen Aufgaben oder zur Strafverfolgung (Artikel 6.1, gegen Ende) brauchen, dürfen sie sie auch länger speichern.

Beförderungsunternehmen, die API nicht oder noch teilweise übertragen, sollen mit nicht unter 3000 Euro pro fehlendem Datensatz bestraft werden.

In der BRD bekommt die Bundespolizei die Daten.

Der EU-Überblick von 2010 weiß zu API (S. 8):

Auf die Initiative Spaniens hin erließ der Rat im Jahr 2004 die Richtlinie über die Verpflichtung von Luftfahrtunternehmen, Grenzkontrollbehörden erweiterte Fluggastdaten (Advance Passenger Information – API) zu übermitteln. Zweck dieses Instruments ist die Verbesserung der Grenzkontrollen und die Bekämpfung der illegalen Migration. Auf Anfrage müssen die Luftfahrtunternehmen diesen Behörden Namen, Geburtsdatum, Staatsangehörigkeit, Abflugort und die Grenzübergangsstelle von Fluggästen mitteilen, die aus Drittländern in die EU einreisen. Diese personenbezogenen Daten werden üblicherweise dem maschinenlesbaren Teil der Pässe der Fluggäste entnommen und den Behörden nach der Abfertigung übermittelt. Nach Ankunft des Fluges dürfen die Behörden und die Luftfahrtgesellschaften die API-Daten 24 Stunden aufbewahren. Das API-System arbeitet dezentral im Wege des Informationsaustauschs zwischen den privaten Unternehmen und den staatlichen Behörden. Im Rahmen dieses Instruments können keine Fluggastdaten zwischen Mitgliedstaaten ausgetauscht werden. Allerdings können Strafverfolgungsbehörden, sofern es sich nicht um den Grenzschutz handelt, zum Zweck der Strafverfolgung Zugang zu diesen Informationen beantragen. Die personenbezogenen Daten dürften lediglich von staatlichen Behörden zum Zweck der Grenzkontrolle und der Bekämpfung der illegalen Migration verwendet werden und sind nach Maßgabe der Richtlinie 95/46/EG zu verarbeiten. Dieses Instrument ist zwar EU-weit in Kraft, wird jedoch nur von wenigen Mitgliedstaaten angewendet. Die Kommission wird die Richtlinie 2011 überarbeiten.

Umfang der Daten

In der BRD wird API geregelt von §31 a BPolG; es sieht vor, folgende Daten zu übertragen:

  • Name, Geburtsdatum, Geschlecht
  • Staatsangehörigkeit
  • die Nummer und die Art des mitgeführten Reisedokuments
  • die Nummer und der ausstellende Staat des erforderlichen Aufenthaltstitels oder Flughafentransitvisums
  • die für die Einreise in das Bundesgebiet vorgesehene Grenzübergangsstelle
  • die Flugnummer, die planmäßige Abflug- und Ankunftszeit und die Flugroute.

Skandale

Spanien untersucht auch EU-Flüge

Gemäß einer Anfrage der britischen EU-Abgeordneten Sarah Ludford von 2007 hat Spanien -- dessen Regierungen die EU-API-Direktive eingebracht hatten -- unter Hinweis auf das EU-Recht auch von Passagieren aus UK API-Daten gefordert. Die Antwort der Kommission dementiert zumindest nicht das grundsätzliche Vorgehen und wieselt ansonsten herum.

Praktisch nicht genutzt

Nach Aussage der Kommission (EU-Überblick von 2010, S.8) wird API "nur von wenigen Mitgliedstaaten angewendet". Dies wirft natürlich ein besonderes Licht auf die gewohnten alarmistischen Phrasen des Typs "...ist es von grundlegender Bedeutung, dass sich alle Mitgliedstaaten einen Regelungsrahmen..." oder "Es ist wichtig, ein Vakuum bei den Maßnahmen der Gemeinschaft zur Bekämpfung der illegalen Einwanderung zu vermeiden", die sich auch in der API-Ratsrichtline 2004/82/EG finden.

Eine konkrete Evaluation der Anwendung von API (als solcher) ist jedenfalls für die EU nicht zu finden.

Siehe auch

  • PNR -- umfangreichere Datensätze, die z.B. an die USA in einem API-ähnlichen Verfahren übertragen werden

  • Entry-Exit-System -- eine Groß-Datenbank zur längeren Vorhaltung API-ähnlicher Daten

  • Terrorlisten -- die Prüfung gegen Terrorlisten baut schon lange auf API-ähnlichen Verfahren auf

  • Das US-APIS wird laut einer Kurzstudie der EFF zu ATP als Datenquelle zum Data Mining nach Terrorverdächtigen genutzt.