Passenger Name Records sind umfangreiche Datensätze über Flugpassagiere, die bei den Fluggesellschaften anfallen und von zahlreichen staatlichen Stellen in großen Mengen und für lange Zeiten gespeichert werden.
Die BRD gönnt sich seit 2018 im Rahmen einer EU-weiten Umsetzung auch ein eigenes PNR-System, in dem die Daten aller Flugzeugreisenden von und nach Deutschland erfasst werden sollen, Inlandsflüge sind offenbar ausgenommen.
Konzept
Gemäß der Rechtsgrundlage Fluggastdatengesetz soll die beim BKA angesiedelte Fluggastdatenzentralstelle (alias Passenger Information Unit oder PIU) folgende Daten aller Flugreisenden von den Airlines erhalten und 5 Jahre speichern (§2 Abs. 2 FlugDaG):
1. Familienname, Geburtsname, Vornamen und Doktorgrad des Fluggastes,
2. Angaben zum Fluggastdaten-Buchungscode,
3. Datum der Buchung und der Flugscheinausstellung,
4. planmäßiges Abflugdatum oder planmäßige Abflugdaten,
5. Anschrift und Kontaktangaben, einschließlich Telefonnummer und E-Mail-Adresse,
6. Flugscheindaten, einschließlich Flugscheinnummer, Ausstellungsdatum, einfacher Flug und automatische Tarifanzeige,
7. vollständige Gepäckangaben,
8. etwaige erhobene erweiterte Fluggastdaten (Advance Passenger Information-Daten), einschließlich Art, Nummer, Ausstellungsland und Ablaufdatum von Identitätsdokumenten, Staatsangehörigkeit, Familienname, Vornamen, Geschlecht, Geburtsdatum, Luftfahrtunternehmen, Flugnummer, Tag des Abflugs und der Ankunft, Flughafen des Abflugs und der Ankunft, Uhrzeit des Abflugs und der Ankunft,
9. sonstige Namensangaben,
10. alle Arten von Zahlungsinformationen, einschließlich der Rechnungsanschrift,
11. gesamter Reiseverlauf für bestimmte Fluggastdaten,
12. Angaben zum Vielflieger-Eintrag,
13. Angaben zum Reisebüro und zur Sachbearbeiterin oder zum Sachbearbeiter,
14. Reisestatus des Fluggastes mit Angaben über Reisebestätigungen, Eincheckstatus, nicht angetretene Flüge und Fluggäste mit Flugschein aber ohne Reservierung,
15. Angaben über gesplittete und geteilte Fluggastdaten,
16. allgemeine Hinweise, einschließlich aller verfügbaren Angaben zu unbegleiteten Minderjährigen unter 18 Jahren, wie beispielsweise Namensangaben, Geschlecht, Alter und Sprachen der oder des Minderjährigen, Namensangaben und Kontaktdaten der Begleitperson beim Abflug und Angabe, in welcher Beziehung diese Person zu der oder dem Minderjährigen steht, Namensangaben und Kontaktdaten der abholenden Person und Angabe, in welcher Beziehung diese Person zu der oder dem Minderjährigen steht, begleitende Flughafenmitarbeiterin oder begleitender Flughafenmitarbeiter bei Abflug und Ankunft,
17. Sitzplatznummer und sonstige Sitzplatzinformationen,
18. Angaben zum Code-Sharing,
19. Anzahl und Namensangaben von Mitreisenden im Rahmen der Fluggastdaten und
20. alle vormaligen Änderungen der unter den Nummern 1 bis 19 aufgeführten Fluggastdaten.
Die Daten werden für fünf Jahre gespeichert und sollen nach 6 Monaten "maskiert" werden, wobei sie, falls sie gebraucht werden, jederzeit "unmaskiert" werden können, was die Maskierung doch als einen eher schlechten Witz erscheinen lässt. Unklar ist zum aktuellen Zeitpunkt allerdings, ob "maskierte" Daten bei einer Auskunftsanfrage mit beauskunftet werden, solltet ihr Auskunft zu PNR erhalten, die älter als 6 Monate sind, wäre Feedback hilfreich. Die Daten werden vor der Reise systematisch mit den Datenbanken INPOL und SIS abgeglichen, um Personen zu finden, die bestimmte Straftaten begangen haben sollen. Was passiert, wenn Reisenden andere, nicht vom FlugDaG umfasste begangene Straftaten begangen haben, bleibt unklar, eigentlich sollte die Software so laufen, dass sie in diesen Fällen nicht anschlägt, was aber nicht zwangsläufig heißen muss, dass sie das auch tut.
Daneben sollen auch sogenannte Muster abgeglichen werden (§4 Abs. 3 FluDaG), die dann nur anhand der Fluggastdaten potentielle Straftäter*innen ermitteln sollen.Stand Oktober 2018 findet dies in der Praxis mangels funktionierender Software, die das kann, noch nicht statt. Im Gesetz wird äußerst halbherzig versucht, mit einem Halbsatz racial profiling zu vermeiden, mit dieser Formulierung ist nur halt wohl schon "hat ein Halal-Menü bestellt" zulässiger Anhaltspunkt für "könnte ein Terrorist sein".
Lesenswert für juristisch interessierte Kreise ist die Stellungnahme des Deutschen Richterbunds (Achtung, Link geht zum BKA), denn der hat rechtsstaatliche Bedenken(!) und sieht allerlei Grundrechtsbrüche und Nichteinhaltungen der EU-Richtlinie. An sich nicht überraschend, in dieser Deutlichkeit von diesem Akteur aber schon.
Umsetzung
Das Gesetz wurde im Mai 2018 verabschiedet, im August nahm die Fluggastdatenzentralstelle ihren Betrieb auf, im Oktober waren laut der Antwort der Bundesregierung auf eine kleine Anfrage der Linksfraktion im Bundestag ganze drei Fluggesellschaften an das System angeschlossen (welche genau, ist Staatsgeheimnis), mittlerweile sind es wahrscheinlich ein paar mehr. Hier freuen wir uns auf Feedback, zu welchen Airlines ihr Positivauskünfte erhaltet.
Eine Auskunftsanfrage funktioniert über die BKA-Auskunftsanfrage auf der datenschmutz-Auskunftsersuchensseite. Alternativ gibt es ein eigenes Prozedere auf der BKA-Website.
Leseempfehlung: Bundestags-Drucksache 19/4755.
Etwa ein halbes Jahr nach dem Scharfstellen berichtet die Regierung in Bundestags-Drucksache 19/9536, (April 2019), immerhin 124.5 Leute seien allen beim BVA mit dem Stochern in den PNR-Daten beschäftigt; schließlich sollen 500 Menschen für DE-PNR arbeiten. 11 Airlines liefern schon Daten an, 20 könnten das tun, weitere sollen „in Abhängigkeit der Fortentwicklung des Fluggastdaten-Informationssystems“ angebunden werden. 3.5 Millionen Fluggastdatensätze seien geflossen (einzelne Bewegungen können aber mehrfach gemeldet worden sein), insgesamt sind 1.2 Millionen Menschen Opfer des Systems geworden.
Die DV hat aus den 1.2 Millionen Opfern durch Abgleich mit INPOL und SIS 94098 „technische Treffer“ erhalten, die dann „individuell überprüft“ wurden. Daraus kamen dann 277 „fachlich positive“ Treffer, bei denen dann „z. B. Festnahme, offene Kontrolle, verdeckte Kontrolle“ vorgenommen wurde. Genauere Angaben macht die Regierung nicht (und mensch muss ja schon dankbar sein, dass sie nicht von „verhinderten Terroranschlägen“ murmeln). Dennoch: Dass der Übergriff auf teils recht persönliche Daten von 1.2 Millionen Menschen und die genauere Durchleuchtung von rund 100000 dann nur zu nicht mal 300 Personenkontrollen führt, wirft schon erhebliche Verhältnismäßigkeitsfragen auf.
Nach einigen Auskunftsanfragen lässt sich Stand November 2019 wenig überraschend abschätzen, dass eine Teilnahme am PNR-System je unwahrscheinlicher ist, desto exotischer die Fluggesellschaft ist. Aktuell liefern sämtliche großen deutschen Fluggesellschaften (wobei nicht bekannt ist, ob die drölf Töchter der Lufthansa einzeln gezählt werden, dann wären die 11 genannten schon fast voll), vermutlich noch ein paar aus EU-Nachbarstaaten.
Der BfDI berichtet in seinem 28. TB (2019), inzwischen sei „eine sechsstellige Anzahl von Fluggastdatensätzen (PNR-Daten) zusammengekommen“ (S. 51). Das deutet angesichts der tatsächlichen Zahl von Flugbewegungen in der fraglichen Zeit darauf hin, dass auch die großen Gesellschaften wohl kaum vollständig liefern werden.
Am 14.11.2021 berichtet die Welt, im Coronajahr 2020 hätten 70 Fluggesellschaften 104.56 Millionen einschlägige Datensätze an das BKA übermittelt. Diese Zahl ergänzt im Dezember 2022 berichtet der heise-Ticker, um die Trefferquote von 0.082 Promille für „Gefährder“.
Am 22.12.2022 entscheidet das VG Wiesbaden (das erste Instanz für alles ist, was mit dem BKA zu tun hat), dass die Verarbeitung nach dem FlugDaG mit der EU-Grundrechtecharta nicht vereinbar sei. Im Prinzip dürften Polizeien PNR zwar schon verarbeiten, aber nur, wenn es „Anhaltspunkte für terroristische Bedrohungen auf bestimmten Flugrouten“ gebe. Die aber habe das BKA nicht beibringen können. Die Konsequenzen bleiben zu dem Zeitpunkt abzuwarten; es gibt noch einen langen Rechtsweg, bevor irgendein Gesetzgeber Konsequenzen ziehen muss.