"Passenger Name Records sind das Guantanamo für Reisen"

22.10.2011

Am 22.10.2011 fand im Rahmen der Aktionswoche gegen Passenger Name Records ein Workshop im Büro des Europaparlamentsabgeordneten Martin Ehrenhauser statt. Es berichteten Edward Hasbrouck, PNR-Experte und Reisejournalist, Alexander Sander von der NoPNR-Initiative und Andreas Krisch von VIBE!AT.

Edward Hasbrouck begann vor etwa 20 Jahren als Techniker bei Reisebüros, später begann er als Reisejournalist zu arbeiten und gab unter anderem Ratschläge darüber, wie man seine Privatsphäre auf Reisen schützt. Nach den Terroranschlägen auf das World Trade Center vom 11. September 2001, als das Departement of Homeland Security (DHS) anfing auf PNRs zuzugreifen und die no-fly-lists zu implementieren, begann er als Berater für Bürgerrechtsorganisationen zu arbeiten. Als entscheidenden Faktor für die fehlende politische Aktivität auf dem Feld der Passenger Name Records nannte er den Mangel an Information. Er hat vor 4 Jahren damit angefangen, beim DHS die Herausgabe der über ihn gespeicherten Daten einzuklagen. Vor ca. einem Jahr bekam er einen unvollständigen Datensatz. Gleichzeitig wurden PNRs aus dem "Privacy Act", der die Informationspflicht über gespeicherte und bearbeitete Daten beinhaltet, ausgenommen. Jedoch wird aus dem von ihm erhaltenen Datensatz klar, in welchem Umfang die Daten gespeichert werden. Passenger Name Records werden zumindest in einem von weltweit vier zentralen Reservierungssystemen verarbeitet werden. In diesen Datensätzen werden sämtliche Flug-, Hotel- und teilweise Zug- sowie Mietwagenbuchungen gespeichert. Darin sind alle persönlichen Informationen, Zahlungsinformationen und Buchungsinformationen gespeichert. Es gibt keine Maximalspeicherdauer, das heißt die Daten werden so lange gespeichert wie technisch möglich. Aus diesen Daten lassen sich Gewohnheiten von Reisenden ermitteln, aber auch "wer mit wem schläft und warum". Es gibt keinerlei Möglichkeit nachzuvollziehen, wer, warum auf die Daten zugreift. Das Erschreckende: Fast jede Airline und jedes Reisebüro verwendet eines der vier Buchungssysteme und somit landen alle Reisen die über Reisebüros oder Airlines gebucht werden in den Datenbanken. Meistens landen die Daten in mehreren Datenbanken, da Reisebüros und Airlines verschiedene Anbieter verwenden. Handelt es sich um Codeshare Flüge, so erhält der Codeshare-Partner auch eine Kopie des PNRs. Das Ergebnis: Ein großer Cloud Storage von sensiblen, personenbezogenen Daten. Das DHS hat vollen Zugriff auf diese Daten, auch auf die Daten von Flügen die nicht in den oder in die USA gehen.

Für Bürger gibt es keine Möglichkeit sich über die Daten zu informieren oder gegen ihre Verwendung zu wehren. Hasbrouck bezeichnet PNRs deshalb als "das Guantanamo für Reisen".

Die Europäische Union bemüht sich im Moment Abkommen mit den USA und Australien über die Weitergabe von PNRs zu schließen. Hier geht es nicht um bindende Verträge. Auch wird dabei nicht erst begonnen die Datensätze auszutauschen: Der USA geht es bei diesen Verträgen darum, ihre eigene Industrie vor Klagen zu schützen. Alexander Sander berichtet vom Status der Abkommen zwischen den EU und Australien bzw. der USA für die im Moment keine Mehrheit im EU-Parlament besteht. Die Europäische Kommission arbeitet auch an einer europäischen Richtlinie zum Zugriff auf PNRs. Wozu die Daten verwendet werden sollen wird darin nicht definiert, es sollen die Daten einmal analysiert werden, damit klar wird wofür sie brauchbar sind. Die Europäische Kommission sagt zwar offiziell dass kein Datamining mit den Daten betrieben werden soll, schreibt aber in der Richtlinie, dass sie "bisher unbekannte Verdächtige" mit den Daten finden wollen. Argumentiert wird die Notwendigkeit der Daten mit Menschen- und Drogenhandel. Dass die Daten dafür unbrauchbar sein werden liegt auf der Hand. Sowie Menschen als auch Drogenhandel findet vor allem mit privaten Lastwagen bzw. Flugzeugen statt - es fallen keine PNRs an. Jedoch hat diese Richtlinie im Moment keine Mehrheit im Europaparlament.

Andreas Krisch beleuchtete die Datenschutzperspektive der Buchungspraktiken. Er hat selbst Anfang dieses Jahres versucht an die über Ihn gespeicherten Daten zu kommen, bekam aber erst nach Reklamation einen Bruchteil der Daten zu sehen. Als Datenverarbeitungsverbund sind die zentralen Reservierungssysteme genehmigungspflichtig - besonders auch, weil hier Daten in die USA transferiert werden. Es ist jedoch nicht bekannt, ob Reisebüros eine solche Genehmigung besitzen. Fest steht, dass weder Reisebüros noch Fluglinien ihre Kunden darüber Informieren, dass bei jeder Buchung ein ausführlicher Datensatz in Datenbanken in den USA erstellt wird und auch gegen geltendes Datenschutzrecht nicht gelöscht wird, wenn er nicht mehr zur Verrechnung gebraucht wird. Es ist somit klar, dass die derzeitige Praxis schwer gegen europäisches Datenschutzrecht verstößt.

Die Aktionswoche wird von Seiten der Organisatoren als Erfolg gewertet. In den nächsten Wochen soll eine Informationsseite entstehen, auf der Vorlagen für Auskunftsbegehren nach Datenschutzgesetz zu PNRs stehen. VIBE!AT wird hierfür die Vorlagen für Österreich erarbeiten.