NGOs wollen Sammlung von Flugpassagier-Daten kippen

Bürgerrechts-Organisationen in Österreich und Deutschland halten die sogenannte PNR-Richtlinie der EU für grundrechtswidrig und bereiten Beschwerden bei den Höchstgerichten vor.

Von Christoph „Burstup“ Weiss

Gemäß der EU-PNR-Richtlinie aus dem Jahr 2016 muss jeder Mensch, der in die oder aus der EU fliegt, in einer Datenbank erfasst werden. In Österreich werden seit der Umsetzung der Richtlinie im Vorjahr sogar zusätzlich Daten über die Flüge innerhalb der EU erfasst.

PNR steht für Passenger Name Records, in Wirklichkeit wird aber viel mehr gespeichert. Unter den Daten, die weitergeleitet werden müssen, befinden sich neben dem Namen, der Reisezeit und der geflogenen Strecke etwa auch der Sitzplatzwunsch, Daten über das Gepäck, Kreditkartendaten und bei Buchung übers Internet auch die verwendete IP-Adresse. Außerdem ist ein Feld namens „Allgemeine Hinweise“ vorgesehen, das so breit formuliert ist, dass es praktisch keine Begrenzungen oder Einschränkungen gibt, welche Daten erfasst werden dürfen. Neben den Daten zum Flug können auch Details zum Aufenthalt im Gastland, die Adresse der Unterkunft, das Ausleihen eines Mietwagens und vieles mehr festgehalten werden.

Vorrats-Rasterfahndung

In der Zentrale, an die alle Daten weitergeleitet werden, analysieren Algorithmen die Daten bezüglich eventueller „Auffälligkeiten“. Die automatisch erstellten Treffer werden an die Behörden gemeldet. Die Juristin und Kriminologin Angelika Adensamer von Epicenter.Works kritisiert diese Kombination aus algorithmischer Suche nach Verdachtsmomenten und dem darauffolgenden Abgleich von Daten bei Behörden: „Im wesentlichen entspricht das einer Vorrats-Rasterfahndung.“

Verdachts-Generierungsmaschine

Der Jurist Tschohl hat vor einigen Jahren mit der NGO Epicenter.Works (damals unter dem Namen AK Vorrat) die Vorratsdatenspeicherung erfolgreich bekämpft – sie wurde durch den Europäischen Gerichtshof als grundrechtswidrig gekippt. Die Flugpassagier-Datenspeicherung geht für Tschohl aber noch weit über die Vorratsdatenspeicherung hinaus: „Der EuGH hat uns damals Recht gegeben in einem Sachverhalt, bei dem es nur darum ging, dass Telekommunikations-Anbieter alle Verbindungsdaten sammeln und bis zu zwei Jahre lang aufbewahren müssen. Hier aber haben wir aber eine neue Qualität: Neben den Elementen der reinen Vorratsdatenspeicherung kommt laut der Richtlinie die algorithmische Auswertung und Mustererkennung dazu, mittels derer von vornherein Verdachtsmomente gesucht werden, die man vorher gar nicht hatte. Wir haben also eine Verdachts-Generierungsmaschine vor uns.“

Es sei in Österreich eine Neuheit, dass aufgrund der PNR-Richtlinie und ihrer Umsetzung erstmals kriminalpolizeiliche Ermittlungen durchgeführt werden, bevor ein Anfangsverdacht auf eine begangene oder geplante Straftat existiert.

False Positives

Laut Richtlinie müssen alle Treffer, die algorithmisch entstehen, durch eine Person individuell überprüft werden. Es wird also eine Ermittlungshandlung gesetzt, die ausdrücklich auch Personen betrifft, gegen die kein begründeter Verdacht vorliegt. In Deutschland hat sich laut einer Anfrage beim Bundesinnenministerium gezeigt, dass von 94098 automatisch generierten Verdachtsfällen nur 277 korrekt waren.

Die deutsche NGO Gesellschaft für Freiheitsrechte (GFF) stellt gemeinsam mit Epicenter.Works Schriftsätze zur Verfügung, um Beschwerden und Verfahren gegen die PNR-Richtlinie zu beginnen. Der erste Schritt kann dabei zum Beispiel sein, ein Auskunftsbegehren über PNR-Daten zu stellen. Danach kann man sich der Beschwerde einer der NGOs anschließen.

Eine der ersten Beschwerdeführerinnen ist Elisabeth Klatzer. Sie ist selbständige Ökonomin und reist sehr viel. Sie befürchtet, dass ihr Reiseverhalten leicht zu einem algorithmisch erstellten Verdachtsfall werden könnte: „Ich bin verdächtig oft unterwegs, auch in muslimischen Ländern. Ich breche geplante Reisen oft ohne ersichtlichen Grund kurzfristig ab. Ich verwende bei meinen Fluganmeldungen verschiedene E-Mail-Adressen.“

Außerdem kaufe sie oft Süßigkeiten, die sie dann gegenüber Mitreisenden schon scherzhaft als „Zuckerbomben im Gepäck“ bezeichnet habe. Sie sei auch bereits unter falschem Namen geflogen, weil das Reisebüro ihn falsch geschrieben hatte und keine Zeit mehr für eine Änderung war. „Der Algorithmus“, sagt Klatzer, „wird eine Freude mit mir haben.“

Die NGOs epicenter.works und GFF hoffen auf viele Beschwerden und Verfahren seitens der Zivilgesellschaft. Denn sie wollen – wie schon zuvor bei der Vorratsdatenspeicherung – erreichen, dass Höchstgerichte sowohl die komplette EU-Richtlinie, als auch deren Umsetzungen in Österreich und Deutschland aufheben.