Die Beauftragte für den Datenschutz und die Informationsfreiheit

Übermittlung von Passagierdaten in die USA: Der gläserne Passagier

Die Übermittlung europäischer Fluggastdaten in die USA wird seit 2012 auf Basis eines neuen Abkommens fortgesetzt. Bei diesen Passagierdaten handelt es sich um Angaben, die Flugreisende üblicherweise im Zusammenhang mit der Buchung ihrer Reise der Fluggesellschaft oder dem Reisebüro anvertrauen, wie etwa das Datum der Reise, Essenswünsche oder die Art der Bezahlung. Diese Angaben werden dann von den Fluggesellschaften als PNR-(Passenger Name Record) Daten in deren Reservierungssystemen gespeichert. Immer mehr Staaten orientieren sich an dem Vorbild des sogenannten PNR-Abkommens mit den USA, zuletzt Kanada und Australien.

Ob und wie von den Fluggesellschaften für geschäftliche Zwecke erhobene Passagierdaten (sog. Passenger Name Records, PNR) ohne Vorliegen von Verdachtsmomenten für Zwecke der Gefahrenabwehr und Strafverfolgung genutzt werden dürfen, gehört nunmehr schon zu den Klassikern der datenschutzrechtlichen Auseinandersetzungen. Dies gilt national, europäisch und vor allem transkontinental im Verhältnis zu den USA.

In den USA verlangen verschiedene Sicherheitsbehörden vor jedem Flug in die USA zu verschiedenen Zwecken und zu verschiedenen Zeitpunkten verschiedene Daten von unterschiedlichen Akteuren. Selbst Spezialisten fällt es mittlerweile schwer, den vollständigen Überblick über die Vielzahl von Übermittlungsverpflichtungen zu behalten. Die vermutlich sensibelste ist der vollständige sog. PNR Datensatz, zu dem auch Angaben zu Kreditkarten und Telefonnummern, E Mail Adressen oder speziellen Essenswünschen gehören.

Seit dem Sommer 2012 finden die Übermittlungen von PNR Daten, zu denen die Fluggesellschaften vor Flügen in die USA verpflichtet sind, auf der Grundlage eines neuen Abkommens statt. Vergleichbare Abkommen bestehen auch mit Kanada und Australien.

Zentrale Kritikpunkte an den Abkommen betreffen die Dauer der Speicherung sämtlicher Daten im Drittstaat, im Falle der USA für 15 Jahre, die Übermittlungsmethode, die Zweckverwendung der übermittelten Daten und die Möglichkeiten des Rechtsschutzes für europäische Bürger im Drittstaat.

Die Abkommen verpflichten in regelmäßigen Abständen jeweils zu einer sogenannten „Gemeinsamen Überprüfung“. Diese erfolgt durch Vertreter der Behörde aus dem Drittstaat und für die Europäische Union durch Vertreter der Europäischen Kommission, die regelmäßig einen Datenschutzexperten aus einer europäischen Datenschutzbehörde hinzuzieht.


Folgende Passagierdatensätze werden regelmäßig nach dem neuen Abkommen an die Behörden des Drittstaates übermittelt, sofern sie diese in den Reservierungssystemen der Fluggesellschaften gespeichert sind:

1. PNR (Passenger Name Record)-Buchungscode (Record Locator)

2. Daten der Reservierung/ der Ausstellung des Flugscheins

3. Geplante Abflugdaten

4. Name(n)

5. Verfügbare Vielflieger- und Bonusdaten (das heißt Gratisflugscheine, Upgrades, usw.)

6. Andere Namen im PNR einschließlich Zahl der Reisenden im PNR

7. Alle verfügbaren Kontaktinformationen (einschließlich Angaben zum Buchenden)

8. Alle verfügbaren Zahlungs-/ Abrechnungsinformationen (ohne weitere Transaktionsdetails für eine Kreditkarte oder ein Konto, die nicht mit der die Reise betreffenden Transaktionen verknüpft sind)

9. Reiseverlauf für den jeweiligen PNR

10. Reisebüro/ Sachbearbeiter

11. Code-Sharing-Informationen

12. Informationen über die Aufspaltung/ Teilung einer Buchung

13. Reisestatus des Passagiers (einschließlich Bestätigungen und Eincheckstatus)

14. Informationen über Flugscheinausstellung (Ticketing) einschließlich Flugscheinnummer, Angabe, ob Flugscheine für einfachen Flug (One-Way) sowie Automatic Ticket Fare Quote (automatische Tarifabfrage)

15. Sämtliche Informationen zum Gepäck

16. Sitzplatzinformationen einschließlich der Sitzplatznummer

17. Allgemeine Bemerkungen einschließlich OSI, SSI und SSR

18. Etwaig erfasste APIS-Daten

19. Historie aller Änderungen der unter den Nummern 1 bis 18 aufgeführten PNR