API-Verordnung: EU weitet Überwachung von Flügen aus – mit Abstrichen

Schon seit Jahren müssen Fluggesellschaften umfangreiche Daten ihrer Reisegäste sammeln und an Behörden übermitteln. Nun sollen sich weitere Datenkategorien dazugesellen, um das System effizienter zu machen. Die EU versucht sich dennoch dabei, höchstrichterlichen Vorgaben zu genügen.

Europäische Flugreisende werden künftig ein Stück weit gläserner als sie es ohnehin schon sind. Bereits heute müssen Fluggesellschaften Daten wie Essenwünsche, Kreditkartennummer, Mitreisende, Wohnort oder E-Mailadresse an Ermittlungs- oder Grenzbehörden übermitteln. Künftig kommen neue verbindliche Datenkategorien hinzu, etwa maschinenlesbare Informationen aus gescannten Reisepässen.

Darauf haben sich letzte Woche die Verhandler:innen aus dem EU-Parlament, den EU-Ländern im Rat und der EU-Kommission geeinigt. Der endgültige Beschluss gilt als Formsache und dürfte in einer der kommenden Plenarsitzungen erfolgen.

Seit spätestens 2018 erheben und übermitteln Fluggesellschaften umfangreiche Datensätze ihrer Bordgäste an staatliche Behörden. Das soll Terrorismus und Organisierte Kriminalität einhegen. Dabei geht es hauptsächlich um sogenannte PNR-Daten (Passenger Name Records), die bei der Buchung einer Reise anfallen. Diese enthalten bis zu 60 Datenpunkte, vom Namen der Reisenden über das Abflugdatum bis hin zur Sachbearbeiter:in im Reisebüro. Diese Informationen gelten jedoch als „unverifiziert“, da sie von den Fluggästen selbst bereitgestellt und nicht notwendigerweise weiter überprüft werden.

Wesentlich stichhaltiger sind der EU-Kommission zufolge sogenannte API-Daten (Advanced Passenger Information). Diese „erweiterten Fluggastdaten“ gehen über den normalen Geschäftsverlauf hinaus und enthalten viel detailliertere Informationen, unter anderem jene aus offiziellen Identitätsdokumenten. Sie werden deshalb als „verifiziert“ betrachtet und sollen ein „Schlüsselinstrument für das Grenzmanagement“ sowie ein „wichtiges Instrument für Strafverfolgungszwecke“ sein. Fluggesellschaften erheben diese Daten bereits, allerdings in unterschiedlicher Tiefe und auch nicht in einem standardisierten Format. An Behörden müssen sie vorab nur „etwaige erhobene“ API-Daten weiterleiten, weitere Vorschriften fehlten bislang.

Zentralisierter Ansatz

Das soll sich nun ändern. Gleich zwei Verordnungen, die im Unterschied zu Richtlinien unmittelbar gelten, sollen diesen Bereich neu regeln und schreiben unter anderem Auflagen für die Erhebung, Übermittlung und Weiterverwendung von API-Daten fest. Die Daten sollen an einer zentralen Stelle, einem von der EU-Agentur eu-LISA betriebenen Router, auflaufen und von dort aus an die zuständigen Behörden in jeweiligen EU-Ländern übermittelt werden.

Dies habe der belgischen Innenministerin Annelies Verlinden nach „zwei wichtige Vorteile: ein effizienteres Grenzmanagement an Flughäfen und eine bessere Information der Strafverfolgungsbehörden über Personen, die per Flugzeug in die EU einreisen oder innerhalb der EU Flugreisen unternehmen.“

Dass die knappe und aus dem Jahr 2004 stammenden API-Richtlinie von den Mitgliedstaaten unterschiedlich umgesetzt werde und schon allein deshalb „überholt“ sei, hatte zuletzt eine vom Innenausschuss des EU-Parlaments in Auftrag gegebene Studie festgestellt. Allerdings weist das Papier auf die zahlreichen Berührungspunkte mit der eng verwandten PNR-Richtlinie aus dem Jahr 2016 hin – und auf ein einschlägiges Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2022, dem auch die geplanten Verordnungen genügen müssten.

Zwar hat der EuGH die PNR-Richtlinie nicht vollständig gekippt, die massenhafte Datensammlung jedoch auf das „absolut Notwendige“ beschränkt. Unter anderem war dem Gerichtshof die fünfjährige Speicherfrist zu lang, die übermittelten PNR-Daten in der Praxis zu unbestimmt und generell eine anlasslose Massenüberwachung des gesamten Flugverkehrs in der EU nicht mit EU-Recht vereinbar. Letzteres sei etwa nur dann zulässig, wenn eine „reale und aktuelle oder vorhersehbare“ terroristische Bedrohung bestehe. Als Reaktion darauf hatte etwa das Bundeskriminalamt seine Datensammlung eingeschränkt, auch wenn es weiterhin von Fluggastdaten überflutet wird.

Bittere Pille trotz Verhandlungserfolg

Nun gibt sich das EU-Parlament optimistisch, bei den Verhandlungen zur API-Verordnung entscheidende Erfolge verbucht zu haben. Grundsätzlich sollen die Regeln nur für Flüge in und aus Nicht-EU-Staaten gelten, während bestimmte innereuropäische Flüge nur bei einer objektiv bestehenden Terrorismusgefahr gezielt überwacht werden dürfen. Biometrische Daten, die womöglich beim Scannen eines Ausweises anfallen, dürfen nicht erfasst werden, und manche Speicherfristen wurden auf 48 Stunden verkürzt. Ferner dürfen keine Profile von Menschen erstellt werden, die auf API-Daten aufbauen, und Diskriminierung aufgrund sensibler Datenkategorien wie Geschlecht oder Religion sind verboten.

Zufrieden sind aber nicht alle, etwa der Piratenabgeordnete Patrick Breyer. Als einer von wenigen Abgeordneten im federführenden Innenausschuss hatte Breyer im Dezember gegen die Parlamentsposition gestimmt und sieht nun auch das Verhandlungsergebnis kritisch. „Die Neuregelung bedeutet effektiv, dass anonymes Fliegen selbst innerhalb der EU und des Schengenraums unmöglich wird, weil immer ein Ausweis ausgelesen werden muss“, so der Abgeordnete.

Breyer verweist auf die „Bedrohungsanalyse“ der EU-Mitgliedstaaten. Diese nicht öffentliche Bewertung der Lage würde laut Breyer die Grundlage dafür schaffen, bestimmte EU-interne Flugverbindungen verdachtslos zu überwachen. Es gebe jedoch keinen Nachweis für einen nennenswerten Nutzen, und „deswegen gleich den kompletten Flugverkehr zu erfassen geht gar nicht“, sagt Breyer. Zwar entspreche die Regelung den EuGH-Vorgaben, so der Pirat. „Ich halte es aber politisch für unvertretbar, die Grundrechte maximal einzuschränken.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.