Wenig beachtet trat Mitte August das "Bundesgesetz über die Verarbeitung von Fluggastdaten zur Vorbeugung, Verhinderung und Aufklärung von terroristischen und bestimmten anderen Straftaten" (PNR-Gesetz) in Kraft; es setzt die PNR-Richtlinie von 2016 in Österreich um.

Damit sind sämtliche Luftfahrtunternehmen bis auf weiteres verpflichtet, die sogenannten PNR-Daten (Passenger Name Record) aller Fluggäste, die aus einem Nicht-EU-Staat nach Österreich oder von Österreich in einen Drittstaat befördert werden, an die nationale Fluggastdatenzentralstelle (PIU) beim Innenministerium zu übermitteln.

Die Richtlinie sieht diese Verpflichtung nur für Flüge aus oder in Drittstaaten vor, die Ausweitung auf innergemeinschaftliche Flüge ist für die Mitgliedstaaten optional. Von dieser Option hat das Innenministerium Gebrauch gemacht und in der PNR-Verordnung die Meldepflicht auch auf innereuropäische Flüge erstreckt – vorerst befristet auf sechs Monate.

Der PNR enthält Informationen über jeden Fluggast beziehungsweise zu dessen Buchung – von Name, Adresse und Identifikationsdokumenten über genaue Reisedaten bis hin zu Angaben über Mitreisende. Die betroffenen Daten sind 24 bis 48 Stunden vor der planmäßigen Abflugzeit beziehungsweise unverzüglich nach Abschluss der passagierbezogenen Formalitäten an die Fluggastdatenzentralstelle zu übermitteln.

Diese werden dann mit Fahndungsevidenzen und polizeilichen Datenbanken abgeglichen und anschließend für vorerst sechs Monate gespeichert. Über begründetes Ersuchen sind die Daten an diverse nationale Sicherheitsbehörden beziehungsweise Europol weiterzuleiten.

EuGH schob Riegel vor

Damit wurde für sämtliche Fluggäste, die aus oder nach Österreich reisen, ohne großes Aufsehen die Vorratsdatenspeicherung eingeführt. Dies ist insofern bemerkenswert, als alle bisherigen Versuche in diese Richtung in der EU beziehungsweise in Österreich gescheitert sind. So wurde die Richtlinie über die Vorratsspeicherung von Telekomdaten im April 2014 vom Europäischen Gerichtshof (EuGH) aufgehoben. Da damit auch die Rechtsgrundlage für die österreichischen Regelungen zur Vorratsdatenspeicherung wegfiel, hob der Verfassungsgerichtshof im Juni 2014 die entsprechenden Bestimmungen ersatzlos auf.

Ende 2016 sprach der EuGH erneut klar aus, dass eine allgemeine Verpflichtung von Telekomanbietern zur Vorratsspeicherung unzulässig ist. Zuletzt schob der EuGH 2017 im Zuge des EU-Kanada-Abkommens zum Austausch von Passagierdaten der anlasslosen Dauerspeicherung solcher Daten einen Riegel vor und hielt fest, dass diese mit der EU-Grundrechtscharta unvereinbar sei.

Sieht man sich die damalige Argumentation des EuGH im Detail an, müssen dieselben Einwände auch für die PNR-Richtlinie gelten. Bei der Aufhebung der Vorratsdatenspeicherung argumentierte der EuGH damit, dass durch diese "sehr genaue Schlüsse auf das Privatleben" der betroffenen Personen möglich seien.

Derartige Grundrechtseingriffe sind zwar bei konkreter Bedrohung der öffentlichen Sicherheit beziehungsweise zur Bekämpfung schwerer Straftaten möglich, müssen jedoch auf das absolut Notwendige beschränkt werden. Die pauschale und anlasslose Speicherung von Daten ging den EU-Richtern damals in allen drei Fällen zu weit.

Diese Gefahr besteht aber durchaus auch bei PNR-Daten, da neben den Reisebewegungen von Fluggästen auch zahlreiche Zusatzdaten erfasst werden, die weitergehende Rückschlüsse auf die Betroffenen ermöglichen. Von den jeweiligen Reisegewohnheiten, Vielflieger-Angaben, Sitzplatznummern, Zahlungsdaten, Gepäckangaben und Daten über etwaige Mitreisende abgesehen, gibt es etwa auch Informationen zu den Essgewohnheiten der Passagiere. Zwar umfasst der PNR nur Daten, die der Fluggast selbst bei der Buchung angibt; dass diese aber auch für Zwecke der Terrorbekämpfung und Verbrechensverhütung verwendet werden könnten, wird den Wenigsten bewusst sein.

Jedenfalls lassen sich damit schnell private und berufliche Bewegungsprofile erstellen und nähere Details zum Fluggast gewinnen – ein Einschnitt in die Privatsphäre, der zweifellos mit bisherigen Fällen vor dem EuGH vergleichbar ist. Es bleibt abzuwarten, welcher Mitgliedstaat als Erster die Richtlinie vor dem EuGH anficht.

Hohe Verwaltungsstrafen

Fluglinien sind dennoch gut beraten, den Vorgaben des PNR-Gesetzes vorerst Folge zu leisten. Eine verspätete oder unvollständige Übermittlung der Daten ist mit Verwaltungsstrafen zwischen 5.000 und 15.000 Euro, im Wiederholungsfall bis zu 30.000 Euro sanktioniert – pro Übertretung. Eine Entschädigung für die Airlines für den hohen Zusatzaufwand ist vom Gesetz ausgeschlossen: Dieses sieht die "kostenlose" Übermittlung an die Behörde vor. (Martin Klemm, 5.9.2018)