Im Bundeskriminalamt hat eine Zentralstelle zur Sammlung und Überprüfung von Fluggast-Daten ihre Tätigkeit aufgenommen. Ziel der Einheit: Abwehr schwerer Kriminalität.
Wien. Ihr amtsdeutscher Name liest sich eher spröde. Sie heißt österreichische Fluggastdatenzentralstelle. Griffiger wird das Ganze mit dem englischen Titel: Passenger Information Unit. Am besten aber ist die Abkürzung: PIU. Das kann man sich merken. Und dieses Kürzel hat sich bereits in Kriminalistenkreisen durchgesetzt. Das Bundeskriminalamt scheint sein neues Baby zu mögen. Beamte haben am Freitag, bei einem Pressetermin zur Vorstellung der neuen Einheit, sogar eine selbst gebackene Torte offeriert. Deren himmelblaue Zuckerglasur war mit einem weißen Marzipanflugzeug und dem schwarzen Kürzel PIU garniert. Was ist nun der Sinn einer weitreichenden Sammlung von Daten, die bei Flugreisen entstehen?
1. Auf welcher Basis werden Daten von Flugpassagieren gespeichert?
Im April 2016 hat die EU per Richtlinie festgelegt, dass alle Mitgliedstaaten Fluggast-Daten speichern müssen. International spricht man von PNR-Daten (Passenger Name Record). In der Folge wurden nationale Datenzentralen aufgebaut. Für Österreich gilt das PNR-Gesetz, welches seit 17. August 2018 in Kraft ist. Die neue Einheit beschäftigt 21 Mitarbeiter. Sie hat ihren Sitz in Wien-Landstraße, Dampfschiffstraße 4. Im selben Gebäude hat auch die Korruptionsstaatsanwaltschaft ihren Sitz.
2. Wozu das Ganze – warum werden überhaupt Daten gesammelt?
Mit den Daten bzw. der Auswertung, Vernetzung und Analyse dieser Daten soll Kriminalität bekämpft werden. Stoßrichtung ist die Abwehr von Terrorismus und die Bekämpfung schwerer Kriminalität. Unter „schwer“ fallen Delikte, die mit mindestens bis zu drei Jahren Haft bedroht sind. PIU-Büroleiter Siegfried Grill hat dafür diese eingängige Formel parat: „Wir suchen nicht den Hendldieb, sondern die schweren Jungs.“
3. Welche Daten werden überhaupt erfasst, welche nicht?
Abgespeichert werden Daten, die von Fluggesellschaften (und davor gegebenenfalls von Reisebüros) erfasst werden. Es wird mehr gesammelt, als man meinen könnte: Name, Adresse, Kontaktangaben (Beispiel: Mailadresse), alle Arten von Zahlungsinformationen, Reisebüro, Datum der Buchung, Datum des Abflugs, Reiseverlauf, Sitzplatznummer, Gepäckangaben, Zahl und Namen von Mitreisenden und einiges mehr. Daten, aus denen sich Rückschlüsse auf politische Gesinnung oder zum Beispiel auf den Gesundheitszustand von Personen ergeben, sollen nicht gesammelt werden. Beispiele für solche Daten: Wenn etwa eine politische Partei eine Reise ihrer Mitglieder organisiert oder jemand nur bestimmtes Essen an Bord einnimmt.
4. Von welchen Größenordnungen ist denn die Rede?
In Österreich gibt es 27 Millionen Flugpassagiere pro Jahr. In Wien-Schwechat werden täglich 750 Flüge gezählt. 75.000 Passagiere werden pro Tag befördert. Noch liefert „nur“ die AUA Daten, diese Fluglinie deckt aber die Hälfte der Flüge ab. Nach und nach müssen sämtliche Linien, die in Österreich aktiv sind (derzeit 86), Daten liefern. Die PIU rechnet im Endausbau mit 1500 „vermeintlichen Treffern“ pro Tag. Darunter versteht man Personen, bei denen laut polizeilichen Erkenntnissen/Datenbanken der Verdacht besteht, sie könnten in Kriminalität verwickelt sein. Letztlich werden schätzungsweise drei Prozent „valide Treffer“ übrig bleiben. In einem Prozent der Fälle könnte es zu konkreten Maßnahmen, etwa Festnahmen oder Observationen, kommen.
5. Für welche Flüge werden PNR-Daten übermittelt?
Laut EU-Richtlinie gilt die Datensammlung für Flüge zwischen der EU und außereuropäischen Staaten. Es haben sich aber alle EU-Länder bereit erklärt, auch Daten von Flügen bzw. Passagieren innerhalb der EU zu sammeln.
6. Was passiert dann eigentlich mit den Daten?
Diese stehen der Polizei für sechs Monate zur Verfügung. So wurde etwa der Diebstahl eines Renoir – Tatort: Dorotheum – aufgrund von Flugdatenauswertungen geklärt. Auf begründete Anfrage eines EU-Staats werden die Daten vom Bundeskriminalamt weitergegeben. Nach sechs Monaten werden die Daten unkenntlich gemacht (Depersonalisierung). Dann lassen sie sich nur noch auf richterlichen Beschluss entschlüsseln. Nach fünf Jahren werden sie gelöscht.
7. Wer überwacht die Einhaltung des Datenschutzes?
Der Datenschutzbeauftragte im Innenministerium. Er ist weisungsfrei.
("Die Presse", Print-Ausgabe, 09.03.2019)