Die Regierungen können es einfach nicht lassen. Bereits dreimal wurde seitens des EuGH entschieden, dass eine Vorratsdatenspeicherung nicht mit unseren Grundrechten vereinbar ist. Zuletzt 2017, als der Europäische Gerichtshof festgestellt hat, dass ein Abkommen zum Austausch von Fluggastdaten zwischen der EU und Kanada dem Recht auf Achtung des Privat- und Familienlebens und dem Schutz personenbezogener Daten widerspricht. Höchstwahrscheinlich ist auch die PNR-Richtlinie der EU als grundrechtswidrig zu betrachten.
Der Terminus PNR leitet sich von "Passenger Name Records" ab, zu deutsch Fluggastdatensatz. In diesem werden alle Daten und Vorgänge rund um eine Flugbuchung elektronisch aufgezeichnet und auch nach Ende der Flugreise noch in den Computersystemen gespeichert. Die schwarz-blaue Bundesregierung hat kürzlich im Nationalrat die PNR-Richtlinie in nationales Recht ("PNR"-Gesetz) umgesetzt und die ohnehin schon umstrittene Vorratsdatenspeicherung überschießend konstruiert.
Ziel des PNR-Gesetzes ist die Verarbeitung von Fluggastdaten zur Vorbeugung, Verhinderung und Aufklärung von terroristischen und bestimmten anderen Straftaten. Zuständig ist die Fluggastdatenzentralstelle (Passenger Information Unit), die beim Innenministerium eingerichtet ist. Die Verpflichtung zur Übermittlung von Fluggastdaten gilt laut EU-Richtlinie an sich nur für Passagiere, die aus Nicht-EU-Ländern nach Österreich einreisen bzw. von Österreich in einen Drittstaat fliegen. Im § 2/5 des PNR-Gesetzes wurde allerdings eine Verordnungsermächtigung für den Innenminister festgelegt. Dieser kann den Anwendungsbereich des Überwachungsgesetzes jederzeit auf Flüge innerhalb der EU erweitern. Kritisiert wird diese Übererfüllung der Richtlinie nicht nur von der Opposition, sondern auch von Grundrechtsorganisationen wie epicenter.works.
Es handelt sich dabei nicht um den einzigen Kritikpunkt in dieser heiklen Materie. Mangelnder Rechtsschutz, zu geringer Datenschutz oder eine Diskriminierungsgefahr bei sogenannten "Treffern" werden von Grundrechtsexperten als weitere Argumente gegen die Richtlinienumsetzung herangezogen.
Wie läuft das Procedere? Die PNI ist ermächtigt, die einlangenden Fluggastdaten vor der Ankunft oder dem Abflug mit Daten aus Fahndungsevidenzen bzw. anhand festgelegter Kriterien abzugleichen und das Ergebnis in einer PNR-Datenbank zu verarbeiten. Begründete Ersuchen können von Sicherheitsbehörden, Staatsanwaltschaften, Gerichten, aber auch von der EU-Polizeibehörde Europol gestellt werden. Daten in der PNR-Datenbank und in der Trefferverwaltung sind fünf Jahre nach Übermittlung durch die Luftfahrtsunternehmen zu löschen, eine Depersonalisierung des Fluggastes erfolgt nach sechs Monaten, die allerdings wieder aufgehoben werden kann.
Die Kontrolle der Rechtmäßigkeit obliegt einem weisungsfreien Datenschutzbeauftragten. Dieser ist von der Aufhebung einer Depersonalisierung und von jeder Übermittlung an Drittstaaten zu informieren. Eine nationale Kontrollstelle, wie sie die PNR-Richtlinie fordert, wurde in Österreich nicht eingerichtet.
Was man in Österreich unter "Fluggastdaten" versteht, schlüsselt der § 3 des PNR-Gesetzes ausführlich auf. Dazu gehören nicht nur Buchungsdatum, Abflugdatum, Vor- und Familiennamen, Anschrift, Telefonnummer oder E-Mail-Adresse, sondern auch alle Arten von Zahlungsinformationen, Reiseverlauf, Reisestatus, Sitzplatzinformationen, vollständige Gepäckangaben und die Namensangaben von Mitreisenden.
Private Daten und Informationen, die gebündelt beim Innenministerium zusammenlaufen und deren Verarbeitung einer mangelhaften Kontrolle unterliegt. Österreich bewegt sich zusehends in Richtung exzessiver Überwachungsstaat. Mit einer zusätzlichen Ermächtigung an den Innenminister, diesen durch eine einfache Verordnung zu erweitern. Es kommt einem im Hochsommer das Frösteln.