Auch Österreich sammelt und verarbeitet künftig Fluggastdaten

Wien (PK) – Auch Österreich wird künftig systematisch Daten von Flugpassagieren sammeln und verarbeiten. Eine beim Bundeskriminalamt neu einzurichtende Fluggastdatenzentrale (PIU) soll die von den Fluglinien zu liefernden Daten auswerten und u.a. Staatsanwaltschaften, Gerichten, Nachrichtendiensten und Zollbehörden zur Terrorprävention und zur Verhinderung und Aufklärung anderer schwerer Strafdaten zur Verfügung stellen. Der Innenausschuss des Nationalrats hat heute mit ÖVP-FPÖ-Mehrheit ein entsprechendes Gesetz beschlossen. Österreich setzt damit eine im Jahr 2016 beschlossene EU-Richtlinie um. Kritisch werden die neuen Bestimmungen von der Opposition beurteilt, sie bemängelt insbesondere, dass Innenminister Herbert Kickl die Pflicht zur Datenübermittlung, die grundsätzlich nur für Flüge aus Drittstaaten gilt, per Verordnung auf innereuropäische Flüge ausdehnen kann.

Geregelt sind die neuen Bestimmungen in einem eigenen, sogenannten PNR-Gesetz (186 d.B.), dessen Name sich vom Englischen "Passenger Name Record" ableitet und das unmittelbar nach seiner Kundmachung in Kraft treten soll. Eigentlich hätte Österreich die einschlägige EU-Richtlinie bis zum 25. Mai 2018 in nationales Recht umsetzen müssen.

Zuständig für die Verarbeitung der von den Fluglinien zu übermittelnden Daten und ihre Abgleichung mit Fahndungsevidenzen und anderen sicherheitspolizeilichen Datenbanken ist die im Innenministerium angesiedelte nationale Fluggastdatenzentrale (PIU). Sie kann die Daten nicht nur an bestimmte österreichische Behörden und Gerichte, sondern auch an Europol und die Fluggastdatenstellen der anderen EU-Länder weitergeben. Verwendet werden dürfen die gesammelten Daten ausdrücklich nur für Zwecke der Vorbeugung, Verhinderung und Aufklärung terroristischer und anderer schwerer Straftaten, wobei grundsätzliche Voraussetzung ist, das die Höchststrafe für das jeweilige Delikt mehr als drei Jahre beträgt.

Laut Anhang zum Gesetz fallen damit unter anderem auch Menschenhandel, sexuelle Ausbeutung von Kindern, Waffen- und Drogenhandel, Korruption, Cyberkriminalität, Schlepperei, Organhandel, Umweltkriminalität, Produktpiraterie, Vergewaltigung, Kriegsverbrechen, Entführungen, organisierte Kfz-Diebstähle und Wirtschaftsspionage in den Anwendungsbereich.

Erfasst werden nicht nur Name, Geburtsdatum, Adresse und Kontaktangaben der Flugpassagiere, sondern auch andere Informationen, über die die Fluglinien verfügen, wie Reiseverlauf, Zahlungsinformationen, Gepäcksangaben, Namen von Mitreisenden und etwaige weitere erhobene Daten wie Passnummer und Staatsangehörigkeit. Die entsprechenden Daten sind von den Fluglinien zunächst 24 bis 48 Stunden vor Abflug und dann noch einmal nach dem Boarding zu übermitteln.

Zur Sicherstellung des Datenschutzes sieht das Gesetz unter anderem Depersonalisierungs- und Löschungsverpflichtungen sowie Auskunftsrechte vor. Außerdem unterliegt die Datenverarbeitung der Kontrolle durch einen weisungsfreien Datenschutzbeauftragten des Innenministeriums. Fluglinien, die sich weigern, Daten zu liefern bzw. diese unvollständig oder verspätet übermitteln, droht eine Geldstrafe zwischen 5.000 € und 15.000 €. Im Wiederholungsfall werden bis zu 30.000 € fällig.

Grundsätzlich gilt die Verpflichtung zur Übermittlung von Fluggastdaten nur für Passagiere, die aus Nicht-EU-Ländern nach Österreich einreisen bzw. die von Österreich in einen Drittstaat gebracht werden. Allerdings enthält das Gesetz eine Verordnungsermächtigung für den Innenminister, den Anwendungsbereich auch auf Flüge innerhalb der EU zu erstrecken.

Opposition kritisiert Verordnungsermächtigung und vermisst Kontrollstelle

Vor allem dieser Punkt stieß bei der Opposition auf Kritik. Es gebe keinen Grund, die EU-Richtlinie überzuerfüllen und damit "Gold Plating" zu betreiben, waren sich Stephanie Krisper (NEOS) und Alfred Noll (PILZ) einig. Sie vermissen außerdem die von der EU geforderte unabhängige Kontrollstelle. Die Einbeziehung des Datenschutzbeauftragen des Innenministeriums genügt nach Meinung von Krisper nicht, dieser verfüge nicht über die notwendigen Kompetenzen.

Noch offene Punkte über die Verordnungsermächtigung hinaus sieht auch Irene Hochstetter-Lackner (SPÖ). Wer sei ein Treffer, wie gehe es mit einem Treffer weiter und was könne man als Betroffener tun, stellt sich für sie die Frage. Überdies wies sie auf eine kritische Stellungnahme des Datenschutzrates hin.

Als nicht nachvollziehbar qualifizierten ÖVP und FPÖ die Einwände der Opposition. Die Sammlung von Fluggastdaten passiere im europäischen Gleichschritt, er könne kein "Gold Plating" erkennen, betonte etwa Werner Amon (ÖVP). Auch in anderen europäischen Staaten könnten innereuropäische Flüge in die Daten-Übermittlungspflicht einbezogen werden. Im Falle einer erhöhten Gefährdungslage mache das für einen befristeten Zeitraum auch durchaus Sinn. Philipp Schrangl (FPÖ) nannte als Beispiel etwa Großereignisse, die besondere Sicherheitsvorkehrungen erfordern, wie etwa die EU-Ratspräsidentschaft. Gegenüber Abgeordneter Hochstetter-Lackner wies Schrangl drauf hin, dass die Daten nach sechs Monaten zu depersonalisieren und nach fünf Jahren gänzlich zu löschen sind.

Kickl: Höchstmaß an Datenschutz ist gewährleistet

Man dürfe nicht vergessen, dass es um den Kampf gegen Terrorismus und schwere Kriminalität gehe, gab Innenminister Herbert Kickl zu bedenken. Fluglinien müssten überdies nur Daten übermitteln, die sie im Zuge von Buchungen ohnehin erheben.

Auch ein Höchstmaß an Datenschutz ist nach Ansicht von Kickl gewährleistet. Nach der Depersonalisierung der Daten sei nicht mehr erkennbar, um welche Personen es sich handle. Eine Rückpersonalisierung sei nur unter strengen Voraussetzungen und unter Einbindung des Rechtsschutzbeauftragten möglich. Zum Vorwurf des "Gold Plating" merkte Kickl an, etliche EU-Staaten hätten die Ausweitung der Datensammlung auf innereuropäische Flüge sogar direkt in das Gesetz hineingeschrieben. (Fortsetzung Innenausschuss) gs