PNR: umfassende Datensammlung!

News

Ein US-Journalist hat jetzt – wie schon Max Schrems bei Facebook – von der Zoll- und Grenzschutzbehörde United States Customs and Border Protection (CBP) Einsicht verlangt, welche Daten sie über ihn im Rahmen des so genannten Passenger Name Record (PNR) gespeichert hat. Die Liste, die er schlussendlich erhielt, umfasste 76 Seiten und enthielt neben Informationen über IP-Adressen der genutzten Geräte auch vollständige Kreditkartendaten.

Umfassende Einsicht erst nach Beschwerde

Die CBP speichert Daten von Reisenden zum Schutz der US-Grenzen. Cyrus Farivar, Redakteur beim US-Magazin Ars Technica hat Berichten der Zeit zu Folge schon im Mai 2014 versucht, Einsicht darüber zu erhalten, welche Informationen über ihn in seinem PNR gesammelt werden. Zunächst wurde ihm nur eine oberflächliche Sammlung zur Verfügung gestellt, bezogen auf seine Reisen von 1994 an. Nach einer Beschwerde erhielt er nun 76 Seiten mit einer umfassenden Sammlung von zu seiner Person gespeicherten Daten.

Keine ausreichende Datenminimierung

Nicht nur der quantitative Umfang der gesammelten Daten lässt aus Datenschutzsicht erschrecken, sondern vor allem der Detaillierungsgrad der gesammelten Informationen. Neben Postadressen, E-Mail-Adressen und Telefonnummern, befanden sich unter der übermittelten Daten auch IP-Adressen, die beim Kauf von Flugtickets verwendet wurden und – besonders überraschend – auch seine Kreditkartendaten, ungekürzt und mit Ablaufdatum.

Allerdings: je nach beteiligtem Unternehmen bzw. Fluggesellschaft wurden die Kreditkartendaten teils auch gekürzt der Behörde zur Verfügung gestellt. Daten, die über eingeschaltete Callcenter in den PNR übermittelt wurden, wurden jedoch alle nicht gekürzt und landeten in Gänze bei der US-Behörde. Hier liegt der Verdacht nahe – so auch die Einschätzung des hinzugezogenen Experten Edward Hasbrouk – dass im Rahmen der outgesourcten Telefondienstleistungen kein entsprechendes Training bzgl. einer Datenminimierung vorhanden ist.

Fazit

Das umstrittene PNR-Abkommen war schon oft Gegenstand der datenschutzrechtlichen Berichterstattung. Auch wir haben u.a. 2012 das Abkommen auf Grundlage einer Übersicht von nopnr.de einem Praxistest unterzogen: allein der Umfang der Liste der übertragenen Daten stellte sich aus Sicht des Datenschutzes äußerst kritisch dar. Das aktuelle Auskunftsersuchen zeigt einmal mehr, dass in Sachen PNR in der Praxis der Umfang der Datenübermittlungen unter den Gesichtspunkten Datensparsamkeit und Transparenz schwer zu wünschen übrig lässt. Dies betrifft übrigens auch die Dauer der Vorhaltung, zu der die CBP Farivar keine Erklärung abgeben konnte.

Eine Lösung dieses Problems? Das Kaufen von (Last-Minute)Flugtickets am Flughafen verhindert zwar eine ausführliche PNR, ist allerdings ein recht teures und vielfach impraktikables Unterfangen. Abhilfe können daher nur transparente und verbindliche Vorgaben zu Art und vor allem Umfang des Datentransfers schaffen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

2 Kommentare zu diesem Beitrag

  1. – Immerhin hat der Betroffene in diesem Fall letztlich doch eine umfassende Auskunft erhalten, und das in den USA! Hierzulande ist es oft genug äußerst mühselig, vollständige Antworten auf Auskunftsersuchen zu erhalten. Da werden kurzerhand eindeutig personenbezogene Daten als nicht personenbezogen erklärt, sodass alles über Name, Adresse und Geburtsdatum hinaus “nicht personenbezogen” und damit nicht zu beauskunften ist.

    – Warum fallen beim Erwerb von Flugtickets direkt am Schalter im Flughafen weniger Daten an ?

    • In der Tat: dass schlussendlich eine umfassende Auskunft erteilt wurde, kann man natürlich aus Datenschutzsicht als positiv bewerten. Nichtsdestotrotz sollten meiner Einschätzung nach hier strengere Maßstäbe angelegt werden, wurde die Einsicht in dieser Form doch erst nach einer Beschwerde gewährt.
      Zu Ihrer Frage: Es muss davon ausgegangen werden, dass bei telefonischen Ticketkäufen oder solchen über das Internet mehr Daten anfallen wie bspw. zu Telefonnummern, genutzter Sprache, Anruf, E-Mail-Adressen, etc. Von daher dürften bei einem Kauf am Schalter am Flughafen weniger Informationen erfasst werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.