Jeder Fluggast wird gründlich durchsucht, bevor er an Bord eines Flugzeugs geht. Nicht nur seine Kleidung, auch seine Daten. Kaum ein Passagier ahnt, wie viel inzwischen über ihn erfasst, gespeichert und weitergegeben wird. Europa, die USA, Australien, Kanada – sie alle haben miteinander Verträge geschlossen, die regeln, dass die Behörden im Zielland schon alles über die Passagiere wissen, bevor sie überhaupt gestartet sind. Jeder Flug mit dem Ziel USA, aber auch jeder über das Gebiet der USA hinweg wird von ihnen durchleuchtet.

Und das sind nicht nur Name, Geburtsdatum, Wohnort, Telefonnummer und E-Mail-Adresse. Für jeden Passagier wird ein sogenannter Fluggastdatensatz für jeden Flug zusammengestellt, Passenger Name Record (PNR) genannt. Das klingt harmlos, doch die Liste der Dinge, die dabei übermittelt werden, umfasst Dutzende Positionen: das Datum, an dem die PNR erstmals angelegt wurden, Flugnummer(n), Flugzeiten und -dauer, der benutzte Flugzeugtyp; Buchungsklasse (jedem Flugtarif ordnet die Fluglinie eine Bezeichnung zu, um später auch den richtigen Tarif berechnen zu können); Zahlungsart, zum Beispiel Kreditkartennummer und Ablaufdatum der Kreditkarte, die Rechnungsanschrift; Vielflieger-Status, Name der Buchungsagentur (Reisebüro, Ausgabestelle, Firmenbuchungsstelle) und Sachbearbeiter der Buchung.

Gespeichert wird auch der Reisestatus des Passagiers: welche Strecken er bereits abgeflogen ist und welche er noch vor sich hat; dazu die Sitzplatznummer, außerdem die Nummern der Gepäckanhänger (baggage tags). Übermittelt wird die Historie über nicht angetretene Flüge (no show), ob Fluggäste mit Flugschein, aber ohne eine Reservierung (go show) an Bord sind. Selbst spezielle Serviceanforderungen wollen die Behörden wissen, also beispielsweise welches Essen bestellt wurde (koscher, vegetarisch etc.).

Dazu kommen Information über den Auftraggeber (received from); alle Änderungen des PNR mit Datum, Uhrzeit und Aktion (PNR-History); die Zahl der Reisenden im PNR (es können mehrere Personen auf einem PNR gespeichert werden, sofern sie am selben Tag dieselbe Strecke fliegen). Bei Flügen in die USA werden zusätzlich die vollständige erste Zieladresse während des Aufenthaltes und die Mietwagenstation registriert, falls einer gebucht wurde. Jede Änderung der Buchung – ein anderer Sitzplatz, ein geänderter Essenswunsch – wird selbstverständlich sofort weitergereicht, um den aktuellen Status jedes Passagiers zu kennen.

Malte Spitz machte sich auf die Spur seiner Daten. Am 8. Oktober erscheint das Buch, in dem er zusammen mit Brigitte Biermann die Ergebnisse seiner Reise beschreibt. © Hoffmann und Campe

Auch Russland streckt die Hand aus nach der Vorab-Übermittlung ausführlicher Flugdaten. Bis jetzt bestehen die Russen auf einer Vorab-Information von API-Daten, das heißt, sie wollen Namen, Geburtsdatum, Nationalität, Passnummer, Geschlecht und eventuell biometrische Daten all derer wissen, die ein Flugzeug einer russischen Airline besteigen.

Und allen voran die Innenminister der Europäischen Union fordern, dass Fluggastdaten für alle Flüge in die EU und innerhalb der EU erhoben und untereinander getauscht werden sollen. Die Idee könnte sich auf die Daten von Passagieren ausweiten, die mit der Bahn, mit Bussen und Schiffen unterwegs sind.

Wie diese Datenberge im US-Heimatschutzministerium zusammengeführt werden und was damit geschieht, ist unbekannt. Die Europäische Kommission evaluiert dieses Prozedere und bringt etwas Licht in das Dunkel. 2012 haben die Fluggesellschaften im Rahmen des Abkommens 80 Millionen Datensätze an die US Behörden übermittelt, nur noch ein Bruchteil von 240.000 Fluggastdatensätzen werden direkt aus den Datenbanken der Fluglinien abgesaugt.

Gegen dieses ungebremste Sammeln gibt es seit Jahren Protest. So dokumentiert das deutschsprachige Blog www.nopnr.org den Widerstand, informiert über Aktionen und erfasst die Unterstützer. Einer, der das Blog mit aufgebaut hat, ist der Datenschutzaktivist Alexander Sander. Er erklärt mir die Bedeutung von Fluggastdaten: "Airlines sammeln diese Daten, um den Service zu garantieren. Es ist zwar sinnvoll zu vermerken, dass ich ein vegetarisches Essen bestellt habe, wann wohin mein Anschlussflug geht, welches Gepäck transportiert werden muss. Absolut keinen Sinn macht es aber, dass die Airline meine IP-Adresse speichert, mit der ich einen Flug gebucht habe. Warum sie das tut, das konnte mir bisher niemand schlüssig erklären. Wer diese Fluggastdaten auswertet, erhält ein genaues Bild des Reisenden: Welchen sozialen Status hat er, mit wem ist er geflogen, wer waren seine Sitznachbarn, lässt die Wahl seines Essens auf die Religion oder eine Krankheit schließen? Nimmt man noch die Hotelbuchungen und Mietauto-Bestellungen dazu, kann man ganz einfach herausfinden, wer mit wem schläft."

Es entsteht also ein vollständiges Reiseprofil. Und um diese Profile geht es, um Auffälligkeiten darin, um Ähnlichkeiten zu bekannten kriminellen Aktionen. Welches Reiseprofil ist verdächtig und welches unverdächtig? Wessen Profil sieht aus wie das eines Drogenschmugglers, wessen wirkt wie das eines Terroristen, wessen Datensatz ist harmlos und fällt daher durch das Suchraster? Was ist überhaupt ein normaler Reisender? Bin ich ein normaler Reisender? Das werde ich wohl nie erfahren.

Daten werden für mehr als 15 Jahre gespeichert

Das US-Heimatschutzministerium (Department of Homeland Security, abgekürzt DHS) speichert diese Fluggastdaten für 15 Jahre und tauscht sie sowohl mit anderen US-Behörden als auch unter Umständen mit Drittstaaten aus, unter anderem auch, um illegale Einwanderung zu bekämpfen. Ursprünglich hatten nichtamerikanische Staatsbürger keine Chance, etwas über ihre Daten in den USA zu erfahren. Aufgrund der Verträge zwischen der EU und den USA gibt es nun einen rudimentären Datenschutz. Jeder europäische Staatsbürger, der innerhalb der vergangenen Jahre in die USA geflogen ist, hat ein Recht darauf, vom Heimatschutzministerium Auskunft über seine dort gespeicherten Fluggastdaten zu erhalten. Theoretisch.

In Washington D.C. spreche ich mit Karen Neuman, sie ist die Datenschutzbeauftragte des Ministeriums. Neumann ermuntert mich, selbst eine Auskunft einzuholen. Nach mehrmaligem Nachfragen und elf Wochen wurde in meinem Profil der Bescheid und eine PDF-Datei von 23 Seiten mit allen möglichen Angaben hinterlegt, aber ohne meine PNR-Daten, obwohl jeder nach dem Abkommen zwischen den USA und der EU zur Fluggastdatenübermittlung Anspruch darauf hat. Stattdessen sah ich Angaben einiger meiner Einreiseformulare, die man handschriftlich im Flugzeug ausfüllen muss, mitsamt der ersten Wohnadresse in den USA, dem Anlass der Reise und der Flugnummer. Zwei Flüge waren aufgelistet, dabei war ich mehrere Male in den USA gewesen, die anderen fehlten. Offenbar werden diese Formulare abgetippt, digitalisiert und in die Datenbank eingegeben.

Außerdem enthielt die Datei die üblichen Fluginformationen, also Flugnummer, Fluglinie, Ein- oder Ausreise. Und das sogar von Flügen, die ich nie angetreten habe, weil sie kurzfristig ausgefallen waren oder ich umbuchen musste. Auch die Einreiseinformationen vom Grenzkontrollpunkt sind enthalten: meine Passnummer, in welcher Schlange ich bei der Grenzkontrolle am Flughafen stand, welcher Mitarbeiter mich kontrolliert hat.

Zum Beispiel wartete ich am 21. März 2014 am Flughafen Washington Dulles, der die interne Nummer A541 hat, in der Schlange Z40. Etliche Informationen sind geschwärzt, so der Name des Inspektors, der meine Fingerabdrücke abgenommen und mich fotografiert hat. Auch das Resultat meiner Sicherheitsüberprüfung, also in welche Stufe ich eingeordnet wurde, bleibt für mich unkenntlich.

Die Liste ist erschreckend. Sogar mein erster Flug in die USA, als ich vorn ins Cockpit durfte – da war ich 15! – und der Flug zu meinem Austauschjahr, alles ist in den Datenbanken dokumentiert und offenbar für mehr als 15 Jahre gespeichert.

Fast logisch, dass auch Geheimdienste die Daten bekommen

Ich hake nach, ich will meine gespeicherten PNR-Daten erhalten. Gegen den Auskunftsbescheid lege ich Widerspruch ein, ich schicke ihn zur Kenntnisnahme an meine Gesprächspartnerinnen beim US-Heimatschutzministerium, bei der deutschen Datenschutzaufsicht und bei der zuständigen Abteilung der Europäischen Kommission. Aus Gesprächen erfahre ich, dass es offenbar üblich ist, bei der ersten Anfrage keine Auskunft über PNR-Daten zu erhalten. Die US-Behörde hofft anscheinend, dass wenige Menschen Widerspruch einlegen.

Drei Wochen später erhalte ich einen Hinweis per Mail, dass in meinem Online-Konto die entsprechende Antwort hinterlegt ist. Ein 18-seitiges PDF mit PNR-Daten von sechs Flügen und ein achtseitiger Brief von der zuständigen Abteilungsleiterin mit einer ausführlichen Erklärung zum Prozedere der Datenspeicherung und zur Schwärzung einzelner Daten.

Der Brief hat es in sich. Es wird erklärt, dass meine PNR-Daten, die in dem Automated Targeting System (ATS) gespeichert sind, unter anderem mit denen der Geheimdienste und Strafverfolgungsbehörden abgeglichen werden: "ATS (Automated Targeting System) is a decision support tool that compares traveler, cargo, and conveyance information against law enforcement, intelligence, and other enforcement data using risk-based targeting scenarios and assessments." Frei übersetzt: "ATS ist ein System zur Entscheidungshilfe, die Informationen zum Reisenden, zu Fracht und Beförderung mit Strafverfolgungs-, Geheimdienst- und anderen Vollzugsdaten mit risikobasierten Targeting-Szenarien und Bewertungen vergleicht."

Ich soll also "risikobasiert" bewertet werden. Wenn Geheimdienstinformationen eh mit meinen Fluggastdaten abgeglichen werden, ist es fast logisch, dass diese Fluggastdaten auch den Geheimdiensten zur Verfügung stehen – zur Speicherung oder zum eigenen Abgleich. Somit füttern wir Europäer anscheinend mit 80 Millionen PNR-Datensätzen im Jahr die Datenbanken der US-Geheimdienste.

Die von der US-Behörde übermittelten PNR sind sehr aufschlussreich. So wird bei einem Flug mit United Airlines hinterlegt, dass ich es abgelehnt habe, ein Fahrzeug der Autovermietung Hertz anzumieten. Oder es werden Informationen darüber abgespeichert, dass mein Flug aufgrund von Problemen am Flughafen abgesagt wurde. Bei Flügen mit der Lufthansa wird sogar gespeichert, welche IP-Adresse ich wann benutzt habe, um einen Flug zu buchen oder eine Änderung, die Sitzplatzauswahl oder den Online-Check-in vorzunehmen. Es wird hinterlegt, wenn ich nach einem Platz am Notausgang frage, ein Upgrade kaufe und zu welchen Konditionen. Bei einem Flug mit Brussels Airlines wird im PNR auch als "Hinweis" gespeichert, dass ich per Mail Kontakt aufgenommen und um eine Bestätigung gebeten habe. Die Nummer meiner Kreditkarte war gespeichert, wobei nur die letzten vier Ziffern und die Gültigkeit der Karte frei einsehbar waren. Und bei manchen Flügen, die ich direkt über das Internetangebot einer Fluglinie gebucht habe, wurden zwei PNR-Datensätze angelegt, weil ich verschiedene Fluglinien benutzt habe. Und nicht nur der jeweilige Flug in oder aus den USA ist enthalten, sondern alle Flüge, Zubringerflüge oder auch Weiterflüge. Über 40 Seiten an Daten habe ich erhalten für eine gute Handvoll an Flügen in die USA.

Versehentlich auf der No-Fly-Liste

Die amerikanische Transport Security Administration (TSA) verlangt die Passagierdaten vorab, selbst für Flüge über die USA. Die TSA gleicht diese Daten mit den eigenen Datenbanken und den sogenannten No-Fly-Listen ab. Es gibt etliche Warnlisten, auf denen vermerkt ist, wer kein Flugzeug betreten darf und wer besonders scharf kontrolliert werden soll. Zum Bespiel wird gegebenenfalls untersucht, ob Hände oder Handgepäck mit Sprengstoff in Berührung gekommen sind. Das funktioniert minutenschnell mit besonderen Geräten.

Die Malaysierin Rahinah Ibrahim musste jahrelang vor US-Gerichten klagen, der Prozess kostete vier Millionen Dollar, bis sie Recht bekam und ihr Name aus einer No-Fly-Warnliste entfernt wurde. Sie hat sich niemals etwas zuschulden kommen lassen. Nur weil ein Beamter bei einer früheren Kontrolle auf einem Formular versehentlich ein Kreuz an der falschen Stelle gemacht hat, wurde sie als gefährlich eingestuft.

Manchmal spielt auch der persönliche Eindruck bei der Sicherheitskontrolle eine Rolle, ob ein Passagier besonders überprüft oder ihm sogar der Flug verweigert wird. Die TSA bildet Tausende Behavior Detection Officers (BDO) aus, also Beamte, die darauf spezialisiert sind, Verhaltensmuster der Passagiere zu bewerten. Zahlen, wie oft Mitarbeiter des US-Grenzschutzes diese Empfehlungen an die Fluglinien geben, werden nicht veröffentlicht. Mitgeteilt wurde lediglich, dass im Jahr 2013 etwa 700 deutsche Staatsbürger an den US-Grenzen abgewiesen wurden, nicht hingegen, wie viele Personen erst gar nicht so weit gekommen sind, weil sie das Flugzeug wegen einer "No-Board-Empfehlung" nicht besteigen durften. Unbestätigte Schätzungen gehen von einer hohen dreistelligen bis niedrigen vierstelligen Zahl an Menschen pro Jahr allein für die deutschen Flughäfen aus.

Wir sind gläserne Reisende

Die Behörden sind angewiesen auf die Daten der Fluglinien, also bat ich Air Berlin und die Lufthansa um meine bei ihnen gespeicherten Fluggastdaten. Nach einem Monat teilte mir Air Berlin mit, dass zu meiner Person keine Daten vorlägen. In dem Schreiben hieß es: "… die von Ihnen angegebenen personenbezogenen Daten können wir keiner Buchung zuordnen." Das erschien mir merkwürdig, war ich doch einige Male mit Air Berlin geflogen. Also listete ich die Buchungs- und Ticketnummern einiger Flüge aus den vergangenen Jahren auf und bat erneut um Aufklärung. Ich wählte die Nummer der Hotline des Kundenservice, hing fast fünfzig Minuten in der Leitung und gab entnervt auf. Dann schickte ich eine Mail an die Unternehmenskommunikation mit der Bitte um meine Daten. Die leiteten meinen Wunsch an den Datenschutzbeauftragten von Air Berlin weiter. Dessen Antwort war ebenso wenig zufriedenstellend. Gespeichert seien von mir Name, Vorname, Geburtsdatum, Anschrift und Mailadresse privat und dienstlich, Mobilfunknummer, URL meiner Homepage. Die Datenfelder wurden genannt, nicht aber die tatsächlich gespeicherten Informationen. Ob sie möglicherweise fehlerhaft sind, kann ich also weder kontrollieren noch korrigieren. Man verwies noch auf eine "Speicherung der Buchungsbelege aufgrund handelsrechtlicher Vorgaben", näher erläutert wurden die nicht. Fluggastdatensätze kamen überhaupt nicht vor.

Den Air-Berlin-Datenschützer fragte ich erneut per Mail, ob man versichern könne, dass keine PNR-Daten von mir vorlägen und dass ich nicht bei einem Ticketbuchungs-Dienstleister wie Amadeus gespeichert sei. Endlich erhielt ich einen aktuellen Auszug eines Fluggastdatensatzes für einen Inlandsflug aus dem Frühjahr 2014. Er war sehr überschaubar, eine IP-Adresse zum Beispiel wurde trotz Online-Buchung nicht gespeichert.

Einen ersten Versuch, von der Lufthansa meine Fluggastdaten zu kommen, habe ich nach zwei Jahren aufgegeben. Man verwies mich an einen Dienstleister, der schickte mich durch sein für mich undurchsichtiges Unternehmensgeflecht; ich schrieb Briefe an Büros in Bad Homburg, in Spanien, in einem Vorort von München – vergeblich.

Doch ich wollte wissen, wie meine Fluggastdaten aussehen und startete eine neue Anfrage. Zunächst erhielt ich nur Allgemeines zu meinem Miles & More-Profil. Und die Aussage, dass diese Daten für fünf Jahre vorgehalten würden. Aufgrund steuerlicher und handelsrechtlicher Vorschriften müssten Angaben über Ticketverkauf und erbrachte Flugleistungen sogar bis zu zehn Jahre gespeichert werden. Auch das war nicht gerade aufschlussreich.

Warum wird meine IP-Adresse gespeichert?

Nach erneuter Nachfrage bekam ich mehr zu lesen: Exemplarisch für zwei Flüge – im Oktober 2013 von Düsseldorf nach Berlin und zurück, im Juni 2011 von Berlin nach Washington – schickte mir die Lufthansa zwei ausgedruckte Seiten voller Abkürzungen und Codes. Einige Informationen sind nachvollziehbar und verständlich, wie die Flugstrecke, der Zeitpunkt der Ticketbestellung, die Aufschlüsselung des Flugpreises nach Flugtarif, Steuern, Gebühren und Zuschlägen. Wieso aber meine IP-Adresse gespeichert ist, von der aus ich das Ticket gebucht habe, und wieso die IP-Adresse, mit der ich online eingecheckt habe, bleibt unerklärlich.

Ich will es genauer wissen und fahre in die Firmenzentrale am größten deutschen Flughafen nach Frankfurt am Main. Barbara Kirchberg-Lennartz, Datenschutzbeauftragte der Lufthansa, empfängt mich am Eingang des Lufthansa Aviation Centre. Sie hat zwei Experten ihres Teams mitgebracht, einen, der sich um den allgemeinen Kundendatenschutz kümmert, und eine Kollegin für PNR-Daten. Wir unterhalten uns lange über Datenschutz auf dem Reisemarkt im Allgemeinen und bei der Lufthansa im Besonderen.

Ich zeige den Datenschützern meine Fluggastdatensätze, frage nach der Bedeutung einiger Abkürzungen, frage auch, warum diese oder jene Information überhaupt gespeichert worden ist. Vieles seien interne Merkmale für die Abwicklung, sagen sie, also darüber, ob Tickets bezahlt und ordnungsgemäß ausgestellt wurden. Warum aber ist auch meine IP-Adresse gespeichert? Sie ist Teil meiner PNR und wird damit auch an ausländische Behörden übermittelt. Die wissen dann, welche IP-Adresse ich zum Zeitpunkt der Buchung oder des Online-Check-ins hatte, das jeweilige Datum und die Uhrzeit werden ebenfalls protokolliert. Und diese Information kann mit Datenbanken, zum Beispiel von Geheimdiensten, verglichen werden. Wer die IP-Adresse kennt, weiß, welche Person zu diesem Zeitpunkt zu dem Computer gehörte. Das Argument der Lufthansa: Die IP-Adresse werde gespeichert, um Abrechnung, Umbuchungen und so weiter nachvollziehen zu können. Vor allem aber solle damit Betrug verhindert werden; bei einem entsprechenden Verdacht würden Polizei und Staatsanwaltschaft nach der IP-Adresse fragen, um ermitteln zu können. Mich überzeugt das nicht.

Amadeus weiß alles über unsere Reisen

Alle Fluggesellschaften geben ihre Informationen an einen der Dienstleister weiter, die Ticketbuchungen abwickeln, wie etwa das weltweit größte Computerreservierungssystem (CRS) für Flugdaten Amadeus. Es wird von einer gleichnamigen Firma aus Madrid betrieben. Bei ihr laufen die Datensätze von Fluggesellschaften – also auch eine Vielzahl der Kundendaten der Lufthansa – sowie Daten aus Reisebüros, Busunternehmen, Hotelketten und Autovermietungen zusammen. Ob ich einen Flug buche oder eine Fähre, eine Kreuzfahrt, ein Auto oder ein Hotel – Amadeus weiß viel mehr über mich, als man sich vorstellen kann. Allein die Wahl einer Unterkunft lässt auf die Persönlichkeit schließen: Hotel oder Motel, Hotel garni oder mit Restaurant und Wellnessbereich, mitten im Zentrum oder abgelegen, alt und gediegen oder jung und hip. Gewählte Besonderheiten, wie Häuser, die sich auf Lesben und Schwule eingestellt haben, Romantik- oder Gourmet-Hotels lassen das Bild jedes Einzelnen immer weiter abrunden. Die Schufa kennt all unsere Gewohnheiten, wenn es um Geld geht, Amadeus weiß alles über unsere Reisen, wohin wir uns bewegen und warum.

Bisher bleiben die Daten zwischen den Unternehmen getrennt, Fluggesellschaften und Hotelketten haben Amadeus dazu verpflichtet, ihre Kundendaten nicht zusammenzuführen. Dabei gibt es ein großes Interesse, diese Datenberge auszuwerten, sind sie doch wie eine Goldmine für das Unternehmen.

British Airways will Flugbegleiter mit iPads ausstatten, die mit der eigenen Datenbank gekoppelt sind. Sie sollen der Stewardess oder dem Steward mitteilen, wer auf welchem Platz sitzt, ob dieser Passagier schon mal Extrawünsche geäußert oder etwas aus dem Duty-Free-Angebot an Bord gekauft hat.

Der Flughafen München möchte in Zusammenarbeit mit Lufthansa, Amadeus und anderen großen Flughäfen Kundendaten auswerten, um mit noch besseren Angeboten zu locken. Das reicht von praktischen Ideen wie einer Wegbeschreibung von der Haustür zum Flugsteig bis hin zu Angeboten für bestimmte Flughafenshops.

Dass immer mehr Staaten und staatliche Stellen ebenfalls scharf auf diese Daten sind, um sie auszuwerten und zu nutzen, ist mir in allen Gesprächen, die ich zum Thema Reisedaten geführt habe, klargeworden.

Wir sind gläserne Reisende – für viele Unternehmen und immer stärker für staatliche Stellen. Das System des Austausches von Fluggastdaten lässt sich nicht mehr komplett rückgängig machen. Wir müssen es aber einschränken. Vor allem die Idee, einen solchen Datenaustausch auch für innereuropäische Flüge zu installieren, muss beerdigt werden. Selbst im Zugverkehr werden mittlerweile Daten erhoben und weitergegeben. Die Begierde nach Reisedaten, die zunehmende Auswertung unseres Reiseverhaltens, von welchen staatlichen Stellen auch immer, muss aufhören.

Der Text ist eine gekürzte Version eines Kapitels aus dem Buch "Was macht ihr mit meinen Daten?", von Malte Spitz und Brigitte Biermann. Es erscheint am 8. Oktober.