Im Jahr 1953, so will es die Legende, hatte Cyrus Rowlett Smith eine Idee, die das globale Reisen grundlegend verändert hat. Auf einem Flug von Los Angeles nach New York saß der Manager der Fluglinie American Airlines neben einem Ingenieur von IBM. Ein Gespräch mit diesem brachte ihn auf die Idee, die Informationen seiner Kunden künftig nicht mehr in Papierakten zu speichern, sondern in einem aus der Ferne zugänglichen System. Der erste elektronische Passenger Name Record war geboren: Sabre.

In den folgenden Jahren wurde das System auf die ganze Welt ausgedehnt. Nach den Fluglinien wurden Reisebüros an das System angeschlossen und andere Buchungssysteme wurden in Konkurrenz zu Sabre entwickelt. Heute werden die Systeme von Fluglinien, Hotels und einigen Eisenbahngesellschaften genutzt, um Reisende an ihr Ziel zu bringen. Für den Nutzer ist das System zwar praktisch, aber schwer durchschaubar und nicht besonders sicher.

Die Datensammlungen der Luftfahrtunternehmen erregen das Interesse von Sicherheitspolitikern; die Daten werden in der EU künftig auf Vorrat gespeichert, wie das EU-Parlament am Donnerstag beschlossen hat.

PNR-Systeme sind Vorläufer des Internets

In San Francisco haben wir mit einem Mann gesprochen, der in den Neunziger Jahren ganz nah an der Entwicklung vernetzter Buchungssysteme dran war: Edward Hasbrouck arbeitete in Reisebüros und beriet diese bei der Entwicklung der weiteren Vernetzung - einer Vernetzung, die das Internet praktisch vorwegnahm: "Die Buchungssysteme waren eigentlich Vorläufer des Internets, von Software-as-a-Service und Cloud Computing", sagt Hasbrouck.

Heute stecken in den Buchungssystemen die Daten von Abermillionen Reisenden weltweit. Doch was genau steht eigentlich in einem einzelnen Passenger Name Record (PNR)? "Erstens natürlich grundlegende Informationen über den Reisenden – Name, Geburtsdatum, Passnummer", sagt Hasbrouck.

Doch in den Systemen gibt es noch mehr Informationen: "Wenn Sie vegetarisches Essen bestellen, dann steht das im PNR, denn die Fluglinie muss ja entsprechend einkaufen", sagt Hasbrouck. Diese Informationen sind notwendig, um den Flug ordnungsgemäß durchzuführen. Doch sie können natürlich auch genutzt werden, um Profile zu bilden. Wer sein Essen koscher oder halal bestellt, gibt natürlich Informationen über seine religiöse Ausrichtung preis.

Außerdem gibt es Freitextfelder, in die praktisch alles eingetragen werden kann. Wenn die Fluglinie zum Beispiel weiß, dass jemand zu einer Beerdigung fliegt, kann die Kabinencrew entsprechend vorbereitet werden. Aber auch andere Merkmale können eingetragen werden, etwa wenn ein Passagier aufgrund einer Behinderung spezielle Assistenz benötigt. Ein PNR kann bis zu 60 persönliche Merkmale enthalten.

Niemand protokolliert, wer die Daten einsieht

Weltweit gibt es nur wenige Systeme, die fast alle Fluglinien miteinander vernetzen. Das älteste unter ihnen ist Sabre, in den USA gibt es außerdem Galileo und Worldspan. Das einzige europäische Unternehmen ist Amadeus, das 1987 von den europäischen Fluggesellschaften Lufthansa, Iberia, Air France und SAS gegründet wurde. Alle großen Fluglinien nutzen eines der Systeme. Nur Billigflieger wie Easyjet und Ryanair unterhalten eigene IT-Systeme.

Wenn sich ein Reisebüro an das System anschließen will, geschieht dies entweder über einen VPN-Zugang oder über eine Standleitung zum Betreiber des Buchungssystems. Dort findet ein weiterer Login mit den persönlichen Daten statt. Einen solchen Zugang zu bekommen, ist nicht besonders schwer, wer sich als Reisebüro lizenzieren lässt, kann gegen Gebühr auch einen Zugang zu den Buchungssystemen beantragen.

Ein Reisebüro kann dann auf alle Buchungen zugreifen, die von den Mitarbeitern selbst angelegt werden. Deutlich mehr Zugang haben natürlich die Mitarbeiter von Fluglinien. Sie können alle Buchungen einsehen, die ihr Unternehmen betreffen – weltweit. "Eine Protokollierung, wer wann auf wessen Informationen zugegriffen hat, gibt es nicht", sagt Hasbrouck.

Es ist ebenfalls nicht ganz einfach, die Frage zu beantworten, wo die Informationen zu einem Flug liegen. Sagen wir, ein Passagier hätte einen Flug bei der Lufthansa gebucht. Dann wäre sein PNR bei Amadeus gehostet. Doch einer der Flüge auf einer längeren Reise wird von einem Star-Alliance-Partner durchgeführt; dann wird ein verknüpfter PNR im System der jeweiligen Fluglinie angelegt, also bei Sabre, Galileo oder Worldspan.

Außerdem hat der Passagier über die Fluglinie noch ein Hotel und einen Mietwagen gebucht. All diese Datensätze liegen in verschiedenen, verknüpften Datenbanken vor. Der Kunde bekommt davon jedoch im Zweifelsfall nichts mit. Nur, wenn auf einer komplizierten Buchung mehrere Buchungscodes stehen, deutet dies darauf hin, dass die Informationen in verschiedenen Systemen gespeichert sind.

Wie sicher sind die PNR-Daten?

Wie sicher sind diese Informationen? Experte Hasbrouck sagt: "Einen Zugang zu einem solchen Buchungssystem zu bekommen, ist nicht so schwer". Die einfachste Möglichkeit: ein unauffälliger Schulterblick am Flughafen. "Die Systeme sind so aufgebaut, dass sie für den Kunden möglichst leicht zu bedienen sind". Auf der Webseite der Fluglinien müssen nur der sechsstellige Buchungscode und der Nachname des Reisenden eingegeben werden. Beide Informationen sind auf den meisten Flugtickets zu finden.

Wer über diese Informationen verfügt, kann den weiteren Reiseplan einsehen oder ändern. Denn Buchungscode und Nachname sind letztlich Nutzername und Passwort. Wenn bei der Fluglinie bereits eine Kreditkarte hinterlegt ist, dann könnten Umbuchungen der Reise vorgenommen und auch bezahlt werden. Im System würde dann hinterlegt, dass der Reiseplan "auf Kundenwunsch hin" geändert wurde.

Die Buchungsinformationen können nicht nur bei den Fluglinien selbst eingesehen werden. Alle großen Betreiber unterhalten Angebote, die den direkten Zugriff auf den eigenen PNR ermöglichen. Wer einen Buchungscode und einen Nachnamen weiß, muss also nicht mal den Namen der Fluglinie in Erfahrung bringen, um auf die Informationen zuzugreifen, Ausprobieren bei den vier Portalen reicht aus.

Kein Rechtsschutz für EU-Bürger

Die von den Fluglinien gespeicherten Informationen sind aus Sicht von Sicherheitspolitikern von großem Wert für die Terrorismusbekämpfung. Seit vielen Jahren werden die PNR-Daten daher zwischen der EU und anderen Staaten im Rahmen der internationalen Terrorismusbekämpfung ausgetauscht. Ein entsprechendes Abkommen mit den USA scheiterte zwar zwischenzeitlich am Widerstand des EU-Parlaments, ist aber mittlerweile seit einigen Jahren in Kraft.

"Grundsätzlich gibt es zwei Verfahren, um der Regierung die Daten zur Verfügung zu stellen – Push und Pull." Beim Push-Verfahren werden alle Informationen aus den Systemen über eine API an die Ermittlungsbehörden geleitet - und dort gespeichert, durchsucht und schließlich wieder gelöscht.

Doch die USA hätten dieses Abkommen nur in wenigen Fällen wirklich gebraucht, sagt Hasbrouck. "Die US-Regierung hat einen Root-Zugriff auf die Datenbanken der US-PNR-Betreiber". Sie sei also als einzige Instanz in der Lage, die Informationen aus diesen verschiedenen Datenbanken zentral zusammenzuführen.

Das Problem für EU-Bürger: Es gibt keinen Rechtsschutz, um sich über illegale Speicherung von Daten zu beschweren. Denn das mittlerweile gekippte transatlantische Datenschutzverfahren Safe-Harbor-Abkommen stand unter der (theoretischen) Kontrolle der US-Handelskommission FTC (Federal Trade Commission), die in den USA in Ermangelung einer zentralen Datenschutzbehörde die Aufsicht über Datensammler hat. Doch die Aufsicht über das Transportwesen und die Datensammlung der Verkehrsunternehmen obliegen einer anderen Behörde: dem US-Verkehrsministerium. Diese aber ist weder vom Safe-Harbour-Abkommen noch vom derzeit verhandelten Privacy Shield betroffen.

Mehrere Jahre hat auch die EU über ein eigenes Speichersystem nachgedacht. Zwischenzeitlich sollten darin sogar alle Informationen über Flüge innerhalb der EU gespeichert werden. Dazu ist es jetzt nicht gekommen. Trotzdem sollen künftig alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, für sechs Monate gespeichert werden. Nach Ablauf dieser Frist sollen die Informationen noch anonymisiert vorgehalten werden. Doch der Buchungscode wäre immer noch unter diesen Daten – damit könnte der Reisende im Zweifel durch eine einfache Abfrage bei den Fluggesellschaften wieder identifiziert werden.

Die Lufthansa wiegelt Anfragen ab

Doch wie lange sind die Informationen in den Systemen der Fluggesellschaften gespeichert? Aus der Datenschutzabteilung der Lufthansa ist zu erfahren, dass die Informationen "zu Abrechnungszwecken, nach den Maßgaben der ordentlichen Buchführung" gespeichert würden. Das wären im Regelfall also zehn Jahre. Eine Anfrage des Redakteurs nach einem Zugang zu seinem PNR wird wie folgt beantwortet "Das wird etwas dauern. Wir brauchen die Buchungsnummer, Reisetag und Strecke." Eine Aggregation der Daten nach Passagier oder anderen Merkmalen erfolge nicht, wird uns versichert, solange ein Passagier nicht beim Bonusprogramm Miles und More angemeldet sei.

Eine offizielle Stellungnahme der Fluggesellschaft zu den beschlossenen Regeln liegt uns bislang nicht vor. Der PNR-Betreiber der Lufthansa, Amadeus, teilt auf Anfrage mit: "Amadeus verfolgt die Diskussionen um den Zugang zu Passagierdaten für Regierungen sehr sorgfältig, da jede neue rechtliche Verpflichtung, die Fluggesellschaften und anderen Amadeus-Kunden auferlegt wird, Veränderungen bedeuten kann für die Unterstützung der effektiven Einhaltung durch Amadeus' Technologie. Aus Sicht von Amadeus ist dies allerdings eine politische und keine technologische Debatte."Es sei Sache der Politiker, "über das Vorgehen hinsichtlich der Datensicherheit zu entscheiden."

Auch wenn die Mehrheit für die Fluggastdatenspeicherung im Europäischen Parlament, vermutlich auch unter dem Eindruck der Terroranschläge in Brüssel, groß war, gibt es Kritik. Der Europaabgeordnete Jan Philipp Albrecht schreibt auf seiner Webseite: "Die anlasslose Analyse und Speicherung von Fluggastdaten aller Reisenden hilft nicht weiter. Es ist ein teures Placebo, das nach Schätzungen der Europäischen Kommission etwa 500 Millionen Euro kosten wird. Geld, das bei den Polizeibehörden fehlt, die diese und alle anderen Daten auswerten und entsprechende Verdachtsmomente nachverfolgen müssen."

Wie es weitergeht? Auf der Webseite von Hasbroucks Identitiy Project steht: "Wir kennen zahlreiche Sicherheitsprobleme in den Systemen der CRS-Betreiber. Wenn diese mit uns Kontakt aufnehmen, geben wir die Informationen gerne weiter."