Erstellt am: 28. 11. 2011 - 18:16 Uhr
EU-Flugdatensystem steht vor der Tür
Die Schlüsselpassage dazu steht in Artikel 15, Absatz vier: "Grundsätzlich sind alle Fluggesellschaften verpflichtet, spätestens 24 Monate nach Inkrafttreten dieses Abkommens die technischen Anforderungen für die Anwendung des Push-Verfahrens zu erfüllen."
Was heißt das nun? Die europäischen Airlines verarbeiten in jeweils unterschiedlichem Ausmaß einen Teil ihrer Datensätze selbst. Manche EU-Fluglinien transferieren hingegen so gut wie alle Daten in externe Reservierungssysteme, in diesem Fall zumeist das europäische Amadeus.
Oder es werden sogenannte "Managed Services" benutzt, diese Buchungssysteme gehören zu den ersten Cloud-Anwendungen, noch bevor diese Art des "Distributed Computing" als "Cloud" bezeichnet wurde.
Eine erste Analyse der einzelnen Punkte des Abkommens samt Links zu den Originaldokumenten und einer annähernd kompletten Chronologie der PNR-Abkommen zurück bis 2003. Anhand dieser ist nicht sehr verwunderlich, dass die Europäer auch diesmal keine einzige, zentrale Forderung durchbringen konnten.
Die Buchungssysteme
Andere verarbeiten dort die Daten ihrer internationalen Flüge, dazu kommen Reiseveranstalter aller Art, Reisebüros, Hotelketten usw., die Dienste von Systemen wie Amadeus nutzen. 200 internationale Fluglinien etwa gehören zu den Kunden dieses aus Deutschland stammenden Systems.
Im Jahre 2010 wurden für diese Firmen 850 Millionen Datensätze prozessiert, denn Amadeus ist nicht irgendeine Datenbank, sondern einer der vier weltweit größten IT-Dienstleister für die oben aufgezählten Industrien und Branchen.
Die Services
Neben Buchung und Abrechnung bietet Amadeus auch marketingrelevante Dienste an, wie etwa Statistiken aller Art, samt Services zur Kundenbetreuung für die Vielfliegerprogramme usw.
Logischerweise fallen dort eine ganze Menge personenbezogener Daten pro Passagier an, vor allem intimerer Natur. Das Datencenter aber steht in den USA und dort ziehen das Ministerium für Heimatschutz (DHS) und andere Dienste die Datensätze seit 2003 ab.
Das "Push"-Verfahren
Um das vorgeschriebene Push-Verfahren umsetzen zu können, müsste jede einzelne Airline die von den USA geforderten Datengruppen aus allen möglichen Feldern ihrer eigenen Kundendatenbank extrahieren.
Dann müssen sie in einem einheitlichen Datenbankformat und "entweder bei jeder Eingabe neuer PNR-Daten, in regelmäßigen Abständen oder nach einem von der DHS festgelegten Zeitplan" übermittelt werden. (Artikel 15, Absatz 3)
Die Umsetzung
Technisch heißt das: Ein Server, der die Daten regelmäßig an das DHS hinüberschiebt, wird mit der Buchungsdatenbank der Airline vernetzt.
Für die wird eine Softwareroutine eingerichtet, um jede Änderung an den geforderten Datenfeldern parallel wegzuschreiben. Dabei ist es unwichtig, ob der betreffende Server physisch bei den Airlines angesiedelt ist oder beim Buchungssystem. So oder so wird das nicht billig, denn das System muss hochverfügbar sein und redundant angelegt.
Kernelemente eines EU-Systems
Ordert ein Passagier nach der Buchung eines Fluges in die USA noch einen Mietwagen, oder bucht ein Hotelzimmer über die Airline, geht sein aktualisierter PNR-Datensatz an das DHS hinaus.
Damit ist der Mechanismus eines europäischen Systems zur Passagierdatenerfassung bereits eingerichtet. Ist dieses Set-Up aus organisatorischen und technischen Prozessen für Flüge in die USA einmal am Laufen, ist es sehr einfach zu erweitern, um auch die Flüge innerhalb der EU zu erfassen.
Weitere Indizien
Im Abkommenstext finden sich noch weitere Hinweise auf ein europäisches PNR-System:
"Da die Einführung eines PNR-Systems der EU wesentliche Auswirkungen auf die Verpflichtungen der Parteien nach diesem Abkommen haben könnte, beraten sich die Parteien – falls und sobald die EU ein PNR-System einführt – darüber, ob dieses Abkommen entsprechend geändert werden muss, um die volle Gegenseitigkeit sicherzustellen. Insbesondere wird dabei geprüft, ob bei dem künftigen PNR-System der EU weniger strenge Datenschutzstandards angewandt werden als nach diesem Abkommen und ob es daher geändert werden sollte."
Woher und wohin?
Die EU-Kommission war mit einem solchen Vorschlag im Frühjahr an die Öffentlichkeit gegangen. Um vom Europäischen Beauftragten für Datenschutz, Peter Hustinx, prompt gerügt zu werden.
Der Vorstoß der Kommission entspricht genau dem Vorhaben der britische Regierung, die ein PNR-System seit Jahren auf EU-Ebene durchzusetzen versucht. Mit dem vorliegenden Abkommen wurde ein erster großer Schritt in diese Richtung absolviert.
Das Abkommen geht als nächstes durch den Ministerrat, was voraussichtlich Mitte Dezember sein wird. Anfang 2012 wird sich das EU-Parlament damit befassen.