Gemäss Bundesrat und Parlament soll eine Vorratsdatenspeicherung für Flugpassagierdaten eingeführt werden. Die Daten sollen von den Luftverkehrsunternehmen für sechs Monate vorgehalten und rein «auf Verlangen» den Behörden ausgehändigt werden. Sie können auch bereits präventiv zur Verhinderung von möglichen Straftaten angefordert werden. Zudem ist nicht geklärt, und damit auch nicht ausgeschlossen, dass die Daten in einem Push-Verfahren herausverlangt werden können.
Von der Öffentlichkeit fast gänzlich unbemerkt wird vom eidgenössischen Parlament mit der aktuellen Revision des Luftfahrtgesetzes die Vorratsdatenspeicherung für Flugpassagierdaten eingeführt.
Der Entwurf des Bundesrates sieht im Luftfahrtgesetz einen neuen Artikel 21f vor:
- Zur Verhinderung oder Verfolgung von Verbrechen und Vergehen sind die Luftverkehrsunternehmen verpflichtet, den zuständigen Strafverfolgungsbehörden auf deren Verlangen folgende Daten über die Passagiere (Passagierlisten) zur Verfügung zu stellen:
- Name, Vorname, Adresse, Geburtsdatum, Staatsangehörigkeit und Nummer des Reisepasses;
- Datum, Zeit und Nummer des Fluges;
- Abgangs-, Transit- und Enddestination der Beförderung;
- allfällige Mitreisende;
- Informationen zur Zahlung, namentlich Zahlungsmethode und verwendetes Zahlungsmittel;
- Angabe der Stelle, über welche die Beförderung gebucht worden ist.
- Die Passagierlisten werden frühestens unmittelbar nach Abschluss des Check-in und spätestens sechs Monate nach Durchführung der Beförderung zur Verfügung gestellt.
- Die Strafverfolgungsbehörde vernichtet die zur Verfügung gestellten Daten 72 Stunden nach Erhalt, sofern sie nicht unmittelbar für die Zwecke nach Absatz 1 benötigt werden.
Der Ständerat hat bereits zugestimmt. Die zuständige Nationalratskommission möchte immerhin noch einschränken, dass die Daten nur gespeichert werden müssen, wenn Luftverkehrsunternehmen diese im Rahmen ihrer normalen Geschäftstätigkeit bereits erhoben haben.
Allerdings beinhaltet der Artikel darüberhinaus keinerlei weitere Einschränkungen: Ein Richtervorbehalt ist nicht vorgesehen, sie werden rein «auf Verlangen» den Behörden ausgehändigt. Ebenso wenig besteht ein einschränkender Deliktkatalog. Sie können sogar präventiv zur Verhinderung von möglichen Straftaten angefordert werden.
Auf den Deliktkatalog wurde gemäss Sonntagsblick verzichtet, «um den Geltungsbereich der Bestimmung möglichst weit zu fassen»:
Laut Räz hat das Bazl für den Gesetzesentwurf extra den Eidgenössischen Datenschutzbeauftragten Adrian Lobsiger (57) einbezogen.
Der allerdings meldete Bedenken an. «In seiner Stellungnahme zur fraglichen Bestimmung teilte er dem Bundesamt für Zivilluftfahrt mit, dass es unverhältnismässig wäre, wenn die Strafverfolgungsbehörden für sämtliche strafbaren Handlungen ganze Passagierlisten herausverlangen könnten», sagt Sprecher Francis Meier (36).
Der Datenschutzbeauftragte habe gefordert, die Herausgabe auf schwerwiegende strafbare Handlungen zu beschränken. «Unsere Bemerkungen», so Meier, «wurden jedoch nicht berücksichtigt.»
Zudem ist nicht geklärt, und damit auch nicht ausgeschlossen, dass die Daten in einem Push-Verfahren herausverlangt werden können. In den Erläuterungen des Bundesrats gibt es einen einzigen Abschnitt zum Gesetzesartikel:
Die Bestimmung orientiert sich an Artikel 104 des Ausländergesetzes vom 16. Dezember 200533 (AuG) und an Artikel 151 der Zollverordnung vom 1. November 200634 (ZV). Absatz 1 hält die Pflicht der Luftfahrtunternehmen fest, den zuständigen Strafverfolgungsbehörden für die Verhinderung oder Verfolgung von kriminellen Handlungen auf Verlangen Passagierdaten zur Verfügung zu stellen. Art und Umfang der Daten werden abschliessend aufgezählt.»
Das erwähnte Ausländergesetz bestimmt in Art. 104 ein automatisiertes Advance Passenger Information System (APIS) im Push-Verfahren, das die Digitale Gesellschaft bereits kritisiert hat. Falls tatsächlich keine Rasterfahndung, wie z.B. beim Antennensuchlauf möglich sein soll, dann ist der Gesetzgeber angehalten, dies auch entsprechend festhalten.
Das Vorgehen zeigt exemplarisch, dass Datenschutz-Folgeabschätzungen im Gesetzgebungsprozess nötig sind.