Ihre Bordkarte ist ein Überwachungsbefehl: Was mit Ihren Daten passiert, wenn Sie fliegen

Sie geben Ihren Reisepass beim Check-in ab, scannen Ihre Bordkarte am Gate und nehmen Platz. Was Sie tatsächlich getan haben, ist, eine ausgedehnte, weitgehend unsichtbare Maschinerie der Datenerfassung in Gang zu setzen, die Sie über Grenzen hinweg, durch Regierungsdatenbanken und in die Hände von Behörden verfolgen wird, von denen Sie vielleicht noch nie gehört haben. Die Reise, die Ihre persönlichen Daten antreten, ist länger, fremder und erheblich beunruhigender als Ihr Flug.

Was gesammelt wird: Die vollständige Inventur

Die Datenerfassung beginnt in dem Moment, in dem Sie ein Ticket buchen. Fluggesellschaften benötigen Ihren vollständigen Namen, Geschlecht, Geburtsdatum, Pass- oder Personalausweisdaten, Nationalität, E-Mail-Adresse und Telefonnummer. Wenn Sie in die oder durch die Vereinigten Staaten fliegen, müssen Sie auch Ihre Wohnadresse sowohl am Abflugort als auch am Zielort angeben. Es folgen Zahlungsinformationen: Kartennummer, Ablaufdatum, CVV-Code, Rechnungsadresse und Name des Karteninhabers. All dies wird in einem Passagierdatensatz, oder PNR, verpackt, einer Datei, die Sie durch das gesamte Reiseökosystem begleitet.

Aber diese Datei wächst. Die PNR-Richtlinie der EU schreibt die Erfassung von mindestens 19 separaten Datenkategorien vor. Über die offensichtlichen Identifikatoren hinaus umfasst der Datensatz: das Buchungs- und Ticketausstellungsdatum, Ihre vollständige Reiseroute, Vielfliegerdetails, Reisebüroinformationen, Check-in-Status, ob Sie einen Flug verpasst haben, Sitznummer, Gepäckdetails und Code-Share-Informationen. Bei unbegleiteten Minderjährigen erfasst das System den Namen und die Kontaktdaten sowohl der abgebenden als auch der abholenden Erwachsenen sowie deren Beziehung zum Kind. Jede Änderung, die an diesem Datensatz vorgenommen wird, von der Umbuchung des Sitzplatzes bis zur Anpassung der Essenspräferenz, wird protokolliert und gespeichert.

Wer bekommt Zugang: Das unsichtbare Publikum

Ihre Daten bleiben nicht bei der Fluggesellschaft. Gemäß der EU-PNR-Richtlinie sind Fluggesellschaften gesetzlich verpflichtet, PNR-Daten zweimal an eine benannte Regierungsstelle zu übermitteln: einmal vor dem Abflug und einmal nach der Ankunft. In Österreich wird diese Einheit als Passagierinformationseinheit bezeichnet und ist im Innenministerium untergebracht. Einundzwanzig Mitarbeiter haben derzeit direkten Zugang zu dieser Datenbank, wobei Pläne bestehen, 91 kommerzielle Fluggesellschaften anzuschließen. Innerhalb der EU sind in jedem Mitgliedstaat ähnliche Einheiten tätig, die Daten untereinander, mit Europol und mit nationalen Polizeibehörden, Nachrichtendiensten und nationalen Sicherheitsbehörden austauschen.

Der Umfang des Zugangs erstreckt sich weiter. Bei Flügen in die Vereinigten Staaten werden PNR-Daten an das Department of Homeland Security übermittelt. Australiens Zoll- und Grenzschutz erhält dieselben Daten. Diese Übertragungen erfolgen automatisch und ohne Ihre spezielle Zustimmung für jeden Flug, basierend auf internationalen Abkommen, die Profiling, die Sortierung von Passagieren in Risikokategorien anhand geheimer, vordefinierter Kriterien, alles ohne anfänglichen Verdacht oder kriminellen Anhaltspunkt, erlauben.

Gesichtserkennung: Die neue Grenze

Am Flughafen setzt eine zweite Ebene der biometrischen Datenerfassung ein. In den Vereinigten Staaten hat die Transportation Security Administration (TSA) an fast 250 Flughäfen die Credential Authentication Technology eingesetzt. Das System, bekannt als CAT-2, scannt Ihr Gesicht und vergleicht es mit dem Foto auf Ihrem Reisepass oder Ihrer Real ID. Die TSA behauptet, dass Bilder kurz nach der Nutzung verworfen werden. Die praktische Realität für Reisende ist, dass der Opt-out-Mechanismus, obwohl gesetzlich vorgeschrieben, nicht prominent angezeigt wird, und seine Ausübung zu zusätzlichen Kontrollen oder Verzögerungen führen kann.

Der Europäische Datenschutzausschuss hat eine restriktivere Haltung eingenommen. In einer Stellungnahme von 2024 lehnte der Ausschuss Szenarien ab, in denen biometrische Vorlagen zentral unter der Kontrolle des Flughafens oder der Fluggesellschaft für mehr als 48 Stunden gespeichert oder dauerhaft an ein Passagierkonto gebunden werden. Die einzigen Konfigurationen, die als potenziell GDPR-konform angesehen werden, sind solche, bei denen die biometrische Vorlage auf dem eigenen Gerät des Passagiers verbleibt oder zentral gespeichert, aber mit einem Schlüssel verschlüsselt wird, der ausschließlich vom Passagier gehalten wird.

Wie lange sie es aufbewahren: Die Realität der Datenaufbewahrung

Die Speicherfristen variieren drastisch je nach Gerichtsbarkeit, und die Unterschiede offenbaren viel darüber, wie jede Regierung die Daten bewertet. Gemäß der EU-PNR-Richtlinie werden Passagierdatensätze nach sechs Monaten depersonalisiert, aber Depersonalisierung bedeutet nur, dass der vollständige Name maskiert wird. Die Daten können immer noch auf eine Einzelperson zurückgeführt werden, und der vollständige Datensatz wird erst nach Ablauf von fünf vollen Jahren gelöscht.

Österreich übererfüllt das EU-Mandat, indem es die PNR-Erfassung auf innereuropäische Flüge ausdehnt, nicht nur auf jene, die die Außengrenze überqueren. Das deutsche System soll jährlich 180 Millionen Passagierdatensätze verarbeiten.

Außerhalb der EU dehnen sich die Zeitrahmen weiter aus. Die Vereinigten Staaten speichern PNR-Daten im aktuellen Rahmen 15 Jahre lang. Australiens Abkommen mit der EU erlaubt die Speicherung für bis zu 5,5 Jahre. Einige Befürworter haben eine Verlängerung der US-Speicherfrist auf 30 Jahre gefordert.

Fluggesellschaften selbst operieren nach unterschiedlichen Zeitplänen. Singapore Airlines und British Airways speichern Kundendaten typischerweise sieben Jahre nach der letzten Interaktion. Scandinavian Airlines bewahrt Aufzeichnungen ein Jahrzehnt nach Abschluss eines Fluges auf. Die Richtlinie der Lufthansa reicht von sechs bis zehn Jahren, weist aber darauf hin, dass Daten, die mit Rechtsstreitigkeiten verbunden sind, bis zu dreißig Jahre lang aufbewahrt werden können.

Das algorithmische Schleppnetz

Hier ist der Teil, den die meisten Passagiere nie bedenken: Ihre PNR-Daten liegen nicht einfach in einer Datenbank und warten darauf, dass ein Mensch sie sich ansieht. Sie werden kontinuierlich und automatisch von Algorithmen gefiltert, die nach Anomalien suchen. Das System ist darauf ausgelegt, „Treffer“ auf Muster zu generieren, die von einer statistischen Norm abweichen, Treffer, die dann zur manuellen Überprüfung an die Behörden weitergeleitet werden.

Das Problem der Fehlalarme ist mathematisch unvermeidlich. Wenn Sie einen riesigen Datensatz nach etwas extrem Seltenem durchsuchen, wird selbst ein hochpräziser Algorithmus eine Flut von falschen Kennzeichnungen produzieren. In Österreich generiert das System täglich etwa 490 mutmaßliche Treffer, ungefähr 3.340 pro Woche. Davon wurden nur 51 als legitim bestätigt, und nur 36 Fälle lieferten Informationen, die für die Terrorismusbekämpfung oder Ermittlungen zu schweren Straftaten als bedeutsam erachtet wurden. Nur 30 Vorfälle führten zu einer direkten Intervention am Flughafen. Die Trefferbestätigungsrate liegt bei 0,1 Prozent.

Diese 490 täglichen Fehlalarme sind nicht harmlos. Jeder muss manuell von einem menschlichen Bediener überprüft werden. Jeder repräsentiert eine Person, gegen die kein begründeter Verdacht bestand, die aber dennoch zusätzlicher Prüfung unterzogen wurde. Der Prozess kehrt die Unschuldsvermutung um: Jeder wird überwacht, der Algorithmus kennzeichnet viele, und Menschen sortieren die Unschuldigen aus.

Datenlecks: Wenn das Gewölbe bricht

Die Konzentration von Passagierdaten schafft ein entsprechend attraktives Ziel. Im Juli 2025 bestätigte Qantas, dass ein Cyberangriff auf seine Systeme die persönlichen Informationen von etwa 5,7 Millionen Kunden offengelegt hatte. Die kompromittierten Daten umfassten Namen, Adressen, Telefonnummern, E-Mail-Adressen und Vielfliegerdetails. Die Fluggesellschaft erklärte, dass Kreditkarten- und Passinformationen nicht betroffen waren und dass keine Anzeichen darauf hindeuteten, dass die Daten öffentlich offengelegt oder missbraucht wurden. Die Sicherheitslücke war mit einem Angriff auf den Softwareanbieter Salesforce verbunden, der insgesamt 39 Unternehmen betraf.

Dies war kein Einzelfall. Im Jahr 2024 erlaubte eine Panne in einer Qantas-Mobilanwendung einigen Nutzern den Zugriff auf Bordkarten, Vielfliegerpunkte und Flugdetails anderer Passagiere und sogar den Versuch, Flüge von Fremden zu stornieren. Im selben Jahr sah ein australischer Digitalfotohändler 304.000 Kundendatensätze ins Darknet hochgeladen, und ein medizinischer Rezeptdienst erlitt einen Datendiebstahl von 6,5 Terabyte, der 12,9 Millionen Australier betraf.

Der breitere Rahmen: Warum es das gibt

Das PNR-System entstand nach den Anschlägen vom 11. September als Teil einer globalen Anstrengung zur Verschärfung der Luftsicherheit. Der Sicherheitsrat der Vereinten Nationen hat alle Mitgliedstaaten durch die Resolution 2396 aufgefordert, Fähigkeiten zur Erfassung, Verarbeitung, Analyse und Weitergabe von PNR-Daten zu entwickeln. Die Umsetzung bleibt jedoch uneinheitlich. Laut der Internationalen Zivilluftfahrtorganisation fordern nur 26 Staaten aktiv PNR-Daten an, und nur 68 der 193 ICAO-Mitgliedstaaten haben ein Advanced Passenger Information System eingerichtet.

Bürgerrechtsorganisationen haben anhaltende rechtliche Anfechtungen vorgebracht. Der Europäische Gerichtshof hat in drei separaten Fällen entschieden, dass Datenaufbewahrungssysteme Grundrechte verletzen, zuletzt 2017, als er feststellte, dass die Weitergabe von PNR-Daten an Kanada sowohl das Recht auf Privatsphäre als auch das Recht auf Datenschutz verletzte. In Österreich argumentiert eine beim Bundesverwaltungsgericht eingereichte Beschwerde, dass die PNR-Richtlinie selbst mit den Grundrechten unvereinbar ist und dass Österreichs Umsetzung, durch die Ausdehnung der Erfassung auf innereuropäische Flüge, über das hinausgeht, was die Richtlinie vorschreibt.

Die Kritik geht über rechtliche Formalitäten hinaus. Die Algorithmen, die Passagierdaten durchsieben, arbeiten ohne Transparenz, und ihre Kriterien werden nicht offengelegt. Sensible Merkmale können durch Stellvertreter abgeleitet werden: eine Essensauswahl kann für Religion stehen, ein Reisemuster für Ethnizität. Wenn ein Algorithmus einen Passagier markiert, gibt es keine sinnvolle Möglichkeit zu verstehen, warum oder die Klassifizierung anzufechten.

Was Sie tatsächlich zustimmen

Wenn Sie bei der Datenschutzrichtlinie einer Fluggesellschaft auf „Ich akzeptiere“ klicken, stimmen Sie einer Kette der Datenweitergabe zu, die weit über den Beförderer hinausgeht. Die Richtlinie von Akasa Air, typisch für die Branche, besagt, dass persönliche Daten an Drittanbieter, verbundene Unternehmen und Konzerngesellschaften weitergegeben werden können. Sie können grenzüberschreitend übertragen werden. Sie können so lange aufbewahrt werden, wie es zur Erfüllung von „Geschäftszwecken“ erforderlich ist, und gemäß den „anwendbaren Gesetzen und Vorschriften in der jeweiligen Geografie“ entsorgt werden. Die Vagheit ist bewusst und branchenweit verbreitet.

Die Richtlinie von Air China besagt, dass für Flüge, die US-Territorium berühren, lokale regulatorische Anforderungen die Angabe von Adressinformationen sowohl für den Ursprungs- als auch für den Zielort erzwingen. Geschäftsreisende sind zusätzlichem Risiko ausgesetzt: Ihre Buchungsdetails, einschließlich Mitarbeiterkennungen und Firmenkontocodes, sind für Arbeitgeberkontoadministratoren sichtbar, die Reisepläne verwalten.

Das Fazit

Jedes Mal, wenn Sie fliegen, sind Sie nicht nur ein Passagier. Sie sind ein Datensubjekt, eingeschrieben in eine globale Überwachungsarchitektur, die im Namen der Sicherheit aufgebaut wurde und nun weitgehend aus Trägheit operiert. Ihr Name, Ihr Gesicht, Ihre Zahlungsdetails, Ihre Reiseroute, Ihre Essenswahl, Ihre Reisebegleiter und Ihr Gepäck werden alle aufgezeichnet, übertragen, gespeichert, algorithmisch analysiert und potenziell über Gerichtsbarkeiten hinweg für Jahre geteilt, nachdem Sie die Reise vollständig vergessen haben. Das System generiert täglich Tausende von falschen Anschuldigungen, unterzieht unschuldige Menschen zusätzlicher Prüfung und hat nie überzeugend gezeigt, dass es seine erklärten Sicherheitsziele erreicht. Doch es besteht fort, weil die Infrastruktur aufgebaut, die Behörden besetzt sind und die Daten weiterfließen. Sie sind das Produkt, und Ihre Bordkarte ist die Quittung.

Verfasst von Thorben Thiede