Im März 2020, kurz bevor das Coronavirus die Welt in den Lockdown schickte, landete Frank van der Linde am Amsterdamer Flughafen Schiphol und reihte sich in die Schlange zur Passkontrolle ein. Van der Linde, ein niederländischer Staatsbürger und Bürgerrechtsaktivist, kam gerade von einem Flug außerhalb der EU. Als er seinen Pass vorzeigte, stellte ihm der Grenzbeamte einige Fragen über seinen Trip. Warum ging er in das Nicht-EU-Land? Wen hat er dort getroffen? Wo hat er übernachtet? Hatte er eine schöne Zeit?
„Der Grenzbeamte tat so, als wäre er neugierig“, berichtet van der Linde auf Anfrage. „Ich wurde nicht aus der Warteschlange genommen, es stand also noch jemand hinter mir.“ Das Gespräch dauerte auch nur kurz, erinnert er sich. Doch die Befragung war kein Zufall. Der Grenzschutz wusste, dass van der Linde just an jenem Tag einreisen wird. Der Aktivist konnte beobachten, wie der Beamte hinter der Glasscheibe seine Aussagen protokollierte, die später – ohne sein Wissen – an die Staatsanwaltschaft weitergegeben werden sollten.
Der Grund: Der Friedensaktivist stand auf einer Blacklist. 2017 war er von der niederländischen Polizei im Zusammenhang mit Demonstrationsbeteiligungen und Social-Media-Aktivitäten als Zielperson im Rahmen eines Anti-Terror-Programms markiert worden.
Nun gibt es viele Personen, die auf irgendwelchen Listen stehen. Von einigen kennt die Polizei nicht mal den aktuellen Aufenthaltsort. Dass die Grenzbeamten wussten, dass van der Linde an jenem Tag im März 2020 an die gelb leuchtende Passkontrolle am Amsterdamer Flughafen ankommen sollte, hatte eine entscheidende Ursache: Die Airline, mit der der Mann gebucht hatte, hatte seine Daten an die Polizei weitergeleitet.
Seitdem die EU 2016 die umstrittene Fluggastdaten-Richtlinie zur Bekämpfung terroristischer Straftaten beschlossen hat, sind Fluggesellschaften verpflichtet, Passagierdaten (Passenger Name Record, kurz PNR) zu speichern und an die Behörden zu übermitteln: Kontaktdaten, Reiserouten, Sitznummern, Gepäckangaben, Zahlungsinformationen, Vielflieger-Eintrag.
Jedes Mal, wenn irgendwo ein Flugticket ausgestellt wird, schickt die Airline 48 bis 72 Stunden vor dem Abflug einen mehrseitigen PNR-Datensatz an die zuständigen Behörden des Ziellands, die dann automatisiert mit Anti-Terror- und Fahndungslisten abgeglichen werden. In den Datensätzen stehen dann zum Beispiel Essenswünsche oder medizinische Informationen über den Reisenden wie etwa Rollstuhlfahrer oder Diabetiker.
Irgendwo in dem Datenwust muss auch der Name des niederländischen Aktivisten aufgetaucht sein. Das erfuhr van der Linde aber erst, als er 2022 an die niederländischen Behörden ein Auskunftsersuchen stellte und seine Passagierdaten einsehen konnte. In den Aufzeichnungen war unter anderem vermerkt, dass van der Linde 2021 einen Flug nach Belfast nicht angetreten hatte – er hatte zwar ein Ticket, seine Pläne aber dann doch wieder verworfen. Solche „No-Shows“, wie man das Nichtantreten von Flügen im Fachjargon nennt, gelten unter Sicherheitsexperten als verdächtig. Der Grund: Die Attentäter vom 11. September hatten im Vorfeld der Anschläge Flüge gebucht, diese aber nicht angetreten.
9/11 hat die internationale Luftfahrt nachhaltig verändert: Flüssigkeiten müssen in durchsichtige Plastikbeutel verpackt werden, Laptops aus dem Handgepäck genommen werden. Alles wird durchleuchtet – sogar Passagiere, die an manchen Flughäfen durch „Nacktscanner“ laufen müssen. Doch auch hinter den Kulissen des „Sicherheitstheaters“ muss sich der Bürger bis auf die Unterhose ausziehen: Airlines sind verpflichtet, Datenpakete von USA-Reisenden an das Department of Homeland Security (DHS) zu übermitteln, um potenzielle Terroristen aufspüren zu können – unter anderem auch sensible Informationen über sexuelle Vorlieben und Gewerkschaftsmitgliedschaften. Das regelt das EU-US-Abkommen aus dem Jahr 2012. Der gläserne Passagier ist längst Wirklichkeit.
Das Problem: Die amerikanischen Behörden haben zwar massenhaft Daten, es fehlten ihnen aber lange die geeigneten Instrumente, diese zu analysieren. Wenn grobkörnige Big-Data-Analysen ergeben, dass Vegetarier weniger häufig Flüge verpassen (ein nachweisbarer statistischer Zusammenhang), sagt das erst mal wenig über potenzielle Gefährder aus. So landeten zahlreiche Fluggäste, darunter auch US-Bürger, unschuldig auf einer No-Fly-List und konnten kein Flugzeug mehr betreten. Doch mittlerweile sind die Instrumente – Stichwort Künstliche Intelligenz – besser, die Daten hochauflösender geworden.
Fluggesellschaften sammeln jede Menge Daten über ihre Passagiere – welche Filme sie an Bord schauen, was sie essen, wo sie ihren Urlaub verbringen. Daraus lassen sich mithilfe von Algorithmen detaillierte Psychogramme destillieren. Hat Person X einen Langstreckenflug mit wenig Gepäck angetreten? Oder das Flugticket in bar bezahlt? Ist der Passagier Muslim und ordert an Bord das vegetarische Gericht?
Das IT-Unternehmen Sita, das weltweit Flughäfen mit biometrischen Kontrollsystemen ausstattet, erstellt nach eigenen Angaben Risikoprofile von 431 Millionen Flugpassagieren im Jahr. Das „SITA Intelligence and Targeting“, wie das Tool heißt, errechnet auf Grundlage verschiedener Datenquellen wie Visa, Großereignisse und PNR-Daten einen Score. Übersteigt dieser Score einen bestimmten Wert, werden automatisch die Grenzschutzbehörden alarmiert. Der Fluggast ist ständig auf dem Radar.
Allein, welche Kriterien für die Risikobewertung herangezogen werden, ist für den Reisenden meist unklar – das „Targeting“ ist eine Blackbox. Aus dem Zweijahresbericht über die PNR-Richtlinie, den die EU-Kommission im Juli 2020 veröffentlicht hat, ergeben sich dennoch einige Anhaltspunkte. So werden Flugziele in der Türkei als Indikatoren für die Klassifizierung sogenannter ausländischer Kämpfer verwendet. Auch Last-minute-Buchungen und Ungleichgewichte zwischen Aufenthaltsdauer und Gepäck gelten als Verdachtsmomente. Wer also spontan in die Türkei reist und nur wenig Gepäck hat, könnte einen höheren Risikoscore haben. Und das kann langfristige Folgen haben: Das Department of Homeland Security speichert Fluggastdaten bis zu 40 Jahre lang.