Bei jedem Flug werden persönliche Daten der Passagiere an die Polizei gemeldet. Dazu arbeitet der Staat eng mit dem IT-Dienstleister Conztanz zusammen. Doch das Unternehmen will diese Informationen für kommerzielle Zwecke nutzen. Und das verstößt möglicherweise gegen den Datenschutz.
Wer gerade mit dem Flugzeug in den Urlaub reist, ist der Polizei bekannt. Die Airlines müssen seit 2018 Informationen zu den Passagieren wie etwa Name, Gepäck, Reiseziel und Mitreisende an die Behörden liefern. Ziel der sogenannten „Passenger Name Records“ (PNR) ist das Aufspüren von Terroristen.
Um die Plattform zu betreiben, die die Daten der Fluggesellschaften zusammenführt, kooperiert Luxemburgs Polizei mit dem französischen IT-Dienstleister Conztanz. Zu diesem Zweck gründeten die beiden Partner im vergangenen Mai ein „Groupement d’intérêt économique“. Das Ziel des Datensammelns soll mehr Sicherheit sein – sonst nichts.
Doch Conztanz wirbt parallel mit mehr: „Unleash your PNR data“. Die Analyse die Daten ermögliche es den Airlines, ihre Kunden besser an sich zu binden. Dieses Angebot von Conztanz kritisieren manche Politiker, darunter die niederländische Europaabgeordnete Sophia in’t Veld. „Die Begründung der Richtlinie war nie, dass diese Daten für zusätzliche kommerzielle Zwecke verwendet werden können“, sagte die liberale Politikerin im Interview mit „Radio 100,7“.
Die Intention sei wirtschaftlicher Gewinn, der auf Kosten der Grundrechte der Passagiere gehe, betont Sophia in’t Veld in einer Anfrage an die EU-Kommission. Über dieses Vorgehen des Geschäftspartners war der Minister für innere Sicherheit, François Bausch (déi Gréng), offenbar nicht informiert.
Möglicher Datenmissbrauch
„Die Daten enthalten einen immensen und einzigartigen Wert für Airlines … wenn sie die Mittel haben, sie zu nutzen“, wirbt Conztanz. Passenderweise bietet das Unternehmen mit Sitz an der Côte d’Azur die passende Plattform an – „zu einem sehr günstigen Preis“. Doch die rechtliche Grundlage dieser Nutzung wird mit keinem Wort erwähnt.
Als Luxemburgs Parlament das PNR-Gesetz im Juli 2018 verabschiedete, waren sich die Abgeordneten der blau-rot-grünen Mehrheit sicher, dass dem Datenschutz Genüge getan werde und die Grundrechte gewahrt seien. Doch die Sammlung von Passagierdaten ist weiterhin sehr umstritten.
Um so peinlicher ist es nun, dass der kommerzielle Partner des Ministeriums für Innere Sicherheit möglicherweise eine elementare Datenschutzregel missachtet: Daten dürfen nämlich nur für den Zweck genutzt werden, für den sie erhoben wurden. Die rechtliche Lage ist im Detail allerdings unklar. Sophia in’t Veld betont, dass die Airlines ähnliche Informationen wie die PNR-Daten erheben dürfen. Allerdings sind die Passagierdaten für polizeiliche Zwecke standardisiert – können also einfacher ausgewertet werden.
Das Ministerium mauert
Infolge des „100,7“-Berichts richtete der CSV-Abgeordnete Léon Gloden eine parlamentarische Anfrage an Medienminister Xavier Bettel und Transportminister François Bausch. Gloden wollte wissen, ob die Minister gegen den möglichen Datenmissbrauch vorgehen wollen.
Das Ministerium für Innere Sicherheit bemüht sich derweil um Schadensbegrenzung. Conztanz sei um eine schriftliche Stellungnahme gebeten worden, heißt es auf Nachfrage von REPORTER. Ansonsten: Funkstille. Denn erst müsse Glodens Anfrage beantwortet werden.
Doch die Fragen von REPORTER haben nichts mit Glodens parlamentarischer Anfrage zu tun. Seit wann läuft die Zusammenarbeit mit der französischen IT-Firma? Warum wurde gerade dieses Start-up-Unternehmen ausgewählt für ein „Groupement d’intérêt économique“? Ist die kommerzielle Nutzung der Daten im Rahmen des GIE erlaubt? All diese Fragen will das Ministerium nicht beantworten.
„Luxemburg wird zum Pionier“
Im Mai war das Ministerium noch nicht so zugeknöpft. In einer Pressemitteilung wurde „eine innovative Lösung“ gepriesen, die Luxemburg zum Pionier mache. Auf dem Foto anlässlich der Gründung des GIE lächeln Minister Bausch und der Conztanz-CEO Bertrand Kientz in die Kameras.
Zumindest der Start-up-Chef hatte jeden Grund dazu: Als 25-prozentiger Teilhaber der „Agence luxembourgeoise pour la promotion de systèmes d’information dans le domaine de la sécurité“ sichert sich Conztanz auf zehn Jahre einen Zugang zu einem wichtigen neuen Geschäftsfeld. Ziel des GIE ist die Entwicklung der Plattform API-PNR für die Luxemburger Polizei. Dieses System soll die Fluggastdaten auf gesichertem Wege von den Airlines zu den staatlichen Stellen leiten. Die Daten würden nicht gespeichert, heißt es.
Der Staat verfolgt aber auch ein kommerzielles Interesse mit dieser „Agence“: „Le GIE facturera aux Etats souhaitant bénéficier de l’interface une redevance d’utilisation“, heißt es in den Statuten, die im Handelsregister einsehbar sind. Conztanz nennt Frankreich als weiteren Kunden. Ob dies über das GIE läuft, ist nicht bekannt.
Conztanz wirbt mit Luxemburger Verbindungen
Das Unternehmen habe sich im PNR-Bereich diversifiziert, sagte der CEO in einem „gesponsorten“ Interview mit „Nice Matin“. Hauptaktionäre sind neben dem Chef Bertrand Kientz die beiden französischen Investmentfonds „Pléiade Venture“ und „A Plus Finance“.
Der Kundenstamm scheint begrenzt: Laut den Angaben von Conztanz arbeiteten bisher ein Dutzend Airlines mit dem Unternehmen zusammen, drei seien ständige Kunden. Conztanz verzeichnete 2018 einen Umsatz von 1,8 Millionen Euro.
Die Luxemburger Kunden werden allerdings besonders hervorgehoben: Auf der Webseite sind die Luxair und die „Police grand-ducale“ in der Rubrik „They trust us!“ aufgeführt. Außerdem wirbt das Unternehmen mit der Plattform, die im Rahmen des GIE entwickelt wird.
Viele offene Fragen
Luxair war in die Tests der Luxemburger PNR-Plattform eingebunden. Die Fluggesellschaft, die mehrheitlich in staatlicher Hand ist, war um das Jahr 2015 Kunde bei Conztanz, heißt es auf Nachfrage von REPORTER. Damals ging es um die Implementierung von Buchungssystemen. In den folgenden Jahren habe es lediglich kleine Projekte gegeben. Es bleibt unklar, ob Luxair das Angebot von Conztanz nutzt, die PNR-Daten auszuwerten – trotz expliziter Nachfrage.
Klar scheint aber, dass Luxair der Ausgangspunkt für die Kooperation mit der Polizei war. Die Fluggesellschaft habe Conztanz den Kontakt zur staatlichen Behörde hergestellt, sagte der CEO der Nachrichtenseite „Tribuca.net“.
Die Zusammenarbeit mit dem Staat begann deutlich vor der Gründung des GIE im Mai 2019. Bei einer Konferenz genau ein Jahr zuvor stellte der „Directeur faisant fonction du traitement de l’information“ der Luxemburger Polizei, Stéphane Lévy, die neue Plattform vor. Die Tests in Zusammenarbeit mit Luxair seien abgeschlossen. Auf der Präsentation prangt das gemeinsame Copyright des Staates und Conztanz. Seit Juni sitzt Lévy zusammen mit Florent Goniva, „Directeur des relations internationales“ der Polizei, im Vorstand des GIE – neben der französischen Firma.
Unklar ist, auf welcher Grundlage diese Zusammenarbeit 2018 stattfand. Weder auf der nationalen noch auf der EU-Plattform für staatliche Ausschreibungen findet sich ein entsprechender „Marché public“.
Und schließlich bliebt die Frage, warum das Ministerium für Innere Sicherheit unter François Bausch erst jetzt bei Conztanz nachfragt. Die strittige Werbung „Unleash your PNR data“ wurde am 25. März veröffentlicht. Sechs Wochen bevor der Minister das GIE mit dem französischen Unternehmen ins Leben rief.
Lesen Sie mehr zum Thema
Reporter.lu